云原生分布式操作系统架构与单元化能力构建.pptx

讲师：胤禛-YinZhen开放式云平台架构云原生单元化架构能力建设之虚拟化集成-集成Kata容器（十四）

01.虚拟化容器02.Kata容器说明03.Kata容器使用目录04.百度落地实践（资料在附件中）

01.虚拟化容器与虚拟机不同，虚拟化容器是进程级别的虚拟化，与Docker方式又不同，它们都是独立内核的，由于有独立内核，所以叫做虚拟化容器（MicroVM）而不是虚拟机。MicroVM是硬件隔离的轻量级虚拟化容器，具有自己的微型内核。它们通过容器的敏捷性提供了与VM一样的硬件虚拟化安全性。如今的容器与microVM之间的主要区别在于，后者在Kubernetes容器内提供了硬件支持的隔离。MicroVM自动将硬件隔离易受攻击/不可信的任务，以保护环境的其余部分。它们与其他MicroVM和操作系统都隔离开来，确保MicroVM中包含任何攻击并且不会影响应用程序的任何其他部分。即使在超过主机和基于网络的安全性的攻击中（如当今的复杂攻击者通常能够做到的），MicroVM也可以确保端点安全。通过相同的模型，microVM还可以通过仅提供尽可能多的对其他系统或数据的访问来保护敏感应用程序并防止数据丢失。因此，可以在单个系统中同时运行受信任和不受信任的任务，而不必担心后者会破坏前者。但是，microVM与传统的VM不同，它们不是完整的机器，而是“仅仅足够”的进程级别容器。他们在应用程序容器的