OpenStack Foundation は、Intel と hyper.sh が運営する各コンテナーに独自のカーネルを割り当てるプロジェクトを採用することで、補完的なプロジェクトの支援を開始するという約束を果たしました。
「Kata Containers」と呼ばれるこの新しいプロジェクトは、Intel の Clear Containers と Hyper runV を組み合わせ、各コンテナにカーネルを与えることで分離を強化し、セキュリティを強化します。
OpenStack Foundation(OSF)はThe Registerに対し、マルチテナント環境ではコンテナのセキュリティが最適ではないため、この取り組みを支援すると述べました。OpenStackの大規模かつ著名なユーザーの多くが大規模なクラウドを運用しているため、OSFはKata Containersの立ち上げを支援することが適切だと判断しました。
ただし、このプロジェクトはOSFから独立した独自のブランドとガバナンスを持つことになります。この分離は、マルチテナント環境向けのセキュアコンテナがOpenStackやクラウド事業者に結び付けられていると認識されることを財団が望まないためです。
IntelのClear Containersが徐々に実用化へ:DockerやKubernetesとの連携が向上
続きを読む
The RegisterがClear Containersを前回評価した際、独自のカーネルを持つコンテナは、実際には名前を変えた仮想マシンに過ぎないと思わずにはいられませんでした。OSFがローンチ声明でKata Containersを「仮想化コンテナ」と呼んだことで、事態はさらに悪化しました。また、OSFは各Kataコンテナが「セキュリティと分離に必要なVMの要素のみ」を取得するという事実を隠そうともしていません。
OSFはまた、Kataコンテナの基盤は非常に軽量であるため、コンテナと全く同じ感覚で動作し、完全なVMで実行されるコンテナよりも高速であると主張しています。VMでコンテナをサポートするベンダーやプロジェクトも、The Registerに対し、まさに同じことを何度も述べています。
Kata コンテナは、Kubernetes および Docker と連携して動作するコントリビューターの能力を継承しており、Kubernetes および Docker からは単なるバニラ コンテナとして認識されます。
OSF によれば、プロジェクトではまず、QEMU 2.9 のエージェント、ランタイム、プロキシ、シム、カーネル、パッケージングに取り組むとのことです。®
