报告预览

OS2ATC 2025 - 安全容器统一架构.pdf

编号：624519

PDF 13页 2.92MB 下载积分：VIP专享

下载报告请您先登录！

OS2ATC 2025 - 安全容器统一架构.pdf

1、安全容器统一架构1分享人：谈鉴锋2025.03背景：容器运行时VMrunvSandboxgVisorgVisor,Nabla,QuarkContainerMicroVM KATA,Firecracker,Cloud HypervisorLinux Containersruncrunc,crun,youki2背景：安全容器源于安全Wang,Xu,and Samuel Ortiz.Kata Containers:Hypervisor-Based Container Runtime.KubeCon North America,2017,HyperHQ&Intel.Chen,Dawn,and Zhen

2、gyu He.Container Isolation at Scale(Introducing gVisor).KubeCon Europe,May 2018,Google.Barr,Jeff.Firecracker Lightweight Virtualization for Serverless Computing.AWS re 2018,26 Nov.2018.Wang,Xu.Kata and gVisor:A Quantitative Comparison.hyper.sh,1013 Dec.2018.3AppsAppsAppsHost Linux KernelDaemonsetsSe

3、cure Container Runtime(Kata&gVisor&Firecracker)System servicesAppsL0:Final bastion,e.g.,Live-patch&eBPF-based LSML1:Jailer Barrier,e.g.,cgroup/chroot/namespace/capabilityL2:Sandbox,e.g.,Lock-in-Pop or VirtualizationGuest KernelL3:Customized kernel,e.g.,mem-safe,KSPCIPU/IPU/DPUDevice passthroughSecur

4、echannelL-1:IaaS security背景：安全容器不止于安全4性能隔离故障隔离定制内核“software interrupts a conglomerate of mostly unrelated jobs,which run in the context of a randomly chosen victimw/o the ability to put any control on them.”-Thomas Gleixner(Linux developer)安全容器是云原生基础设施必要组件！5蚂蚁的云原生节点架构节点组件L2:Virtualization&Sandbox,e.

5、g.,KVM,NanoVM,PVM MemDDR,HBM,CXL调度和资源管理可观察性内存管理调度网络安全CPUSIMD,QoS,E-coresAppsAppsPODs(kata)Functions(NanoVisor)AppsAppsPODs(NanoVisor)文件系统NICRDMA,TSOBusPCIe,QPI,NVLink在线APPSidecarsSidecarsSidecarsLinux KernelHardwarexPUGPU,NPU,LPU,离线APPAppsAppsPODs(rune)APPL3:Customized kernel,e.g.,mem-safe,KSPL1:Jai

6、ler Barrier,e.g.,cgroup/chroot/namespace/capabilityL0:Node EDR,e.g.,monitor,threat detection,authentication 6深度防御、最小攻击面、最小权限机密容器离线容器架构困境7普通容器隔离技术（runc）Unikernel隔离技术轻量级虚拟机（rund）gVisor（runsc）共享内核攻击面太大性能隔离差兼容性差镜像制作麻烦兼容性好资源灵活性启动时间/开销问题Note:Kata has improved this a

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（OS2ATC 2025 - 安全容器统一架构.pdf）为本站（Flechazo）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。