开源构建云原生基础架构-云原生峰会（10页）.pdf

1、开源构建云原生基础架构Open Source Builds Cloud Native Infrastructure谢晓清英特尔软件技术副总裁Intel与云原生沙箱容器机密容器硬件增强的K8sIntel Facilitates cloud Native Intel助力云原生Intel对云原生的思考：软硬一体+开源共建Intel Cloud JourneyIntel云旅程沙箱容器-更安全，更稳定的容器运行时Sandbox Container开源社区Intel发起Clear ContainersKata容器共同发起人Kata 2.0正式发布，包含双方共同推动的轻量化、模块化、改进可观测性、CLH作为

2、Kata VMM等featureKata 3.0 架构Intel和阿里云共同推进Kata 3.0的架构演进在多租户场景下，更好地保证容器之间的隔离，提升系统安全性和稳定性以及服务质量2015202020192022 and beyondIntel 发起Cloud Hypervisor（CLH）,轻量化VMM阿里云沙箱容器部分关键组件合入CLH上游阿里巴巴成为 CLH 技术委员会成员云服务产品Intel和阿里云在云原生基础平台开展战略合作阿里云沙箱容器2.0发布进一步合作提升Kata容器的易用性，可靠性和性能Process AGUEST LINUX KERNAL AProcess BHardwa

3、re VT-x/dGUEST LINUX KERNEL BHardware VT-HOST LINUX KERNELNamespaceNamespaceVMVMContainer AContainer B虚拟机级别的安全隔离和故障隔离，保护宿主机沙箱容器Container AContainer B传统容器共享内核Process BProcess AFilter:SeccompMACCAPSNamespacesFilter:SeccompMACCAPSNamespacesHOST LINUX KERNELCPUMemoryNetworkStorage机密容器 补齐容器安全的最后一块短板Confi

4、dential ContainerContainer AContainer B传统容器共享内核Process BProcess AFilter:SeccompMACCAPSNamespacesFilter:SeccompMACCAPSNamespacesHOST LINUX KERNELCPUMemoryNetworkStorageContainer AContainer B虚拟机级别的安全隔离和故障隔离，保护宿主机/云厂商沙箱容器Process AGUEST LINUX KERNAL AProcess BHardware VT-x/dGUEST LINUX KERNEL BHardware

5、VT-x/dHOST LINUX KERNELNamespaceNamespaceVMVMContainer AContainer B内存硬件加密和硬件生成存储秘钥，保护客户的数据和代码不能被宿主机/云厂商窥探机密容器Process AGUEST LINUX KERNAL AProcess BHardware VT-x/dTDXGUEST LINUX KERNEL BHardware VT-x/dTDXHOST LINUX KERNELNamespaceNamespaceVMVM机密容器 开源端到端解决方案Confidential ContainerHost Platform(HW)TDXLi

6、nux KernelKVMEncryptedContainerImageKey BrokerAttestation Servicekubeletcontainerdkata-shim-v2VMMkata-agentattestationImage serviceTDRequest keyAttestation(Challenge)QuoteContainerk8s podTrustedUntrustedVTruntimeClass=kata-clh-tdxStartConta