Red Hat决定支持新的云原生计算基金会(CNCF)项目。Red Hat在一篇官方博文中指出,他们投资的新项目名为Confidential Containers,属于CNCF支持的机密计算联盟中的一个新型项目。
Confidential Containers,简称“CoCo”,目前刚刚发布了首个0.1.0版本。从极低的版本号就能看出,目前的CoCo属于新生技术,还没有准备好迎接实际应用。此外,它的说明文档也还远称不上完善。
这种在可信执行环境(TEE)中运行容器的思路,多年来已经在大部分处理器架构中得到实现,例如OpenTEE。但也有研究人员发现了回避这种保护机制的方法。
在TEE之内运行全部容器的最大挑战,在于如何限制TEE与主机之间的通信,常规容器是无法轻松实现这种限制的。毕竟容器的本质就是直接在主机之上运行的普通进程内核。
相比之下,如今运行加密虚拟机还更容易些,也有多家厂商在提供硬件支持。包括Google Cloud所使用的AMD SEV,英特尔的同类方案SGX以及新近出现的TDX等。
因此,为了让工作负载能运行在TEE之内但由Kubernetes负责管理,CoCo项目使用了另一项技术Kata Containers。它是由英特尔的ClearContainers与Hyper runV合并而来,而且得到了OpenStack基金会的支持。
根据CoCo项目文档概述,该工具初步支持五种不同的TEE技术,首先是AMD和英特尔工具,外加两种IBM技术:用于POWER服务器的Protected Execution Facility(PEF)和面向z/架构大型机的Secure Execution。
如果这项计划真能成功,那么未来应该会快速支持更多架构——例如Arm的TrustZone,以及RISC-V自己的可信执行环境技术。
可能跟传统本地计算设施打过多年交道的朋友,一时之间理解不了为什么要对自己的虚拟机进行加密。咱们可以换个思路,如果这些虚拟机是运行在其他人的硬件之上并通过网络开放访问,那这种加密就瞬间有了意义。
虽然配套的硬件支持已经部署到位,但真正实现起来仍非易事。如果CoCo项目能尽快把这项功能简化进K8s配置页面或者YAML行中的复选框形式,肯定会受到很多人的欢迎。而且芯片供应商那边应该也会为此拍手叫好,毕竟再轻量化的虚拟机往往也要比容器更耗资源。
好文章,需要你的鼓励
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面
“未来软件定义汽车”的设想也成为马丁当前运营路线的指导方针,且高度关注数据、零件和资产管理等议题。