Red Hat力挺CNCF项目，欲将TEE支持扩展至Kubernetes

Red Hat决定支持新的云原生计算基金会（CNCF）项目。Red Hat在一篇官方博文中指出，他们投资的新项目名为Confidential Containers，属于CNCF支持的机密计算联盟中的一个新型项目。

Confidential Containers，简称“CoCo”，目前刚刚发布了首个0.1.0版本。从极低的版本号就能看出，目前的CoCo属于新生技术，还没有准备好迎接实际应用。此外，它的说明文档也还远称不上完善。

这种在可信执行环境（TEE）中运行容器的思路，多年来已经在大部分处理器架构中得到实现，例如OpenTEE。但也有研究人员发现了回避这种保护机制的方法。

在TEE之内运行全部容器的最大挑战，在于如何限制TEE与主机之间的通信，常规容器是无法轻松实现这种限制的。毕竟容器的本质就是直接在主机之上运行的普通进程内核。

相比之下，如今运行加密虚拟机还更容易些，也有多家厂商在提供硬件支持。包括Google Cloud所使用的AMD SEV，英特尔的同类方案SGX以及新近出现的TDX等。

因此，为了让工作负载能运行在TEE之内但由Kubernetes负责管理，CoCo项目使用了另一项技术Kata Containers。它是由英特尔的ClearContainers与Hyper runV合并而来，而且得到了OpenStack基金会的支持。

根据CoCo项目文档概述，该工具初步支持五种不同的TEE技术，首先是AMD和英特尔工具，外加两种IBM技术：用于POWER服务器的Protected Execution Facility（PEF）和面向z/架构大型机的Secure Execution。

如果这项计划真能成功，那么未来应该会快速支持更多架构——例如Arm的TrustZone，以及RISC-V自己的可信执行环境技术。

可能跟传统本地计算设施打过多年交道的朋友，一时之间理解不了为什么要对自己的虚拟机进行加密。咱们可以换个思路，如果这些虚拟机是运行在其他人的硬件之上并通过网络开放访问，那这种加密就瞬间有了意义。

虽然配套的硬件支持已经部署到位，但真正实现起来仍非易事。如果CoCo项目能尽快把这项功能简化进K8s配置页面或者YAML行中的复选框形式，肯定会受到很多人的欢迎。而且芯片供应商那边应该也会为此拍手叫好，毕竟再轻量化的虚拟机往往也要比容器更耗资源。