Kata: Container so isoliert wie virtuelle Maschinen
Dass Container nur eine begrenzte Isolierung ermöglichen, ließ einen Markt für Produkte entstehen, die entsprechende Funktionen auf Clusterebene hinzufügen. Kata geht das Problem an, indem es die Container-Runtime anpasst.
- Dr. Jan Bundesmann
Kata Containers sollen die starke Isolation von virtuellen Maschinen (VM) mit dem geringen Overhead von Containern verbinden und sich in einem Kubernetes-Cluster verwenden lassen. Technisch handelt es sich dabei um minimale VMs mit einem reduzierten Userspace. Die Entwicklungsarbeit kommt hauptsächlich von Intel (Clear Containers) und Hyper. Als Input verstehen Kata Containers Docker-Images – intern greifen sie auf dessen Container-Runtime zurück. Intel hat wohl vorwiegend am Design von VM und Kernel gearbeitet, während Hyper Technik um die Einbindung in Kubernetes einbringt, insbesondere deren runV.
Mandantenfähiges Kubernetes
Durch das Kapseln einzelner Apps in virtuellen Maschinen sollen Kubernetes-Cluster mandantenfähig werden. Beim Abschicken eines Workloads geben Nutzer an, ob dieser "trusted" oder "untrusted" ist. Kubernetes kann dann das passende Backend für den Job wählen, also auch ein Mischbetrieb mit Kata und blankem Docker ist möglich. Der Memory-Overhead pro Container beträgt 10 MByte.
Das Konzept wirkt etwas wie ein Schritt zurück in Zeiten vor dem Container-Hype. Die Entwickler versprechen jedoch die entsprechend hohe Performance und Flexibilität. Dazu kommt die Orchestrierung mit Kubernetes. Das wird im Gegenzug um eine weitere Ebene zur Isolation erweitert.
Verwaltung und Steuerung des Projekts liegen bei der OpenStack Foundation, es ist unter Apache-2.0-Lizenz veröffentlicht. Allerdings ist es kein Teil der OpenStack-Infrastruktur und besitzt auch ein eigenes Branding, ist also unabhängiger. Vorgestellt werden die Kata Container im Rahmen der KubeCon in Austin. (jab)
