에 고정 표시기 삶과 죽음을 계기로 기존의 컨테이너에 의해 표현

　　구름 마천루를 구축하는 정교한 이론의 기본,하지만 벽돌을 강화 할 필요가있다.
　　컨테이너가 클라우드 컴퓨팅의 다음 세대의 기초 중 하나로서 네이티브 클라우드 기술이 때, 용기 자체가 진화를 중지하는 것이 의미하는 것은 아니다. 사실, 도커하기 위해 노출 한 번에 보안 문제는,이 시간,이 가상화의 혜택을 향수 것을 멀티 테넌트 (multi-tenant) 시나리오의면에서 기존의 컨테이너에 의해 표현.
　　따라서, 가상화 기술의 사용은, "안전 용기"개념이 출현 한,이 변화를 설정, 그것은 오래 전에, 그것은 2 년을 보냈다 카타 컨테이너이다.
　　새로운 카타 컨테이너는 보안 컨테이너 시간의 사용이 익은 것을 의미 동일한 수준의 성능의 컨테이너와 함께 컨테이너 API 인터페이스와 호환되는 우리를 위해 가상 머신에 대한 보안 및 격리를 가져온다.
　　이 대조적으로 그것은 지난 달, 부두 노동자의 엔터프라이즈 비즈니스 혐의 총 자금 조달 라운드 가격 아래로 또는 더 적은 판매, 판매를 위해 포장 할 수 있다는 것입니다.
　　시작은 자신의 보안 정책을 검토하기 위해 지금 필요한 있으며, 컨테이너에서 컨테이너 보안에 대한 마이그레이션 계획을 수립에서 모든 기업은 생산 환경에서 컨테이너를 사용합니다.
　　이 모든 것은 그 일이 어떻게? 나는 하나 당신 하나에 들어요.
　　<strong>을 도커 패배 </ strong>을
　　2019 니안 (11) (13), 공식 블로그의 700 개 이상의 클라이언트, 마크 회사 도커을 인계를 포함하여 부두 노동자의 엔터프라이즈 급 기업의 인수를 발표 프라이빗 클라우드 인프라 회사 Mirantis 완전한 실패의 2013 상업 탐사.
　　사람들은 컨테이너보기의 개발의 역사를 이해하지 못하고,이 결과는 이해하기 어려운, 부두 노동자 컨테이너 붐의 선구자 컨테이너는 여전히 기술 진화, 왜 분명히 콘센트에 서 클라우드 컴퓨팅의 이번 라운드에서 열되고있다 비행하지?
　　물론 작업의 팬 도커 설립자의이 시리즈는 멀리 얻을 수 있지만, 사실은, 부두 노동자의 운명은 오늘, 4 년 전에 결정했다.
　　개방형 클라우드 네이티브 컴퓨팅 2013 년 전, 사실, 업계가 발견되지 않은 방법, GAE뿐만 아니라 클라우드 파운드리 PaaS를 대표 이전 버전은 깃털을 떠나 구덩이에 사람을 가져올 것이다. 도커 오픈 소스까지, 우리는 그들이 잘못된 방향으로없는, 일어나 꿈,하지만 응용 프로그램 배포 및 전달 수단은 할 수 없습니다.
　　그러나 도커 회사는 마음의 시작의 핵심 코드가 바로 이런 방식으로 비즈니스 고객을 유치하려고하는 산업의 이익을위한 것이 아닙니다 소스를 엽니 다. 고정 표시기 고정 표시기 회사는 상표로 등록 지역 사회의 경계, 또 다른 한 후 집에서 만든 용기 프로젝트의 다양한 자극한다.
　　2015 년 6 월이 혼란을 종식하기 위해, 오픈 컨테이너 OCI는 개방형 표준 컨테이너 포맷을 개발하기위한 조직을 촉진하고 주변을 실행하기 위해 설립되었습니다, 도커는 창립 멤버로서, 그녀의 힘의 표준 설정 권한 의도.
　　그러나 모든 사람이 스윙 자세의 양쪽에있는 상업 및 지역 사회에서 부두 노동자에 대해 정말 무서워, 2014는 Kubernetes 출시 후, 신속하게 포함 레드햇을 포함한 회원의 그룹을, 매력, 그리고 2015 년, 1 년 후 7 월에는 Kubernetes는 동반 CNCF 기본 클라우드 컴퓨팅 기반으로, 버전 1.0을 발표했다.
　　중력 기술 진화의 중심을 계산 출생 CNCF 선언 구름 2016 년 다음에, 컨테이너 배열에 컨테이너에서 이동,는 Kubernetes들은이 인터페이스를 충족하는, CRI 컨테이너 작업 인터페이스를 발표는 Kubernetes은 도커는 아무 상관이 없습니다 그것이, 그것을 통해 용기를 실행할 수 있습니다 비판적인.
　　이러한 방법으로, 도커에서 컨테이너 작업 뒤에 내용을 제어하지 않습니다, 그들은 기준을 충족하는 표준 인터페이스가된다.
　　용기는 Kubernetes의 조합, 그는 자신의 클러스터에 매우 행복 사용하지만, 클라우드 공급 업체가 대중에게 제공 컨테이너 서비스하려고 할 때, 멀티 테넌트 (multi-tenant) 보안 문제가 발생합니다.
　　의 <strong> AWS의 </ strong>을 선택
　　컨테이너의 문제를 이해하기 위해서, 우리는 먼저 이해해야한다 원칙을.
　　리눅스 컨테이너의 성격이 cgroup에 네임 스페이스를 통해 공정 분리 기술, 컨테이너 응용 프로그램은 다른 용기 사이의 주어진 자원, 불가침을 사용합니다.
　　보기의 컨테이너 응용 프로그램 포인트의 관점에서, 그것은 단지의 사용자 시스템에 주어진 컴퓨팅 및 스토리지 리소스를 참조 할 수 있지만,보기의 컨테이너 시스템 지점의 외부에서, 그것은 프로세스의 실행이다.
　　이 선박은하지 무엇을하는 것과 같은 사용자에 속하지만 클라우드 서비스, 프로세스의 서로 다른 사용자의 숫자를 실행하는 시스템 인 경우, 단지 주변의 공기 누출의 느낌이 생각한다면!
　　기술적 인 관점에서, 공식 블로그에서 AWS 때문에 보안 위험을 설명한다 :
　　운영 체제 커널 취약점, 도커 구성 요소 설계 결함뿐만 아니라 부적절한 구성하여 호스트 권한을 획득, 탈출 도커 컨테이너로 이어질 수 있기 때문에. 때문에 퍼블릭 클라우드 환경에서 자주 보안의 허점과 탈출에 컨테이너 응용 프로그램은 충족 절연 요구 사항에 가상 머신, 멀티 테넌트 (multi-tenant) 보안에서 실행되어야했다. 배포, 관리, 운영 및 이러한 기존의 가상 머신 및 컨테이너의 유지 보수 자원 활용하면서, 원래의 의도에 유연하고 탄력적 인 반면 경량뿐만 아니라 폐기물의 운영 효율을 유지한다.
　　본질적 컨테이너 보안 문제입니다에 의해이, 멀티 테넌트 (multi-tenant) 클라우드 네이티브 내부의 문제이다. 몇 년 전, 클러스터 서비스는 Kubernetes의 급속한 진행 클라우드 공급 업체의 소개하지만, 하나 제공하는 측면에서 컨테이너가 관리하지만, 문제가 해결 될 아직 때문에 속도가 느립니다.
　　또한, 멀티 테넌트 (multi-tenant) 문제는 교통 문제를 방지하기 위해, 응용 프로그램의 팀이 강한 분리해야뿐만 아니라 대중 클라우드, 프라이빗 클라우드는 또한 회사의 내부, 다른 부서에 존재하는 존재는 회사 전체에 영향을 미친다. 그러나 과거에, 우리는 용기의 모멘텀이 매우 강하다 사용이 문제가 베일을 볼 수 없습니다 척.
　　멀티 테넌트 (multi-tenant) 문제의 경우, 지역 사회가 점차적으로 몇 가지 솔루션을 가지고 있지만,하지만 매우 성숙하지 때문에,뿐만 아니라 랜드 마크 이벤트의 부족은 포 그라운드로 밀었다. 마지막으로 12 월 2018, AWS는 촬영.
　　우리 모두 알다시피, AWS는 업계의 선두 주자 클라우드 컴퓨팅,하지만 원래 용기가 물결의 물결 클라우드, AWS는, 궁극적으로는 컨테이너에 자신의 안전을 제공하는 것이 확실히 기꺼이 아니라, 추종자의 역할이되었다 대답은, 다시 모든 클라우드 공급 업체의 앞에서 걷고.
　　AWS 응답은 <강한> 폭죽 </ 강해> , 경량 가상 머신 (MicroVM)는,이 경량 항 모두를 시뮬레이션 할 수있는, QEMU로 표시되는 완전한 기능을 가상 머신에 상대적이다 하드웨어 장치. 폭죽은 결국 매우 섬세한 작업, 보호 지역의 보호를 떠나, 저장 지방을 배치 할 수 있습니다.
　　성능 측면에서, 폭죽 및 컨테이너가 매우 가까이왔다, 초기 의도는 AWS 람다의 서버를 사용하지 않는 서비스에 대한 보호를 제공하는 것입니다, 성능은 유지해야하며, 보안, 장소의 보호의 관점에서, 그것은 가상 머신을 제공합니다 보호의 수준은, 내부 및 외부 보호에서 모두 취약점과 ***이 될 수 있습니다.
　　AWS 또한 상기 방법은 도로가 가능하다는 보안 컨테이너를 해결하기 위해 가상 머신에 의해 도시 된 표준 컨테이너 폭죽를 구동하는데 사용될 수 있다는 것을 의미 containerd 폭죽 구현을 시작했다.
　　이 오픈 소스 커뮤니티이며, 상자 밖으로 할 수없는, 그리고는 Kubernetes 일부 호환성 문제가 있지만 그러나 AWS는 생태 보전의 자체적 인이 생태계의 폭죽도 일부있다.
　　이 때, 카타 컨테이너의 차례했다.
　　<strong>을 기본 클라우드 중심의 가상 </ strong>을
　　이전 컨테이너 보안 문제를 해결하기 위해 가상화 기술을 사용하려고 둘 하이퍼 runV 및 인텔 클리어 컨테이너로 알려진 카타 컨테이너.
　　모두 2015년 5월 천, 그리고 나중에 카타 컨테이너가 태어난, 그래서 총 함께 모여, 또는 병합 다른 유사한 기술로, 양쪽의 창시자을 발견했다.
　　이 때, 잠재적 인 응용 카타 컨테이너, 변화된 전략적 인프라에 열려있는 동시에, 카타 컨테이너가 두 번째 정상 개방 인프라 프로젝트로 인정됩니다 한눈에 강한 공세는 Kubernetes 및 CNCF OpenStack은 재단을 경험하고있다 OpenStack은 같은 수준.
　　그러나 카타 컨테이너 몇 년의 출생 후 시간,하지만 <strong>을 가하지 커뮤니티 개발자 </ strong>을 낙관적.
　　두 가지 중요한 이유는 먼저 카타는 첫날부터 가장 높은 우선 순위의 대상으로는 Kubernetes과 통합되지만 이전 버전의는 Kubernetes는 컨테이너를 실행하는 방법을 고려하면서, 기술 지원는 Kubernetes을 할 수 있다는 것입니다 일부 비 컨테이너를 만들기 위해 추가적인 노력이 필요있다 runC 용기도는 Kubernetes 가상 머신을 관리 할 수 있도록 좀 더 다른 방법입니다, 상승 할 것으로 보인다이었다.
　　둘째, 카타 있지만 주요 이유는 아래에서 상술 한, 및 QEMU 이루어지는대로 QEMU 도킹 시스템 인터페이스 레벨을 사용한다는 것, 상기 계면은 용기의 대부분과 호환되도록 가상 머신하지만 성능 저하 성공 코드 라인의 항목 수백만, 수천만, 문서 수천 카타의 노력을 간소화 할 수 있지만, 그러나 그것은 추가적인 성능 손실을 가져올 것이다, 또는 보안이되지 민감한 애플리케이션 어려운 동의하는 것입니다 때문에.
　　상황이 더 나은 설정이 해제 AWS 폭죽이 때, 폭죽은 여전히 멀리 떨어져 모든 AWS에게, 서버를 사용 지원, 컨테이너를 자신의 서버를 사용하지 않는 서비스, 그러나 명백한을 지원하는 것입니다? 폭죽은 카타 용기가 더 많은 관심을 받기 시작했다, 우리가 컨테이너 보안 문제에 더 많은 관심을 지불 할 수 있습니다.
　　한편, 카타는 최신 개발의 장점을 추가로 비용을 줄일 폭죽을 포함한 오픈 소스 커뮤니티를 포함 : 예를 들어, 지원 폭죽 적용 장면 VMM의 일부뿐만 아니라 자신의 녹 VMM 클라우드 하이퍼 바이저를 개발, 샌드 박스 에이전트로 다시 빛으로 대체 메모리 사용량이 감소로부터되도록 녹 제의 양은 더 1.1MB로 수십 MB보다 가시적 향상 및 비용이 허용되어왔다.
　　반면에, 카타 컨테이너 및 지역 사회의 자극 아래는 Kubernetes 보안 컨테이너에 동의 한 카타에 추가 처리를 할 더 이상 필요는 Kubernetes을 실행하기 시작했다.
　　행사의 카타 컨테이너 기념일, 그것은 자신의 정의는 제공의 <strong> 기본 가상 </ strong>를 클라우드 지향.
　　가 사용되는 가상화 기술의 본질하지만, 기존의 가상화에 비해, 카타 용기는 완전히 다른 방향을 취하고이기 때문에 가상화에 대한 강조하는 이유는, 구름이 아래 네이티브 가상화 시나리오에 적합합니다.
　　그러나 왜 안전 용기를라고? 이제 다시는 컨테이너를 시작할 때 카타 컨테이너, 사용 후 우리의 멀티 테넌트 (multi-tenant) 문제의 도입의 시작 부분, 사실, 가상 머신을 시작하는 것입니다,하지만이 가상 머신의 라이프 사이클, 성능 및 용기의 기능은 동일하다.
　　<strong>을 오리 테스트 </ strong>을 동물이 오리처럼 걷고 있다면, 오리처럼 회담, 오리처럼 보이는, 우리는 그것이 오리라고 생각, 오리처럼 펙 말한다. 도 카타 컨테이너를 넣습니다.
　　CRI 및 안전 용기 표시가 상업적 탐사를 의미하지 않았다 때문에 보안 문제에 대한 안 좋은 솔루션 부두 노동자 자신의 기술 로드맵은 좋은 결과를 가지고 있습니다.
　　카타 컨테이너의 <strong> 컨테이너의 미래를 보장 </ STRONG>
　　소프트웨어 세계는 많은 불확실성이있다, 그러나 우리는 보안 문제가 일어날 것이라는 점을 확실 할 수있다.
　　그럼, 어떻게 보안 문제를 해결하기 위해? : 리누스는이 문장 말했다
　　보안 버그가 발생 (보안 문제로 이어지는) 만 긍정적 허용 솔루션 만 추가 스페이서 층으로 라이브를 차단할 수 있습니다.
　　- LinuxCon NA 2015 년 리누스 토발즈 (Linus Torvalds)는
　　카타 컨테이너 아이디어입니다 절연의 추가 레이어를 추가 만 가능, 한번에 모든 선박의 안전에 대한 문제를 해결합니다.
　　그것은 언급 할만큼 가치입니다 보안 컨테이너의 <strong>뿐만 아니라 카타 컨테이너 및 폭죽은 </ STRONG>이 경로, 구글은 다른 경로를 gVisor를 시작, 그것은 더 순수 분리 층, 시스템의 모든 상위 응용 프로그램입니다 액세스 분리 층 과정이고, 상기 후 적은 수의 요청에 응답하여 호스트.
　　카타 컨테이너 작업을 2 년 후, 업계는 기능 환산 지능형 바이두 클라우드로, 따라하기 시작했다, 컨테이너 서비스는 에지 컴퓨팅 시도하기 시작했다.
　　2019, 카타 컨테이너 설립자 가입 개미 골드 드레스, 카타 컨테이너 개발 경로를 방해하지 않았다 개미, 카타 여전히 지역 사회 기반의 오픈 소스 프로젝트, 카타 컨테이너는 개미와 내부 알리에 착륙하기 시작했다.
　　카타 컨테이너의 미래는 물론, 더 중요한 것은, 용기 및 가상 머신이 균형을 찾기 위해 끊임없이 탐구에 균형, 카타 컨테이너 필요성이 개 끝처럼의, 성능을 최적화 할 것입니다.
　　AWS는 안전 용기 서버를 사용하지 않는 착륙 공용 클라우드의 핵심 기술 중 하나입니다 입증했다, 마찬가지로, 에지 컴퓨팅은 보안 컨테이너의 전형적인 애플리케이션 시나리오가 될 것입니다.
　　AWS는뿐만 아니라 구름과 함께 후속 다양한 제조업체는 폭발 봉쇄 착륙 안내합니다 2020 년 예상 할 수있다.
　　의 <strong> 카타 컨테이너 프로젝트 주소 : </ strong>
　　<a href=" https://github.com/kata-containers "target="_blank"> https://github.com/kata-containers </a>를 ;