1、安全容器的发展与思考刘奖阿里云智能资深技术专家王旭蚂蚁金服资深技术专家Kata Containers Arch CommitteeContents01目录安全容器的机遇和挑战02阿里云安全容器技术的发展历程03安全容器在阿里巴巴集团的应用04安全容器的演进与未来容器技术日渐普及，并快速进入企业生产系统0%20%40%60%80%100%2017年2018年2019年已采用容器技术未采用容器技术不确定90%9%1%已经投产尚未投产不确定您的企业是否已经采纳容器技术？是否已经在生产系统中采用容器技术？数据源：2019 Container Adoption Survey，Portworx and A

2、qua Security87%企业采用容器技术依然面临安全挑战https:/thenewstack.io/security-worries-rise-as-container-adoption-increases/Of the 266 that have containers in production,47 percent said the containers had vulnerabilities,with that figure rising to 58 percent for those with more than 100 containers in production.The

3、percentage of those that“dont know”if there are vulnerabilities declines as the number of containers running increases.容器供应链安全Container Supply Chain Security基础设施安全Infrastructure Security容器运行时安全端到端的安全容器服务Container Runtime SecurityContents01目录安全容器的机遇和挑战02阿里云安全容器技术的发展历程03安全容器在阿里巴巴集团的应用04安全容器的演进与未来成也萧何：

4、方便易用高性能低开销败也萧何：安全隔离性 不够健壮性能隔离性 不够健壮故障隔离域 过大基于Linux共享内核的容器引擎物理服务器虚拟机Linux 内核调度IPCFSNet驱动内存应用容器行业需要 高效、安全、稳定、低开销、生态兼容的容器引擎？The only real solution to security is to admit that bugs happen,and then mitigate them by having multiple layers.”-Linus Torvalds(LinuxCon NA 2015,Seattle)基于独立内核构建安全的容器引擎基于VM基于独立内

5、核的容器引擎CRM 物理服务器Host OS硬件虚拟化CRM 虚拟机Guest 内核容器引擎容器实例CRM 虚拟机Guest 内核容器引擎容器实例CRM VMGuest Linux 内核容器引擎容器物理服务器Host OS硬件虚拟化容器引擎CRM 虚拟机容器专用内核容器实例CRM 虚拟机容器专用内核容器实例CRM MicroVM定制Linux内核基于MicroVM物理服务器Host OS容器容器容器CRM CRM 容器进程模拟Linux内核容器引擎硬件虚拟化容器容器物理服务器Host OS容器引擎CRM CRM CRM 容器Library OS容器业务逻辑基于进程虚拟化CRM CRM 容器进程

6、模拟Linux内核容器引擎硬件虚拟化容器容器CRM CRM 容器进程模拟Linux内核容器引擎硬件虚拟化容器容器CRM CRM CRM 容器Library OS容器业务逻辑CRM CRM CRM 容器Library OS容器业务逻辑基于Unikernel/LibOSKata Containers 项目简介Kata Containers is an open source community working to build a secure container runtime with lightweight virtual machines that feel and perform lik

7、e containers,but provide stronger workload isolation using hardware virtualization technology as a second layer of defense.OpenStack Foundation旗下的顶级开放基础设施项目；发布于2017年，主要社区贡献者来自于Intel，蚂蚁金服和阿里云，IBM，华为，ARM等Kata Containers 架构CRI DaemonCRIgRPCUnix Socket1:1kubeletshim for runCrunC cmdlinerunC containershi

8、m for runCrunC containershim for runCrunC containerPod SandboxKata-shim-v2Shim V2 APIttRPCUnix Socket1 per container or1 per podProcess operationsguest kernelagentuser containeruser containeruser containeragent protogRPCvSockPod SandboxVMMQemu orFirecracker基于独立内核的安全容器技术方案基于VM基于独立内核的容器引擎.基于MicroVM基于进

9、程虚拟化基于LibraryOSKata ContainersKata ContainersAlibaba Cloud SandboxAlibaba Cloud SandboxWSL2WSL2HyperHyper-v v ContainersContainersWSLWSLCloud Cloud HypervisorHypervisorFirecrackerFirecrackerPacificPacificProjectProjectNablaNabla ContainersContainersgVisorgVisorHyper.sh 创立;runV 开源Intel 发布 ClearContai

10、ners播种20019MaxCompute商用vLinux技术生根商用基于VM的安全容器研发Alibaba Cloud Sandbox成长Alibaba Cloud Sandbox商用支持ECI、ACK、SAE、边缘计算等服务开花阿里云内外安全容器发展历程2017研发基于VM的安全容器萌芽开始研发vLinux，利用VM技术运行容器服务Hyper.sh 发布基于runV的容器云服务Kubernetes 引入CRIAzure发布ACI服务Hyper.sh 与 Intel 宣布Kata Containers项目Hyper.sh团队加入蚂蚁金服，和阿里的容器团队一起推进安全容器技

11、术发展Google开源gVisorAWS开源FirecrackerContents01目录安全容器的机遇和挑战02阿里云安全容器技术的发展历程03安全容器在阿里巴巴集团的应用04安全容器的演进与未来阿里云安全沙箱支持丰富的业务场景CRM 故障、性能隔离故障、性能隔离公共云阿里云安全沙箱容器runtime容器镜像容器存储容器网络专有云边缘云Runc容器(可信代码）安全容器(可信代码）安全容器(可信代码）Runc容器(可信代码）Legacy应用执行不可信代码执行不可信代码安全容器（不可信代码）安全容器（不可信代码）安全容器（可信代码）多租户服务多租户服务安全容器（用户C）安全容器（用户B）安全容器

12、（用户A）安全容器（可信代码）安全容器（用户A）阿里云安全沙箱软件架构CRM 安全的基础设施阿里云安全沙箱物理机(ECS.ECI)容器管控容器网络容器存储容器引擎Alibaba CloudLinux容器镜像精简设备模型EBM(ECS,ECI)存储(EBS,OSS,NAS)网络(VPC,ENI)精简加固的Hypervisor容器镜像分发Alibaba CloudLinux for SandboxUntouchableMemory计算密集型任务IO 密集型任务业务突发型任务均衡型业务云原生（容器）业务沙箱启动时间500ms200/s200/s内存开销2.5M2.5M阿里云安全沙箱技术指标Contents01目录安全容器的机遇和挑战02阿里云安全容器技术的发展历程03安全容器在阿里巴巴集团的应用04安全容器的演进与未来超越虚拟机的安全性云服务的多租户金融服务的强隔离持平runc的性能全栈优化无缝对接生态源于开源、融入开源、贡献开源构建理想的安全容器引擎CNCFKubernetesKataContainers合作共建，开放共赢阿里云安全沙箱Rust-vmm ProjectAlibabaCloud Linux谢谢！