作者|彦荣
2021 年 9 月 15 日,Inclavare Containers 通过云原生计算基金会(CNCF)TOC 投票正式成为 CNCF 官网沙箱我的项目。Inclavare Containers 是一个最后由阿里云操作系统平安团队和云原生容器平台团队独特研发,并联结 Intel 独特打造的业界首个面向秘密计算场景的开源容器运行时我的项目。
Inclavare Containers 我的项目地址:
https://github.com/alibaba/in…
首个秘密计算开源容器运行时 - Inclavare Containers
云原生环境下,秘密计算技术基于硬件可执行环境,为用户在应用(计算)过程中的敏感数据提供了机密性和完整性的爱护,然而同时也面临着开发、应用和部署门槛高、敏感利用容器化操作简单、Kubernetes 不提供原生反对、以及不足对立的跨云部署计划等一系列问题;而 Inclavare Containers 正是为解决这些问题而生的。
<p style=”text-align:center”>Inclavare Containers 零碎架构图 </p>
Inclavare Containers 可能与 Kubernetes 和 Docker 进行集成,是业界首个面向秘密计算场景的开源容器运行时,其指标是为业界和开源社区提供面向云原生场景的秘密容器技术、秘密集群技术和通用的近程证实平安架构,并力争成为该畛域的事实标准。该我的项目于 2020 年 5 月开源,短短一年多工夫内倒退迅速,吸引了泛滥领域专家和工程师的关注与奉献。
五大特色性能,为用户数据保驾护航
Inclavare Containers 采纳了新鲜的办法在基于硬件的可信执行环境中启动受爱护的容器,以避免不受用户信赖的实体拜访用户的敏感数据。其外围性能和特点包含:
- 移除对云服务提供商的信赖,实现零信赖模型:Inclavare Containers 的平安威逼模型假如用户无需信赖云服务提供商,即用户工作负载的安全性不再依赖云服务提供商管制的特权组件。
- 提供通用的近程证实平安架构: 通过构建通用且跨平台的近程证实平安架构,可能向用户证实其敏感的工作负载是运行在真实可信的基于硬件的可信执行环境中,且硬件的可信执行环境能够基于不同的秘密计算技术。
- 定义了通用的 Enclave Runtime API 标准: 通过规范的 API 标准来对接各种状态的 Enclave Runtime,在简化特定的 Enclave Runtime 对接云原生生态的同时,也为用户提供了更多的技术抉择。目前,Occlum、Graphene 和 WAMR 均为 Inclavare Containers 提供了 Enclave 运行时的反对。
- OCI 兼容:Inclavare Containers 我的项目设计并实现了合乎 OCI 运行时标准的新型 OCI 运行时 rune,以便与现有的云原生生态系统保持一致,实现了秘密容器状态。用户的敏感利用以秘密容器的模式部署和运行,并放弃与应用一般容器雷同的应用体感。
- 与 Kubernetes 生态无缝整合:Inclavare Containers 能够部署在任何公共云 Kubernetes 平台中,实现了对立的秘密容器部署形式。
减速云原生基础设施拥抱秘密计算
Inclavare Containers 开源我的项目致力于通过联合学术界的原创钻研和工业界的落地实际能力,减速云原生基础设施拥抱秘密计算,通过中立化的社区构建云原生秘密计算平安技术架构。除了曾经与 Intel 建设了单干关系外,打算在之后与其余芯片厂商陆续建设相似的单干关系;此外,咱们曾经开始与高校和学术界建设新的单干关系,以挖掘出 Inclavare Containers 在秘密计算畛域的更多潜能。
作为业界首个面向秘密计算场景的开源容器运行时,Inclavare Containers 将向平安、更易用、智能可扩大的架构方向演进。在一直深入施行零信赖模型准则的同时,一直晋升开发者和用户的应用体验,并最终齐全打消与运行一般容器在应用体感上的差别。将来,Inclavare Containers 将持续与社区并肩、与生态同行,致力于推动云原生技术在秘密计算零碎畛域的生态建设和遍及,与寰球开发者一起拓展云原生的边界。
目前,Inclavare Containers 成为龙蜥社区云原生秘密计算 SIG 的我的项目之一:致力于通过开源社区单干共建的形式,向业界提供开源和标准化的秘密计算技术以及平安架构,推动云原生场景下的秘密计算技术的倒退。
戳下方链接中转云原生秘密计算 SIG:
https://openanolis.cn/sig/coco