首页
/ Frakti:为Kubernetes带来更强大的隔离与安全

Frakti:为Kubernetes带来更强大的隔离与安全

2024-09-22 14:41:35作者:虞亚竹Luna

项目介绍

Frakti 是一个基于 hypervisor 的容器运行时,专为 Kubernetes 设计。它通过 runV 实现 Kubernetes 的 Pod 和容器直接在 hypervisor 中运行。与基于 Linux 命名空间的容器运行时相比,Frakti 提供了更轻量级和可移植的解决方案,同时通过独立的内核提供了更强的隔离性。

Frakti

Frakti 作为 CRI(Container Runtime Interface)容器运行时服务器,其端点需要在启动 kubelet 时进行配置。在部署过程中,还需要 hyperd 作为 runV 的 API 封装。

项目技术分析

Frakti 的核心技术基于 runV,这是一个基于 hypervisor 的容器运行时,支持多种 hypervisor,如 QEMU、KVM 等。通过 runV,Frakti 能够在 hypervisor 中创建独立的虚拟机来运行 Pod,每个 Pod 都有自己的内核,从而实现了更强的隔离性和安全性。

此外,Frakti 还支持 CNI(Container Network Interface)网络插件,如 Flannel 和 Calico,使得跨主机网络配置变得简单。Frakti 还支持混合运行时模式,可以在同一节点上同时使用 runV 和 Docker,灵活应对不同的应用场景。

项目及技术应用场景

Frakti 特别适用于需要高安全性和强隔离性的场景,例如:

  • 多租户环境:在多租户环境中,不同租户的应用需要严格的隔离,Frakti 通过独立的内核提供了硬件级别的隔离,确保租户之间的数据和资源不会相互干扰。
  • 敏感数据处理:对于处理敏感数据的场景,Frakti 的强隔离性可以有效防止数据泄露和恶意攻击。
  • 混合云环境:在混合云环境中,Frakti 的轻量级和可移植性使其能够轻松部署在不同的云平台上,提供一致的运行时环境。

项目特点

  • 更好的安全性和隔离性:Frakti 通过硬件虚拟化提供 Pod 沙箱,每个 Pod 都有独立的内核,提供了比传统容器运行时更强的隔离性。
  • 无内核共享:每个 Pod 都有自己的内核,支持用户自定义内核(Bring Your Own Kernel),未来还将支持 LinuxKit 镜像。
  • 匹配 Kubernetes QoS 类别:Frakti 最适合运行设置了 resources.limits 的 Pod(即所有 Guaranteed 和大多数 Burstable Pod),否则 Frakti 会为 Pod 设置默认的资源限制。
  • 混合运行时模式:Frakti 支持在同一节点上混合使用 runV 和 Docker,用户可以通过添加 runtime.frakti.alpha.kubernetes.io/OSContainer 注解来指定运行时。
  • 持久化存储支持:Frakti 支持所有 Kubernetes 的持久化卷(PV),并支持直接将块设备挂载到 VM 中,提供更好的性能。
  • 跨主机网络:Frakti 完全基于 CNI,支持多种网络插件,如 Flannel 和 Calico,可以轻松实现跨主机网络配置。

Frakti 不仅提供了强大的隔离性和安全性,还保持了与传统 Linux 容器运行时(如 Docker)相同的行为,用户可以无缝迁移和使用。

结语

Frakti 为 Kubernetes 用户提供了一个全新的容器运行时选择,特别适合需要高安全性和强隔离性的应用场景。通过 Frakti,用户可以在 Kubernetes 中享受到硬件虚拟化带来的强大隔离性和安全性,同时保持与现有 Kubernetes 生态系统的兼容性。如果你正在寻找一个能够提供更高安全性和隔离性的容器运行时,Frakti 绝对值得一试。

登录后查看全文
热门项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
154
1.98 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
506
42
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
194
279
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
992
395
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
940
554
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
335
11
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
70