作者|彦荣

1.png

2021 年 9月 15 日,Inclavare Containers 经过云原生核算基金会(CNCF)TOC 投票正式成为 CNCF 官方沙箱项目。Inclavare Containers 是一个开始由阿里云操作体系安全团队和云原生容器渠道团队共同研发,并联合 Intel 共同打造的业界首个面向秘要核算场景的开源容器运行时项目。

Inclavare Containers 项目地址:
github.com/alibaba/inc…

首个秘要核算开源容器运行时- Inclavare Containers

云原生环境下,秘要核算技能根据硬件可履行环境,为用户在运用(核算)过程中的灵敏数据提供了秘要性和完整性的维护,可是同时也面临着开发、运用和布置门槛高、灵敏运用容器化操作复杂、Kubernetes 不提供原生支撑、以及缺少一致的跨云布置计划等一系列问题;而 Inclavare Containers 正是为处理这些问题而生的。

2.png

Inclavare Containers 体系架构图

Inclavare Containers 可以与 Kubernetes 和 Docker 进行集成,是业界首个面向秘要核算场景的开源容器运行时,其目标是为业界和开源社区提供面向云原生场景的秘要容器技能、秘要集群技能和通用的长途证明安全架构,并力求成为该范畴的事实标准。该项目于 2020 年 5 月开源,短短一年多时间内发展迅速,吸引了很多范畴专家和工程师的重视与奉献。

五大特征功用,为用户数据保驾护航

Inclavare Containers 采用了新颖的办法在根据硬件的可信履行环境中启动受维护的容器,以避免不受用户信赖的实体拜访用户的灵敏数据。其中心功用和特点包括:

  • **移除对云服务提供商的信赖,完成零信赖模型:**Inclavare Containers 的安全威胁模型假定用户无需信赖云服务提供商,即用户作业负载的安全性不再依赖云服务提供商操控的特权组件。
  • **提供通用的长途证明安全架构:**经过构建通用且跨渠道的长途证明安全架构,可以向用户证明其灵敏的作业负载是运行在真实可信的根据硬件的可信履行环境中,且硬件的可信履行环境可以根据不同的秘要核算技能。
  • **定义了通用的 Enclave Runtime API 标准:**经过标准的 API 标准来对接各种形状的 Enclave Runtime,在简化特定的 Enclave Runtime 对接云原生生态的同时,也为用户提供了更多的技能挑选。现在,Occlum、Graphene 和 WAMR 均为 Inclavare Containers 提供了 Enclave 运行时的支撑。
  • **OCI兼容:**Inclavare Containers 项目设计并完成了契合 OCI 运行时标准的新型 OCI 运行时 rune,以便与现有的云原生生态体系保持一致,完成了秘要容器形状。用户的灵敏运用以秘要容器的形式布置和运行,并保持与运用普通容器相同的运用体感。
  • **与 Kubernetes 生态无缝整合:**Inclavare Containers 可以布置在任何公共云 Kubernetes 渠道中,完成了一致的秘要容器布置方法。

加快云原生基础设施拥抱秘要核算

Inclavare Containers 开源项目致力于经过结合学术界的原创研究和工业界的落地实践能力,加快云原生基础设施拥抱秘要核算,经过中立化的社区构建云原生秘要核算安全技能架构。除了现已与 Intel 建立了合作关系外,计划在之后与其他芯片厂商连续建立类似的合作关系;此外,咱们现已开始与高校和学术界建立新的合作关系,以挖掘出 Inclavare Containers 在秘要核算范畴的更多潜能。

作为业界首个面向秘要核算场景的开源容器运行时,Inclavare Containers 将向安全、更易用、智能可扩展的架构方向演进。在不断深化实施零信赖模型准则的同时,不断提高开发者和用户的运用体验,并最终完全消除与运行普通容器在运用体感上的差异。未来,Inclavare Containers 将持续与社区并肩、与生态同行,致力于推进云原生技能在秘要核算体系范畴的生态建设和遍及,与全球开发者一起拓展云原生的边界。

现在,Inclavare Containers 成为龙蜥社区云原生秘要核算 SIG 的项目之一:致力于经过开源社区合作共建的方法,向业界提供开源和标准化的秘要核算技能以及安全架构,推进云原生场景下的秘要核算技能的发展。

戳下方链接直达云原生秘要核算 SIG:
openanolis.cn/sig/coco