万能卡片 0 }8 L! _3 ^0 `& q% {4 Y
当地时间4月21日上午,在荷兰阿姆斯特丹举办的KubeCon + CloudNativeCon Europe 2023云原生峰会上,CNCF董事、华为首席开源联络官任旭东宣布,云原生多沙箱容器运行时Kuasar正式开源。
4 v# j4 x9 e3 U( u v$ E9 I6 j1 i' m
Kuasar是华为云在容器运行时层面技术积累和探索的表现,其开源标志着华为云在该层面的技术和生态布局进一步完善。该项目计划后续捐赠给 CNCF,以促进云原生技术的发展。$ F+ u. Q2 L: R( M
6 X% b$ A |9 P; p生态合作
% Q' r* j2 u3 H8 f华为云一直积极参与并推动云原生技术发展,已先后发布云原生边缘计算项目KubeEdge、批量计算项目 Volcano、多云容器编排项目 Karmada 等一批优秀云原生开源项目,受到开源社区的广泛欢迎和肯定。
* l/ {" B( S& h% s6 E
1 K0 D, i& W" [4 {. PKuasar 项目由华为云、中国农业银行以及 openEuler 社区、WasmEdge 社区和Quark Containers 社区等联合发起,既有企业在容器运行时领域的技术积累和生产实践,又有开源社区在沙箱隔离技术层面的前沿探索和发展洞察,可以为企业和开发者提供详实有效的实践指导与帮助。使用 Kuasar,企业和开发者可以打破此前集群维度的沙箱壁垒,构建运维便捷、安全隔离、高效低噪的多沙箱容器资源池,满足云原生全场景下业务对容器运行时的诉求。, u: _/ }& k5 s1 d0 l! c
6 n2 {9 Z% n% t9 H$ A4 ]“Kuasar的开源将为广大开发者提供更多的选择和支持,为用户带来更高效、完善、灵活的云原生场景容器解决方案。”——华为首席开源联络官任旭东) Z, F7 q, c! |3 R4 U
1 L: u* G* {, o) E
“Kuasar 能同时无缝调度包括 WasmEdge 在内的多种安全应用容器。这是 WasmEdge 用户,尤其是搭建微服务、边缘应用与 AI 大模型应用的开发者一直在寻找的解决方案。”——WasmEdge项目创始人Michael Yuan
' U1 Z0 F" @0 U. |( I( X. @+ O9 ~, Z K( ~0 K' W& r2 T
“openEuler是全场景化的操作系统,但云、边、端对容器基础设施有差异化诉求。Kuasar 创新性支持多种沙箱混合部署、连接不同生态系统,满足多样化场景的要求,助力openEuler伙伴实现灵活、多样的容器化底座。”——openEuler 技术委员会主席胡欣蔚
3 y3 R0 u7 e& V* E/ X' p' M6 j
/ E) w8 s3 Y' G8 ^4 E3 p# B云原生多沙箱容器运行时 Kuasar 介绍. R8 F# Z6 Q* q4 {
随着企业数字化转型的深入,企业业务愈益关注云上创新和精益运营,“深度云化”对云原生技术提出了更高的要求。为了满足企业在云原生场景下的诉求,业界出现了多种容器隔离技术——我们统一称之为“沙箱”:包括基于内核的原生容器沙箱、基于轻量级虚拟化技术的 microVM 沙箱、基于进程级虚拟化的 App Kernel 沙箱,以及新兴的 WebAssembly 沙箱。然而,在实际的生产落地过程中,应用云原生的沙箱技术仍面临如下挑战:( d7 M, d9 z, b( p; X; K; K* M
6 q9 s7 O2 r. |
各类云原生场景对沙箱提出更高要求
. ^ E8 c% {$ `- r5 u v" X$ ^沙箱技术各有优劣,单一沙箱无法同时满足用户云上业务对安全隔离、极速低噪、标准通用等多个维度的要求,如何实现云原生业务场景全覆盖成为越来越多企业面临的问题。
`* c( \5 H0 n! y4 R. t3 z6 ~
% a$ t0 \, T0 g3 n支持多类沙箱带来运维压力显著上升! m2 X+ Y" z: Q J
当前业界沙箱技术对接容器运行时的实现缺乏统一开发框架,因此关键日志、重要事件、沙箱管理逻辑等均存在差异,新引入沙箱的同时运维压力陡增。
& w, r6 m4 J7 x; A: q$ O) Z; H# g% ?7 D& s9 y
Kuasar 结合了华为云多年生产业务实践以及对沙箱技术发展的思考,基于业界新兴的沙箱接口实现。在保留传统容器运行时功能的基础上,通过全面 Rust 化以及优化管理模型和框架等手段,进一步降低管理开销、简化调用链路,灵活扩展对业界主流沙箱技术的支持,实现云原生业务场景全覆盖。此外,通过支持多安全沙箱共节点部署,Kuasar可以充分利用节点资源、降本增效,为用户提供更安全高效的沙箱场景解决方案。
" F) B/ j1 U+ K/ B. w
5 ^% m- Q" ?2 c. T1 k, ^( I8 X0 b, b4 x( n& c o' S8 Q
$ R/ O/ V, v3 h) t! _6 G2 E
Kuasar项目全景
. n) Z) G+ ?7 \& d( A/ ~& `$ T
未来可期
) y; u- l! r2 ~0 W2 Y$ e3 G目前,在南向沙箱层面,Kuasar 已经支持包括 Cloud-Hypervisor(MicroVM类)、WasmEdge(Wasm类)、StratoVirt(MicroVM类)、Quark(App Kernel)在内的多类主流安全沙箱,Kuasar 与 openEuler、WasmEdge 社区的深度合作正在进行中,Kuasar 项目也期待与更多沙箱项目或社区开展合作,持续完善对各类主流沙箱技术的支持。
, T, l: \7 }+ T5 J. E7 V5 }$ I5 Z* I: Z
在北向接口层面,Kuasar 正在与业界主流容器运行时 containerd 联合构建最新的沙箱接口标准,已经加入 containerd v2.0 的版本路标;此外,openEuler 社区的轻量级容器引擎 iSulad 项目也已经完成与Kuasar项目的对接。
! `+ L1 L5 Z7 {+ O2 p
( C# p2 ~" h/ @7 w; Z面向未来,作为一个开放和可扩展的 多沙箱容器运行时,Kuasar 将发挥沙箱接口的优势,拥抱业界最新的 DRA(Dynamic Resource Allocation)、CDI(Container Device Interface) 等管理接口,为云原生场景带来更安全、高效、便捷的容器解决方案,为云原生应用提供更安全的保障。
4 C# f5 h7 q; z% S @( F+ N1 b+ N" w r7 x: T0 ?$ p) s
. l; K$ o1 p( i7 U |