1.4. 一般的な用語
以下の用語は、このドキュメント全体で使用されています。
- サンドボックス
サンドボックスとは、プログラムが実行可能な分離された環境のことです。サンドボックスでは、ホストマシンやオペレーティングシステムに悪影響を及ぼすことなく、テストされていないプログラムまたは信頼できないプログラムを実行できます。
OpenShift Sandboxed Containers のコンテキストでは、仮想化を使用して異なるカーネルでワークロードを実行し、同じホストで実行される複数のワークロードとの間の対話を強化することでサンドボックス化を図ります。
- Pod
Pod は Kubernetes および OpenShift Container Platform から継承されるコンストラクトです。Pod とは、コンテナーのデプロイが可能なリソースを表します。コンテナーは Pod 内で実行され、Pod を使用して複数のコンテナー間で共有できるリソースを指定します。
OpenShift Sandboxed Containers のコンテキストでは、Pod が仮想マシンとして実装されます。同じ仮想マシンにある同じ Pod でコンテナーを複数実行できます。
- OpenShift Sandboxed Containers Operator
- OpenShift sandboxed containers Operator は、クラスター上の sandboxed containers のライフサイクルを管理します。OpenShift Sandboxed Containers Operator を使用して、Sandboxed Containers のインストールと削除、ソフトウェア更新、ステータス監視などのタスクを実行できます。
- Kata Container
- Kata Container は OpenShift sandboxed containers の構築に使用されるコアアップストリームプロジェクトです。OpenShift sandboxed containers は Kata Container と OpenShift Container Platform を統合します。
- KataConfig
-
KataConfig
オブジェクトは Sandboxed Containers の設定を表します。ソフトウェアのデプロイ先のノードなど、クラスターの状態に関する情報を保存します。 - ランタイムクラス
-
RuntimeClass
オブジェクトは、指定のワークロード実行に使用可能なランタイムを記述します。kata
という名前のランタイムクラスは、OpenShift の Sandboxed Containers Operator によってインストールされ、デプロイされます。ランタイムクラスには、ランタイムが Pod オーバーヘッド など、動作に必要なリソースを記述するランタイムに関する情報が含まれます。
- ピア Pod
OpenShift Sandboxed Containers のピア Pod は、標準 Pod の概念を拡張します。ピア Pod 内のワーカーノード自体に仮想マシンが作成される標準の Sandboxed Containers とは異なり、サポートされているハイパーバイザーまたはクラウドプロバイダー API を使用して、リモートハイパーバイザー経由で仮想マシンが作成されます。
ピア Pod はワーカーノード上で通常の Pod として機能し、対応する VM が別の場所で実行されます。VM のリモートの場所はユーザーに対して透過的であり、Pod 仕様のランタイムクラスによって指定されます。ピア Pod 設計により、ネストされた仮想化の必要性が回避されます。
- IBM Secure Execution
- Linux の IBM Secure Execution は、IBM z15® および LinuxONE III で導入された高度なセキュリティー機能です。この機能は、広範囲な暗号化によって提供される保護を拡張します。IBM Secure Execution は、保存中、転送中、使用中のデータを保護します。ワークロードを安全にデプロイでき、ライフサイクル全体にわたってデータを保護できます。詳細は、Introducing IBM Secure Execution for Linux を参照してください。
- Confidential Containers
Confidential Containers は、ワークロードがトラステッド実行環境 (TEE) で実行されていることを確認し、コンテナーとデータを保護します。この機能をデプロイして、ビッグデータ分析および機械学習推論のプライバシーを保護することができます。
Trustee は Confidential Containers のコンポーネントです。Trustee は、今後ワークロードを実行する場所や機密情報を送信する場所の信頼性を検証するアテステーションサービスです。Trustee には、信頼できる側にデプロイされ、リモートワークロードが Trusted Execution Environment (TEE) で実行されているかどうかを確認するために使用されるコンポーネントが含まれます。Trustee は柔軟性が高く、さまざまなアプリケーションやハードウェアプラットフォームをサポートするために、さまざまな設定でデプロイできます。
- Confidential compute attestation Operator
- Confidential compute attestation Operator は、Confidential Containers のインストール、ライフサイクル、設定を管理します。