第 4 章 技术预览
本节列出了 OpenShift 沙盒容器 1.8 中的所有技术预览。
如需更多信息,请参阅技术预览功能支持范围。
IBM Z 和 IBM LinuxONE 的对等 pod 支持
您可以通过在 IBM Z® 和 IBM® LinuxONE (s390x 架构)上使用对等 pod 部署 OpenShift 沙盒容器工作负载,而无需嵌套虚拟化。
Jira:KATA-2030
Microsoft Azure Cloud Computing Services、IBM Z 和 IBM LinuxONE 上的机密容器
机密容器为云原生应用提供了增强的安全性,允许它们在称为受信任的执行环境(TEE)的安全和隔离的环境中运行,这样可以保护容器及其数据,即使在使用时也是如此。
请注意以下限制:
- 没有对机密虚拟机(CVM)根文件系统(rootfs)的加密和完整性保护:CVM 在 TEE 中执行,并运行容器工作负载。缺少对 rootfs 的加密和完整性保护功能可能会允许恶意管理员破坏写入 rootfs 的敏感数据,或者修改 rootfs 数据。rootfs 的完整性保护和加密目前正在进行中。您必须确保所有应用程序写入都在内存中。
- 没有加密的容器镜像支持:当前只有签名的容器镜像支持。加密的容器镜像支持正在进行中。
- Kata shim 和 CVM 中的代理组件之间的通信受到篡改:CVM 中的代理组件负责从 OpenShift worker 节点上运行的 Kata shim 执行 Kubernetes API 命令。我们使用 CVM 中的代理策略来关闭 Kubernetes exec 和日志 API,以避免通过 Kubernetes API 破坏敏感数据。但是,这是不完整的;进一步的工作是强化 shim 和代理组件之间的通信频道。可以使用 pod 注解在运行时覆盖代理策略。目前,pod 中的运行时策略注解不会通过 attestation 进程验证。
- 不支持加密的 pod 到 pod 通信:Pod 到 pod 的通信是未加密的。您必须在应用程序级别使用 TLS 进行所有 pod 到 pod 通信。
- worker 节点上和 CVM 内的镜像重复拉取:在 TEE 中执行的 CVM 中下载并执行容器镜像。但是,当前镜像也下载到 worker 节点上。
- 为机密容器构建 CVM 镜像需要集群中提供 OpenShift 沙盒容器 Operator。
Jira:KATA-2416
