1.4. 常见术语
以下是整个文档中所使用的术语:
- Sandbox
沙盒(sandbox)是一种隔离的环境,程序可以在其中运行。在沙盒中,您可以运行未经测试或不受信任的程序,而不影响到主机机器或操作系统。
在 OpenShift 沙盒容器环境中,沙盒通过使用虚拟化在不同的内核中运行工作负载来实现,从而增强了对在同一主机上运行的多个工作负载之间的交互的控制。
- Pod
pod 是继承自 Kubernetes 和 OpenShift Container Platform 的构造。它代表了可以部署容器的资源。容器在 pod 内运行,pod 用于指定可以在多个容器之间共享的资源。
在 OpenShift 沙盒容器上下文中,pod 被实施为一个虚拟机。多个容器可以在同一虚拟机上在同一 pod 中运行。
- OpenShift 沙盒容器 Operator
- OpenShift 沙盒容器 Operator 管理集群上沙盒容器的生命周期。您可以使用 OpenShift 沙盒容器 Operator 来执行任务,如安装和删除沙盒容器、软件更新和状态监控。
- Kata 容器
- Kata 容器是一个上游核心项目,用于构建 OpenShift 沙盒容器。OpenShift 沙盒容器将 Kata 容器与 OpenShift Container Platform 集成。
- KataConfig
-
KataConfig对象代表沙盒容器的配置。它们存储有关集群状态的信息,如部署软件的节点。 - 运行时类
-
RuntimeClass对象用于描述可以使用哪个运行时来运行给定工作负载。OpenShift 沙盒容器 Operator 安装和部署了名为kata的运行时类。运行时类包含有关运行时的信息,用于描述运行时需要运行的资源,如 pod 开销。
- 对等(peer)pod
OpenShift 沙盒容器中的对等 pod 扩展标准 pod 的概念。与标准沙盒容器不同,在 worker 节点本身上创建虚拟机,在对等 pod 中,虚拟机会使用任何支持的虚拟机监控程序或云供应商 API 通过远程 hypervisor 创建。
对等 pod 作为 worker 节点上的常规 pod,其对应的虚拟机在其他位置运行。虚拟机的远程位置对用户是透明的,并由 pod 规格中运行时类指定。对等 pod 设计对嵌套虚拟化的需求。
- IBM 安全执行
- Linux 的 IBM Secure Execution 是 IBM z15® 和 LinuxONE III 中引入的高级安全功能。此功能扩展了由广泛加密提供的保护。IBM Secure Execution 可在静态、传输和使用中保护数据。它启用了工作负载安全部署并确保整个生命周期的数据保护。如需更多信息,请参阅 Linux 的 IBM 安全执行。
- 机密容器
机密容器通过验证您的工作负载是否在受信任的执行环境(TEE)中运行来保护容器和数据。您可以部署此功能,以保护大数据分析和机器学习推测的隐私。
trustee 是机密容器的组件。trustee 是一个 attestation 服务,用于验证您要运行工作负载或计划发送机密信息的位置的可信度。信任者包括部署在可信端的组件,用于验证远程工作负载是否在可信执行环境(TEE)中运行。信任者非常灵活,可在多种不同的配置中部署,以支持各种应用程序和硬件平台。
- 机密计算(testation) Operator
- 机密计算(testation) Operator 管理机密容器的安装、生命周期和配置。
