第 2 章 了解 OpenShift 沙盒容器
OpenShift 沙盒容器支持 OpenShift Container Platform 为用户提供对将 Kata Containers 作为额外可选运行时运行的内置支持。这对希望执行以下任务的用户特别有用:
- 运行特权或不受信任的工作负载。
- 确保每个工作负载的内核隔离。
- 在租户之间共享相同的工作负载。
- 确保正确隔离和沙盒测试软件。
- 确保跨越 VM 边界的默认资源控制。
OpenShift 沙盒容器还让用户能够从希望运行的工作负载类型中进行选择,以满足不同的用例。
您可以使用 OpenShift 沙盒容器 Operator 来执行诸如安装和删除、更新和状态监控等任务。
沙盒容器仅在裸机上受支持。
Red Hat Enterprise Linux CoreOS(RHCOS)是 OpenShift 沙盒容器 1.0.0 唯一支持的操作系统。
2.1. OpenShift 沙盒容器常用术语
以下是整个文档中所使用的术语:
- Sandbox
沙盒(sandbox)是一种隔离的环境,程序可以在其中运行。在沙盒中,您可以运行未经测试或不受信任的程序,而不影响到主机机器或操作系统。
在 OpenShift 沙盒容器环境中,沙盒通过使用虚拟化在不同的内核中运行工作负载来实现,从而增强了对在同一主机上运行的多个工作负载之间的交互的控制。
- Pod
pod 是继承自 Kubernetes 和 OpenShift Container Platform 的构造。它代表了可以部署容器的资源。容器在 pod 内运行,pod 用于指定可以在多个容器之间共享的资源。
在 OpenShift 沙盒容器上下文中,pod 被实施为一个虚拟机。多个容器可以在同一虚拟机上在同一 pod 中运行。
- OpenShift 沙盒容器 Operator
Operator 是一个软件组件,可自动执行一般需要人工在系统上执行的操作。
OpenShift 沙盒容器 Operator 的任务是管理集群上沙盒容器的生命周期。它涉及如安装和删除沙盒容器软件以及状态监控等操作。
- Kata 容器
- Kata 容器是一个上游核心项目,用于构建 OpenShift 沙盒容器。OpenShift 沙盒容器将 Kata 容器与 OpenShift Container Platform 集成。
- KataConfig
-
KataConfig
对象代表沙盒容器的配置。它们存储有关集群状态的信息,如部署软件的节点。 - RHCOS 扩展
- Red Hat Enterprise Linux CoreOS(RHCOS)扩展是安装可选 OpenShift Container Platform 软件的一种机制。OpenShift 沙盒容器 Operator 使用此机制在集群中部署沙盒容器。
- 运行时类
-
RuntimeClass
对象用于描述可以使用哪个运行时来运行给定工作负载。OpenShift 沙盒容器 Operator 安装和部署了名为kata
的运行时类。运行时类包含有关运行时的信息,用于描述运行时需要运行的资源,如 pod 开销。