開源構建云原生基礎架構-云原生峰會（10頁）.pdf

1、開源構建云原生基礎架構Open Source Builds Cloud Native Infrastructure謝曉清英特爾軟件技術副總裁Intel與云原生沙箱容器機密容器硬件增強的K8sIntel Facilitates cloud Native Intel助力云原生Intel對云原生的思考：軟硬一體+開源共建Intel Cloud JourneyIntel云旅程沙箱容器-更安全，更穩定的容器運行時Sandbox Container開源社區Intel發起Clear ContainersKata容器共同發起人Kata 2.0正式發布，包含雙方共同推動的輕量化、模塊化、改進可觀測性、CLH作為

2、Kata VMM等featureKata 3.0 架構Intel和阿里云共同推進Kata 3.0的架構演進在多租戶場景下，更好地保證容器之間的隔離，提升系統安全性和穩定性以及服務質量2015202020192022 and beyondIntel 發起Cloud Hypervisor（CLH）,輕量化VMM阿里云沙箱容器部分關鍵組件合入CLH上游阿里巴巴成為 CLH 技術委員會成員云服務產品Intel和阿里云在云原生基礎平臺開展戰略合作阿里云沙箱容器2.0發布進一步合作提升Kata容器的易用性，可靠性和性能Process AGUEST LINUX KERNAL AProcess BHardwa

3、re VT-x/dGUEST LINUX KERNEL BHardware VT-HOST LINUX KERNELNamespaceNamespaceVMVMContainer AContainer B虛擬機級別的安全隔離和故障隔離，保護宿主機沙箱容器Container AContainer B傳統容器共享內核Process BProcess AFilter:SeccompMACCAPSNamespacesFilter:SeccompMACCAPSNamespacesHOST LINUX KERNELCPUMemoryNetworkStorage機密容器 補齊容器安全的最后一塊短板Confi

4、dential ContainerContainer AContainer B傳統容器共享內核Process BProcess AFilter:SeccompMACCAPSNamespacesFilter:SeccompMACCAPSNamespacesHOST LINUX KERNELCPUMemoryNetworkStorageContainer AContainer B虛擬機級別的安全隔離和故障隔離，保護宿主機/云廠商沙箱容器Process AGUEST LINUX KERNAL AProcess BHardware VT-x/dGUEST LINUX KERNEL BHardware

5、VT-x/dHOST LINUX KERNELNamespaceNamespaceVMVMContainer AContainer B內存硬件加密和硬件生成存儲秘鑰，保護客戶的數據和代碼不能被宿主機/云廠商窺探機密容器Process AGUEST LINUX KERNAL AProcess BHardware VT-x/dTDXGUEST LINUX KERNEL BHardware VT-x/dTDXHOST LINUX KERNELNamespaceNamespaceVMVM機密容器 開源端到端解決方案Confidential ContainerHost Platform(HW)TDXLi

6、nux KernelKVMEncryptedContainerImageKey BrokerAttestation Servicekubeletcontainerdkata-shim-v2VMMkata-agentattestationImage serviceTDRequest keyAttestation(Challenge)QuoteContainerk8s podTrustedUntrustedVTruntimeClass=kata-clh-tdxStartContainer軟硬一體的Kubernetes集群Hardware Enhanced K8s Cluster持久內存阿里云容器服

7、務ACK支持英特爾傲騰持久內存，大幅度提高容器IO性能（2到10倍），降低內存成本30%到50%服務質量阿里云容器服務ACK基于Intel RDT技術提供了對不同優先級任務的隔離能力，通過聲明化配置L3緩存和內存帶寬比例，可以實現普通任務重復對延遲敏感任務的擾動低于5%硬件加速使用Intel DSA加速容器內存遷移使用Intel DSA/DLB技術加速容器網絡包收發效率大幅度降低CPU使用以及帶來的額外開銷和干擾部署Intel據保護，滿足合規需求開源助力云原生New Future on Cloud普惠的云原生基礎設施生態開源項目/社區Intel132軟硬件一體的開源解決方案3POCPOC/用例產品化產品化提交Issue/代碼提交Issue/代碼24提出問題4客戶/伙伴