长期支持版本

    社区创新版本

      对接iSula安全容器

      概述

      为了给容器提供更好的隔离环境,提高系统安全性,在使用iSula安全容器场景下,需要将kata对接StratoVirt。

      对接iSula安全容器

      前提条件

      已安装iSulad和kata-containers。

      对接操作

      kata配置文件的默认路径为:/usr/share/defaults/kata-containers/configuration.toml

      1. 编译kata-kernel。

        cp x86_64_kata_kvm_4.14.x /home/kernel/.config
        
        • 进入kernel/文件夹,执行命令编译:
        make -j vmlinux
        objcopy -O binary vmlinux vmlinux.bin
        
      2. 编译kata-containers-initrd.img。

        • 下载kata_integration
        • 进入kata_integration目录并下载kata-agent
        • 在kata_integration目录下创建文件夹build
        • 重命名kata-agent目录为agent
        • 进入agent文件夹
        • 打patch:
        ./apply-patches
        
        • 进入kata_integration目录并编译:
        make initrd
        
        • 进入build文件夹并查看编译结果:kata-agent kata-containers-initrd.img
      3. 修改配置文件,将安全沙箱的hypervisor类型配置为stratovirt。

        [hypervisor.stratovirt]
        path = "/home/stratovirt.sh"
        kernel = "/home/kernel/vmlinux.bin"
        initrd = "/var/lib/kata/kata-containers-initrd.img"
        block_device_driver = "virtio-mmio"
        use_vsock = true
        enable_netmon = false
        internetworking_model="none"
        sandbox_cgroup_with_emulator = false
        disable_new_netns = false
        
      4. 将安全沙箱的执行文件路径path配置为stratovirt.sh的绝对路径。stratovirt.sh的内容如下:

        #!/bin/bash
        export STRATOVIRT_LOG_LEVEL=info  # set log level which includes trace, debug, info, warn and error.
        /usr/bin/stratovirt $@
        
      5. 运行iSulad,完成kata和StratoVirt的对接。

        $ isula run -tid --runtime=kata-runtime --name test busybox:latest sh
        

      文档捉虫

      “有虫”文档片段

      问题描述

      提交类型 issue

      有点复杂...

      找人问问吧。

      PR

      小问题,全程线上修改...

      一键搞定!

      问题类型
      规范和低错类

      ● 错别字或拼写错误;标点符号使用错误;

      ● 链接错误、空单元格、格式错误;

      ● 英文中包含中文字符;

      ● 界面和描述不一致,但不影响操作;

      ● 表述不通顺,但不影响理解;

      ● 版本号不匹配:如软件包名称、界面版本号;

      易用性

      ● 关键步骤错误或缺失,无法指导用户完成任务;

      ● 缺少必要的前提条件、注意事项等;

      ● 图形、表格、文字等晦涩难懂;

      ● 逻辑不清晰,该分类、分项、分步骤的没有给出;

      正确性

      ● 技术原理、功能、规格等描述和软件不一致,存在错误;

      ● 原理图、架构图等存在错误;

      ● 命令、命令参数等错误;

      ● 代码片段错误;

      ● 命令无法完成对应功能;

      ● 界面错误,无法指导操作;

      风险提示

      ● 对重要数据或系统存在风险的操作,缺少安全提示;

      内容合规

      ● 违反法律法规,涉及政治、领土主权等敏感词;

      ● 内容侵权;

      您对文档的总体满意度

      非常不满意
      非常满意
      提交
      根据您的反馈,会自动生成issue模板。您只需点击按钮,创建issue即可。
      文档捉虫
      编组 3备份