对接iSula安全容器

[[toc]]

概述

为了给容器提供更好的隔离环境,提高系统安全性,在使用iSula安全容器场景下,需要将kata对接StratoVirt。

对接iSula安全容器

前提条件

已安装iSulad和kata-containers。

对接操作

kata配置文件的默认路径为:/usr/share/defaults/kata-containers/configuration.toml

  1. 编译kata-kernel。

    cp x86_64_kata_kvm_4.14.x /home/kernel/.config
    
    • 进入kernel/文件夹,执行命令编译:
    make -j vmlinux
    objcopy -O binary vmlinux vmlinux.bin
    
  2. 编译kata-containers-initrd.img。

    • 下载kata_integration
    • 进入kata_integration目录并下载kata-agent
    • 在kata_integration目录下创建文件夹build
    • 重命名kata-agent目录为agent
    • 进入agent文件夹
    • 打patch:
    ./apply-patches
    
    • 进入kata_integration目录并编译:
    make initrd
    
    • 进入build文件夹并查看编译结果:kata-agent kata-containers-initrd.img
  3. 修改配置文件,将安全沙箱的hypervisor类型配置为stratovirt。

    [hypervisor.stratovirt]
    path = "/home/stratovirt.sh"
    kernel = "/home/kernel/vmlinux.bin"
    initrd = "/var/lib/kata/kata-containers-initrd.img"
    block_device_driver = "virtio-mmio"
    use_vsock = true
    enable_netmon = false
    internetworking_model="none"
    sandbox_cgroup_with_emulator = false
    disable_new_netns = false
    
  4. 将安全沙箱的执行文件路径path配置为stratovirt.sh的绝对路径。stratovirt.sh的内容如下:

    #!/bin/bash
    export STRATOVIRT_LOG_LEVEL=info  # set log level which includes trace, debug, info, warn and error.
    /usr/bin/stratovirt $@
    
  5. 运行iSulad,完成kata和StratoVirt的对接。

    $ isula run -tid --runtime=kata-runtime --name test busybox:latest sh
    

有奖捉虫 help

“有虫”文档片段

0/500

存在的问题

文档存在风险与错误

● 拼写,格式,无效链接等错误;

● 技术原理、功能、规格等描述和软件不一致,存在错误;

● 原理图、架构图等存在错误;

● 版本号不匹配:文档版本或内容描述和实际软件不一致;

● 对重要数据或系统存在风险的操作,缺少安全提示;

● 排版不美观,影响阅读;

内容描述不清晰

● 描述存在歧义;

● 图形、表格、文字等晦涩难懂;

● 逻辑不清晰,该分类、分项、分步骤的没有给出;

内容获取有困难

● 很难通过搜索引擎,openEuler官网,相关博客找到所需内容;

示例代码错误

● 命令、命令参数等错误;

● 命令无法执行或无法完成对应功能;

内容有缺失

● 关键步骤错误或缺失,无法指导用户完成任务,比如安装、配置、部署等;

● 缺少必要的前提条件、注意事项等;

0/500

您对文档的总体满意度

非常不满意
非常满意

请问是什么原因让您参与到这个问题中

您的邮箱

创Issue赢奖品
根据您的反馈,会自动生成issue模板。您只需点击按钮,创建issue即可。

一共有个关于的结果