对接iSula安全容器

概述

为了给容器提供更好的隔离环境，提高系统安全性，可以使用 iSula 安全容器，即将 StratoVirt 对接 iSula 安全容器。

对接iSula安全容器

前提条件

已安装 iSulad 和 kata-containers，并确保 iSulad 支持 containerd-kata-shim-v2 容器运行时和 devicemapper 存储驱动。

此处给出安装 iSulad 和 kata-containers 并进行相应配置的参考方法。

配置 yum 源，使用 root 权限安装 iSulad 和 kata-containers ：
```
# yum install iSulad
# yum install kata-containers
```

制作并配置存储 Storage：

需要用户规划好磁盘如/dev/sdxx,该磁盘会被格式化。

 # pvcreate /dev/sdxx
 # vgcreate isulaVG0 /dev/sdxx
 # lvcreate --wipesignatures y -n thinpool isulaVG0 -l 95%VG
 # lvcreate --wipesignatures y -n thinpoolmeta isulaVG0 -l 1%VG
 # lvconvert -y --zero n -c 512K --thinpool isulaVG0/thinpool --poolmetadata isulaVG0/thinpoolmeta

在配置文件 /etc/lvm/profile/isulaVG0-thinpool.profile 中添加如下：

activation {
    thin_pool_autoextend_threshold=80
    thin_pool_autoextend_percent=20
}

更改配置文件/etc/isulad/daemon.json中的storage-driver 和 storage-opts 如下：将默认存储驱动类型 overlay 配置成 devicemapper 。

"storage-driver": "devicemapper",
"storage-opts": [
 "dm.thinpooldev=/dev/mapper/isulaVG0-thinpool",
 "dm.fs=ext4",
 "dm.min_free_space=10%"
],

重启 isulad ：

 # systemctl daemon-reload
 # systemctl restart isulad

确认 iSula 存储驱动是否配置成功：
```
 # isula info
```
若回显有如下信息，说明配置成功。
```
Storage Driver: devicemapper
```

对接指导

StratoVirt 通过对接 kata-containers来接入 isula 容器生态，此处给出对接 kata-containers 的操作指导。

对接轻量虚拟机

修改 kata 配置文件（默认路径为 /usr/share/defaults/kata-containers/configuration.toml，也可以参考同一目录下的configration-stratovirt.toml进行配置）。将安全容器的 hypervisor 类型修改为 stratovirt，kernel 修改为 kata-containers 的 kernel 镜像绝对路径，initrd 修改为 kata-containers 的 initrd 镜像文件（使用 yum 安装 kata-containers 时，默认会下载这两个镜像文件并存放在 /var/lib/kata/ 目录，配置时也可以使用其他镜像）。
替换的配置内容参考如下：
```
[hypervisor.stratovirt]
path = "/usr/bin/stratovirt"
kernel = "/var/lib/kata/kernel"
initrd = "/var/lib/kata/kata-containers-initrd.img"
machine_type = "microvm"
block_device_driver = "virtio-mmio"
use_vsock = true
enable_netmon = true
internetworking_model="tcfilter"
sandbox_cgroup_with_emulator = false
disable_new_netns = false
disable_block_device_use = false
disable_vhost_net = true
```
使用 root 权限和 isula 命令运行 busybox 安全容器，完成 StratoVirt 和安全容器的对接。
```
# isula run -tid --runtime "io.containerd.kata.v2" --net=none --name test busybox:latest sh
```
使用 isula ps 确认安全容器 test 正常运行，然后通过以下命令进入 test 容器。
```
# isula exec -ti test sh
```
通过虚拟机快照加速安全容器的启动速度，降低虚拟机内存开销。
修改 kata 配置文件 configuration.toml，将配置项 enable_template 设置为 true，即允许虚拟机通过制作快照方式进行启动：
```
[factory]
# VM templating support. Once enabled, new VMs are created from template
# using vm cloning. They will share the same initial kernel, initramfs and
# agent memory by mapping it readonly. It helps speeding up new container
# creation and saves a lot of memory if there are many kata containers running
# on the same host.
#
# When disabled, new VMs are created from scratch.
#
# Note: Requires "initrd=" to be set ("image=" is not supported).
#
# Default false
enable_template = true
```
配置项 enable_template 设置为 true 后，kata-containers 创建安全容器时，将会检查默认路径（/run/vc/vm/template）下是否存在快照文件，如果存在，直接以该快照文件启动虚拟机，如果不存在，则会创建虚拟机快照，创建完成后，以该快照文件启动虚拟机。
通过安全组件 ozone 进一步增强安全容器的隔离性。
修改 kata 配置文件 configuration.toml，将配置项 ozone_path 设置为 ozone 可执行文件的路径（如果使用 yum 安装 stratovirt，ozone 可执行文件默认在 /usr/bin 目录下）。配置该项后，将打开 ozone 安全沙箱功能，作为虚拟化层隔离被攻击者突破后的保险，进一步增强 StratoVirt 安全容器的隔离性：
```
# Path for the ozone specific to stratovirt
# If the ozone path is set, stratovirt will be launched in
# ozone secure environment. It is disabled by default.
ozone_path = "/usr/bin/ozone"
```

至此，可以在 test 容器内运行容器命令。

对接标准虚拟机

使用 StratoVirt 标准虚拟机作为安全容器的 sandbox，需要额外修改少量配置。具体步骤如下：

配置参考如下：

[hypervisor.stratovirt]
path = "/usr/bin/stratovirt"
kernel = "/var/lib/kata/kernel"
initrd = "/var/lib/kata/kata-containers-initrd.img"
# x86_64 架构
machine_type = "q35"
# aarch64 架构
machine_type = "virt"
block_device_driver = "virtio-blk"
pcie_root_port = 2
use_vsock = true
enable_netmon = true
internetworking_model = "tcfilter"
sandbox_cgroup_with_emulator = false
disable_new_netns = false
disable_block_device_use = false
disable_vhost_net = true

上述配置中，需要根据主机架构，修改对应的虚拟机机型。需要将 block_device_driver 驱动类型改为 virtio-blk。另外，StratoVirt 只支持将设备热插到root port，根据需要热插的设备数量，合理设置 pcie_root_port 值。

安装启动标准虚拟机需要的固件
x86_64 架构：
```
# yum install -y edk2-ovmf
```
aarch64 架构：
```
# yum install -y edk2-aarch64
```
编译替换为 kata-containers 2.x 版本二进制
当前只为 kata-containers 2.x 版本（对应 kata-containers 源码仓的 openEuler-21.09 分支）适配了 StratoVirt 标准虚拟机作为 sandbox。因此，需要手动下载 kata-containers 源码，编译并替换 /usr/bin 目录下的 containerd-shim-kata-v2 二进制文件。
```
# mkdir -p /root/go/src/github.com/
# cd /root/go/src/github.com/
# git clone https://gitee.com/src-openeuler/kata-containers.git
# cd kata-containers
# git checkout openEuler-21.09
# ./apply-patches
# cd src/runtime
# make
```
编译出的二进制位 containerd-shim-kata-v2，需要将默认 /usr/bin/ 目录的 kata 二进制备份后替换：
```
# cp /usr/bin/containerd-shim-kata-v2 /usr/bin/containerd-shim-kata-v2.bk
# cp containerd-shim-kata-v2 /usr/bin/containerd-shim-kata-v2
```
使用 root 权限和 isula 命令运行 busybox 安全容器，完成 StratoVirt 和安全容器的对接。
```
# isula run -tid --runtime "io.containerd.kata.v2" --net=none --name test busybox:latest sh
```
使用 isula ps 确认安全容器 test 正常运行，然后通过以下命令进入 test 容器。
```
# isula exec -ti test sh
```

文档捉虫

“有虫”文档片段

问题描述

提交类型 issue

有点复杂...

找人问问吧。

小问题，全程线上修改...

一键搞定！

问题类型

规范和低错类

● 错别字或拼写错误；标点符号使用错误；

● 链接错误、空单元格、格式错误；

● 英文中包含中文字符；

● 界面和描述不一致，但不影响操作；

● 表述不通顺，但不影响理解；

● 版本号不匹配：如软件包名称、界面版本号；

易用性

● 关键步骤错误或缺失，无法指导用户完成任务；

● 缺少必要的前提条件、注意事项等；

● 图形、表格、文字等晦涩难懂；

● 逻辑不清晰，该分类、分项、分步骤的没有给出；

正确性

● 技术原理、功能、规格等描述和软件不一致，存在错误；

● 原理图、架构图等存在错误；

● 命令、命令参数等错误；

● 代码片段错误；

● 命令无法完成对应功能；

● 界面错误，无法指导操作；

风险提示

● 对重要数据或系统存在风险的操作，缺少安全提示；

内容合规

● 违反法律法规，涉及政治、领土主权等敏感词；

● 内容侵权；

我们可能针对您提出的问题，向您发送邮件反馈进行方案。如有获奖信息，也会通过此方式通知您。

您对文档的总体满意度

非常不满意

非常满意

您理解并同意，您填写并提交的内容，即视为您已充分阅读并同意openEuler的隐私声明

提交

根据您的反馈，会自动生成issue模板。您只需点击按钮，创建issue即可。