仮想マシンをベースにしたセキュアなコンテナ実装「Kata Containers」がバージョン1.0に到達。OpenStack Foundationが開発

仮想マシンをベースにコンテナ標準仕様であるOCI（Open Container Initiative）に準拠することで、ハイパーバイザのような堅牢さを備えつつコンテナのように軽量で、しかも既存のDockerなどのコンテナイメージをそのまま実行できるコンテナ実装「Kata Containers」がバージョン1.0に到達したことが発表されました。

As of a few hours ago, Kata Containers 1.0 is now here! Thank you to all of the contributors who made the release a success! #OpenStackSummit pic.twitter.com/kYYhbAvAHf

— Kata Containers (@katacontainers) 2018年5月22日

Kata Containersは、OpenStack Foundationが2017年12月に開発プロジェクトを発表したもの。インテルCPUの特性を生かしたセキュリティ機能を特徴とするClear Containersと、CPUとハイパーバイザに対応するコンテナ実装であるrunVの実装を組み合わせて開発が進められていました。

• コンテナの軽量さと仮想マシンの堅牢さを兼ね備えた新しいコンテナ実装「Kata Containers」、OpenStack Foundationが発表 － Publickey

仮想化ハイパーバイザをベースにすることでセキュアなコンテナランタイムに

最大の特徴は、Kata ContainersがLightweight Hypervisorと説明されているように、仮想化ハイパーバイザをベースにコンテナランタイム向けに軽量化したことです。仮想マシンと同等の高い分離機能と堅牢性を備えた、よりセキュアなコンテナランタイムを実現しました。

そのうえでコンテナランタイムの標準であるOCIと、Kubernetesとコンテナランタイムとの標準インターフェイスであるCRI（Container Runtime Interface）にも準拠したことで、既存のコンテナのエコシステムにそのまま組み込むことが可能になっています。

これにより、仮想マシン上で動作していたアプリケーションをコンテナへと移行しやすい環境の構築や、Kubernetesでマルチテナントなどを実現する上で欠かせない、コンテナ同士がしっかりと分離された環境の構築を実現します。

ちなみに、Googleがオープンソースで公開したgVisorも高い分離機能を実現するコンテナランタイムです。しかしgVisorは従来のコンテナランタイムの実装をベースに、サンドボックスと呼ばれる高い分離機能を実装する実装を加えたアプローチとっているため、Kata Containersとは対照的な存在といえます。

• コンテナの軽量さと、より安全な分離を実現する「gVisor」、Googleがオープンソースで公開 － Publickey