安全起见，OpenStack基金会支持“虚拟化” Kata Container

Kata Container：每个容器都是与自己的内核完全隔离的

OpenStack基金会今年11月曾承诺会出手帮助互补项目。OpenStack基金会日前宣布将采用“每个容器获取自己的资源内核”项目，这是对该承诺很好的兑现。“每个容器获取自己的资源内核”项目由英特尔和hyper.sh运作。

名为Kata Container的新项目将英特尔的Clear Container和Hyper RunV结合在一起，而且会为每个容器提供一个内核，以加强分离性及安全性。

OpenStack基金会（OSF）告诉记者，基金会之所以支持这一工作是因为在多租户环境里，容器的安全性并不是最佳的。许多大型和重要的OpenStack用户运行大量的云，基金会认为帮助Kata Container项目起步之举是合适的。

但Kata Container项目将拥有自己的品牌和管理，独立于OSF之外。选择了这种分离方式原因是，基金会不希望业界认为多租户环境下的安全容器是与OpenStack或云运营商绑在一起的。

我们上次评估Clear Container时基本上认为，拥有自己内核的容器实际上就是一个虚拟机器，叫法不同而已。 而OSF在发布有关Kata Container消息时用了“虚拟化容器”一词。OSF也说了每个Kata Container“拥有虚拟机获取安全性和隔离性的功能”， 没有回避“拥有自己内核的容器就是一个虚拟机器”的事实。

OSF还称，Kata Container的基本结构非常轻巧，感觉上和容器一样，而且比在完整虚拟机中运行的容器更快。这种说法和那些支持虚拟机中容器的供应商和有关项目的人士说的完全一样！

Kata Container继承了Kubernetes和Docker贡献者的功能，可以与Kubernetes和Docker很好的融合，Kubernetes和Docker也完全将Kata Container视为普通容器。

OSF表示，Kata Container项目首先会在Agent、Runtime、Proxy、Shim、Kernel以及QEMU 2.9封装上推出。