Kata Containerとは

Kata Containerとは、コンテナ型仮想化で使われる技術の1つで、OCI Runtime Specificationに基づいて作られたKubernetesやDockerの低レベルなランタイムです。Kata Containerは、コンテナのセキュリティを向上するために開発されたランタイムです。2017年12月に、OpenStack Foundationから公開されました。

コンテナ・アーキテクチャ

コンテナ型仮想化は、OCI Runtime Specification、OCI Image Format Specification、CRI（Container Runtime Interface）などの規定によって、アーキテクチャーが標準化されています。

図は、そのアーキテクチャを示したものです。

Kata Containerは、このアーキテクチャのうちの低レベルのランタイムとして、実装されています。

Kata Containerとrunc

低レベルのランタイムとしては、Dockerのコードから分離して作られたruncが知られています。runcでは、すべてのコンテナが1つのカーネルを共有して動作します。そのため、不適切なコンテナが存在した場合には、他のコンテナに影響が及ぶ可能性があり、セキュリティ的に脆弱だと懸念されています。

Kata Containerは、こうしたruncのセキュリティの問題を改善するために開発されたランタイムです。仮想化の技術を利用して作成した軽量なハイパーバイザーの上で動作し、コンテナ個別にカーネルを動作させることで、コンテナ間の分離を実現しています。

動作には、ハイパーバイザーとの連携が必要です。QEMU、NEMUなどのハイパーバイザーがサポートされています。

低レベルのランタイムとしては、他にgVisorなどがあります。