O que são containers em área restrita?

Uma área restrita é um ambiente altamente controlado para execução de aplicações. Ambientes em área restrita impõem restrições permanentes aos recursos e são normalmente usados para isolar e executar programas não confiáveis que ainda não foram testados, sem colocar em risco a máquina ou o sistema operacional host. Containers em área restrita adicionam um novo ambiente de execução às plataformas em containers, isolando seu programa do resto do sistema com máquinas virtuais lightweight que, em seguida, inicializam os containers dentro desses pods.

Em geral, containers em área restrita auxiliam as funcionalidades de segurança dos containers Linux.

Containers em área restrita são ideais para cargas de trabalho com requisitos extremamente rigorosos de segurança e isolamento no nível da aplicação, como cargas de trabalho privilegiadas executando códigos não confiáveis ou não testados e experiências nativas do Kubernetes. Ao usar containers em área restrita, você protege ainda mais a aplicação de execuções remotas, vazamentos de memória ou acessos não privilegiados com o isolamento de:

• ambientes de desenvolvimento e definição de escopo de privilégios
• cargas de trabalho em containers legadas 
• cargas de trabalho terceirizadas
• compartilhamento de recursos (tarefas de CI/CD, CNFs etc.) e oferecimento de multilocação segura

Os containers em área restrita do Red Hat OpenShift, baseados no projeto open source Kata Containers , oferecem uma camada adicional de isolamento para aplicações com requisitos de segurança restritos. Para isso, eles usam um ambiente de execução de containers em conformidade com a Open Container Initiative (OCI) por meio de máquinas virtuais lightweight executando cargas de trabalho em kernels isolados próprios. Para fazer isso, o Red Hat OpenShift utiliza nosso framework de operador certificado que gerencia, implanta e atualiza o operador de containers em área restrita do Red Hat OpenShift. 

O operador de containers em área restrita do Red Hat OpenShift disponibiliza e atualiza continuamente todos os componentes necessários para que o Kata Containers seja uma opção viável de ambiente de execução no cluster. Isso inclui, entre outros:

• a instalação dos RPMs do Kata Containers e do QEMU como extensões do Red Hat CoreOS no nó.
• a configuração do ambiente de execução do Kata Containers no nível do ambiente de execução usando manipuladores de ambiente de execução do CRI-O e no nível do cluster adicionando e configurando um RuntimeClass dedicado ao Kata Containers.
• uma configuração declarativa para personalizar a instalação, como selecionar em quais nós o Kata Containers será implantado.
• verificações da integridade da implantação geral e relatório de problemas durante a instalação.

Os containers em área restrita do Red Hat OpenShift já estão disponíveis.