Red Hat SummitResumen
Un entorno de pruebas (sandbox) es un entorno estrictamente controlado en el cual se ejecuta una aplicación. Estos entornos imponen restricciones permanentes a los recursos, y se suelen utilizar para aislar y ejecutar programas que no están probados o que no son confiables, lo cual elimina el riesgo de dañar la máquina host o el sistema operativo. Los contenedores en entornos de pruebas agregan un tiempo de ejecución nuevo a las plataformas de contenedores, lo cual permite mantener un programa aislado del resto del sistema mediante máquinas virtuales ligeras que luego ejecutan los contenedores dentro de los pods.
A menudo, estos contenedores en entornos de pruebas se utilizan como complemento de las funciones de seguridad que se encuentran dentro de los contenedores de Linux.
Importancia de los contenedores en entornos de prueba
Estos contenedores son ideales para las cargas de trabajo que requieren un sistema de aislamiento y seguridad muy estricto en las aplicaciones, como las cargas de trabajo con privilegio que ejecutan códigos poco confiables o sin probar, y una experiencia de Kubernetes. Al usarlos, puede proteger aún más su aplicación, ya sea de la ejecución remota, las fugas de memoria o los accesos sin privilegio. Solo debe aislar lo siguiente:
- Los entornos de los desarrolladores y el alcance de los privilegios
- Las cargas de trabajo heredadas organizadas en contenedores
- Las cargas de trabajo de terceros
- Los recursos compartidos (tareas de CI/CD, CNF, etc.) y la arquitectura multiempresa segura
Funcionamiento de Red Hat OpenShift con los contenedores en entornos de pruebas
Los contenedores en entornos de pruebas de Red Hat OpenShift se basan en el proyecto open source Kata Containers y proporcionan una capa adicional de aislamiento para las aplicaciones que tienen requisitos de seguridad estrictos. Esto se logra mediante un tiempo de ejecución de contenedores compatible con la Open Container Initiative (OCI), el cual utiliza máquinas virtuales ligeras para ejecutar las cargas de trabajo en su proprio kernel aislado. En Red Hat OpenShift, esto es posible gracias a nuestro marco de operadores certificado, el cual gestiona, implementa y actualiza el operador de los contenedores en entornos de pruebas de la plataforma.
Este operador ofrece y actualiza de forma permanente todos los elementos necesarios para que Kata Containers pueda utilizarse como tiempo de ejecución opcional en el clúster. Esto incluye, entre otros:
- La instalación de los RPM de Kata Containers y de QEMU como extensiones de Red Hat CoreOS en el nodo.
- La configuración del tiempo de ejecución de Kata Containers en el tiempo de ejecución con los controladores de CRI-O, y la adición y configuración de RuntimeClass específicamente para Kata Containers en el clúster.
- Una configuración declarativa para personalizar la instalación, como por ejemplo seleccionar los nodos en los cuales se implementará Kata Containers.
- La comprobación de estado de la implementación general y el informe de problemas durante la instalación.
Los contenedores en entornos de pruebas de Red Hat OpenShift ahora están disponibles para todos.
