CoreOS s'intègre avec VT d'Intel pour sécuriser les conteneurs rkt

S'appuyer sur VT et KVM pour encapsuler et sécuriser les conteneurs

La technologie VT a à l’origine, été développée par Intel pour embarquer des capacités de virtualisation dans ses puces et ainsi réduire l’impact des hyperviseurs sur la performance tout en améliorant la compatibilité. Depuis plusieurs mois, Intel encourage les éditeurs de solutions de conteneurs à faire appel aux capacités de VT pour sécuriser l’exécution des conteneurs, dans le cadre du projet Clear Containers. Cette approche rappelle le chemin déjà emprunté il y a longtemps par Virtuozzo, le pionner des technologies de conteneurs Linux et Windows (aujourd’hui vendu par Odin depuis la séparation des activités de virtualisation serveurs et desktop de Parallels)

La version 0.8.0 du runtime rkt, officiellement dévoilée lors de la conférence LinuxCon/ContainerCon de Seattle, est la première à supporter VT-x (une intégration réalisée dans le cadre du projet Clear Containers du fondeur). Dans la pratique, cette intégration permet d’encapsuler les conteneurs rkt dans des VM linux légères sous KVM, comme le décrit un billet de blog de l’éditeur. Une approche qui rappelle celle de VMware avec son projet Bonneville. Comme dans le cas de VMware, l’idée est qu’il est plus facile d’encapsuler les conteneurs dans des VM que de modifier Linux en profondeur afin de simplifier leur administration et leur sécurisation.