资源性能强隔离
同节点不同租户的容器实例不共享内核,当内核或者Runtime出现漏洞后,恶意代码无法攻击其他应用和系统服务、窃取数据等,宿主机权限用户无法查看容器运行情况,包括执行命令行、运行数据等所有应用运行时相关信息。
高度兼容
遵循OCI 容器实现规范,采用Kubernetes标准 RuntimeClass实现,可以无缝对接Kubernetes,不需要对容器镜像做额外处理,运行在runC容器上的应用无需修改可以直接运行在裸金属容器上。
成熟度高
安全沙箱(rune)运行时采用kata containers 技术,获得业界的广泛支持,具备完善活跃的开源社区,已在多家金融机构、互联网企业大规模生产落地。
安全合规
公安部发布《网络安全等级保护容器安全要求》标准中明确指出所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行内核级别的强隔离。