近期，蚂蚁集团关于 Kata Containers 的解决方案获 OpenInfra 基金会和 Kata 社区收录至其用户案例库，得到了社区的关注。在此演讲中，我们将展开剖析该解决方案。

面对 AI 和云原生环境下容器运行时安全日益严苛的要求，传统安全审计与拦截机制的局限性愈发凸显。本次演讲旨在阐述我们的创新实践：如何融合 Kata 容器的强隔离特性与 eBPF 技术强大的内核可编程优势，实现在 Hypervisor 层对安全管控能力的无感注入。通过这一深度集成，我们成功构建了以容器为核心的纵深防御体系，不仅能够实现精细化的安全策略管控、事件审计及威胁拦截，还能提供从工作负载到资源的端到端身份访问控制。

Arm 机密计算架构 CCA 在 2021 年发布后，开源社区围绕 CCA 的软件生态进行了多层次社区开发和解决方案推进。同时，为了解耦对 CCA 的硬件依赖，基于鲲鹏平台的 virtCCA 方案迅速落地，填补了业界的空白。

本次分享，我们将分享 Kata 社区 Arm 架构的总体支持情况，以及 Arm CCA 在 Kata 和 CoCo 社区的开源进展和下一步的计划。同时，我们还将介绍 virtCCA 基于 Kata 和 CoCo 的开源方案，以及鲲鹏平台 CCA 的最近进展。

移动云基于自有的大云天元Linux（BC-Linux）和国产海光CPU构建了全自主可控的机密计算产品。此产品是对上游开源社区CoCo社区和龙蜥社区的产品化落地。我们将分享产品的架构设计思路，开源项目在商业产品中的落地经验和对机密计算技术的一些探索与实践，包括海光CSV加密技术细节，多种安全证明方式等。

Kata 4.0 标志着 Kata Containers 一次关键性的演进。其核心驱动力是我们下一代运行时 runtime-rs，一个完全用 Rust 语言重构的、高性能的解决方案，现已开发完成并已就绪。这次演进不仅是底层语言的替换，更是性能与效率的显著提升。基准测试显示，runtime-rs 在多项关键指标上显著超越了 Go 版本 kata-runtime。尤为引人注目的是，它大幅降低了内存消耗，为用户带来了更轻量、更敏捷、更具成本效益的部署方案。更重要的是，Kata 4.0 达到了一个重要的里程碑：对机密容器（Confidential Containers, CoCo）的支持已正式就绪。得益于 runtime-rs 内在的安全性、高性能和内存效率，Kata 4.0 能够为用户的工作负载提供无缝的、由硬件强制执行的可信执行环境（TEE）保护（支持 Intel TDX、AMD SEV-SNP），使得“使用中数据”的机密性成为触手可及的现实。更重要的是，我们已在内部生产环境中成功落地了这套基于 runtime-rs 的 CoCo 解决方案。

本次分享，您将深入了解：

（1）Kata 4.0 的核心亮点与 runtime-rs 的完整功能。

（2）runtime-rs 相较于 kata-runtime 在内存消耗和启动速度等关键性能指标上的显著优势。

（3）基于 runtime-rs 的 CoCo 功能支持，以及其所带来的安全价值。

（4）基于 Kata 4.0 的 CoCo 在内部生产环境中的实践经验。

运营大型 Kubernetes 集群的企业面临一个关键难题：如何在不牺牲容器性能与密度的前提下实现强隔离。通过采用 Kata 容器，京东云成功实现了安全与性能隔离，并支持在线应用与离线任务在数十万个节点上的共处而彼此互不干扰，大幅提高物理 CPU 的利用率以节省巨额成本。这一方式在“618 购物节”期间显著降低能耗。本次演讲将深入解析京东在部署 Kata 容器中的历程，涵盖架构设计、动机出发点及关键性能指标。另外分享京东自研的Kata Disk I/O 性能加速技术，对比默认配置可最高提升40%的通用磁盘性能。我将分享一套经实际部署的方案经验，如何在严苛的真实场景中基于虚拟机的隔离提升安全性与效率，并剖析其实际应用价值与注意事项。

随着 RISC-V 的软硬件生态蓬勃发展，其有望成为云计算市场的新基石。本议题将系统地介绍我们在 RISC-V 平台上打通 Kata Containers 及其所依赖的虚拟化引擎（Cloud-Hypervisor，Dragonball 等），相关基础库（rust-vmm）方面所取得的进展和未来计划，为 RISC-V 成为下一代云基础设施提供关键技术和基础设施的支撑，同时展示 Kata Containers 结合 QEMU 在 RISC-V 上启动容器的 demo。