iSula

使用容器可以為套用提供便捷的部署、良好的隔離性和安全性並使套用具有良好的可移植性。Linux容器屬於系統級別的"虛擬化"，在同一作業系統核心上可以同時運行多個容器。容器更輕巧，共享作業系統核心，啟動速度更快，且占用的資源更低。iSula是openEuler推出的開源項目，提供的輕量級容器引擎，iSula是openEuler推出的開源項目，提供的輕量級容器引擎可以為多種場景提供靈活、穩定、安全的底層支撐，與“子彈蟻”個頭小、能量大的特點不謀而合。

iSula主要包含iSulad （iSula 輕量級容器引擎）、安全容器kata-containers、系統容器外掛程式syscontainer-tools等關鍵組件。

iSulad

iSula 輕量級容器引擎（iSulad）提供了統一的架構設計來滿足IoT、邊緣和雲計算等領域的不同需求，簡化部署邏輯。iSulad 具有極致輕量、快速並發、便捷易用、靈活配置的優點，提供可靠穩定並且安全可信的容器基礎設施。

iSulad支持CRI/OCI標準開源接口，靈活對接runc、kata等多種OCI運行時，一步到位兼容容器生態

極致輕量：使用C/C++作為開發語言，支持使用更輕量的鏡像格式，縮短三級調用鏈

快速並發：獨立出容器鏡像服務並隔離鏡像元數據，實現完全並發；通過Smart-loading智慧型鏡像下載技術，顯著提升鏡像下載速度

便捷易用：提供豐富的容器工具，包括iSula-build鏡像構建工具、iSula-transfrom容器運行環境遷移工具等，簡化開發過程，提升運維效率。

靈活配置：支持高性能優先的performance模式和輕資源占用優先的light模式之間的靈活配置和切換。支持多種容器類型部署：支持系統容器、安全容器、套用容器，可根據強隔離性與高性能等場景訴求靈活選擇部署模式

安全容器

安全容器是虛擬化技術和容器技術的有機結合，相比普通 Linux 容器，安全容器具有更好的隔離性。

普通 Linux 容器利用 namespace 進行進程間運行環境的隔離，並使用 CGroup 進行資源限制；因此普通 Linux 容器本質上還是共用同一個核心，單個容器有意或無意影響到核心都會影響到整台宿主機上的容器。

安全容器是使用虛擬化層進行容器間的隔離，同一個主機上不同的容器間運行互相不受影響。

iSula 容器平台支持創建安全容器，集成安全容器運行時kata-container，並在發行版基礎上進行了增強。

系統容器

系統容器主要應對在重計算、高性能、大並發的場景下，重型套用和業務雲化的問題，相比較虛擬化技術，系統容器可直接繼承物理機特性，同時具備性能更優良，較少底噪的優點。

從系統資源分配來看，系統容器在有限資源上相比虛擬機可分配更多計算單元，降低成本，通過系統容器可以提供計算密度更高，價格更便宜，性能更優良的的計算單元實例。

iSula 容器平台支持創建系統容器，並能支持在系統容器內動態調整設備、運行資源，且提供更優秀的 user namespace 隔離。

本地檔案系統啟動

普通容器只能通過遠端pull鏡像到本地啟動，pull鏡像過程可能會因網路問題導致耗時較長，而系統容器支持本地檔案系統啟動，可實現快速部署

容器內運行systemd

系統容器與普通容器最大的差異就在於容器的init進程啟動，普通容器無法實現容器啟動時自動拉起systemd，而系統容器具備這個能力

增強隔離性

支持使用lxcfs外掛程式實現容器內資源視圖隔離，同時支持lxcfs外掛程式熱插拔和高可用

支持多對應user namespace，實現容器和主機uid/gid隔離

支持配置容器內namespace化核心參數可讀寫，在容器內可動態配置namespace化核心參數值

控制容器訪問許可權

支持通過TLS認證方式來對用戶身份進行驗證，並通過對接authz外掛程式服務控制用戶的操作許可權