机密容器

kata容器又称安全容器，容器运行在轻量级虚拟机中，而不是直接在宿主机内核上，这种方式提供了类似传统虚拟机的强隔离，防止不同容器之间的安全问题。

基于TEE安全套件构建的机密容器，是在Kata/Coco社区kata容器的基础上，将该轻量级虚拟机替换为virtcca的机密虚拟机，进一步提升了kata容器的安全性。机密容器具备远程证明、镜像签名和加密、机密容器设备直通等安全特性，以构建全链路安全的云能力。

机密容器的能力主要通过k8s+containerd+Kata+QEMU+KVM的整套软件栈进行构建，由于管理面仍然使用k8s+containerd，整体使用和普通容器保持一致。