感谢大家在机场录录的中午来听这个赞赛然后看到很多熟悉的面孔如果我记得没有错的话 应该是一个英文的赞赛如果我记得对的话 应该是一个英文的赞赛所以我中国人其实我只能谈到两个主题 一个是中国人 另一个是英文中国人有一个比较高的策略所以我只能谈到两个主题所以我认为如果有谁能够学习中国人所以我只能谈到两个主题是否有英文或中国人的策略所以我只能谈到两个主题所以我只能谈到两个主题如果有谁能够学习中国人的策略那是中国人的策略我们的主题是从保护肺炎到保护肺炎的我是徐宇旺 我是金融的我的朋友 胡帕莉他也在这里我再次回到过去年的战斗我们有一个比赛我们有一个比赛現在我老闆在那裡坐著他在前面工作所以我不會再試試去進行調查去年我們在談論過卡特肯倫多斯也談論過超越和其他問題這次我們會做一些更新也认为,在今年半年后,我们将进入产业在今年半年后,在今年半年后,我们将进入产业现在,我们将加入产业在今年半年后,我们将进入产业 about the Kubernetes and KintoD and Cata containers我们将谈到的计划方法 is to configure the Kata containers with KintoD and Shing V2 to work together所以我認為如果需要一些背景,或者需要一些背景的知識,要做一個採訪,或者做一個採訪的採訪,你也可以在英文上提供這段影片,因為你也知道我的英文,所以你必須要學到英文,是的,我想知道,有多少人在這裡,學習了這首音樂,在聖餐廳中,沒有人在這裡,你們已經很晚了,是的,這首歌是 2015 年,在那首音樂,非常相似的,跟拖鑰匙在一起,拖鑰匙說了關於聖餐廳和聖餐廳的保安,他說,實際的解決方法,保安有很多層面,另外一個層面的解決方法,這就是聖餐廳的解決方法,這是我們的背景,是聖餐廳的解決方法,用名字,還有其他聖餐廳的解決方法,是用的,但是,這很難解決,因為只有一個聖餐廳,當你解決了,當你解決了,當你解決了,當你解決了,當你解決了,當你解決了,當你解決了,當 you have aniso installation layer,預設了專頁的玩意,對備啟 resticycle Look.對備啟 resticycle Look. fryms保安和安排昨天我聽說過有些電腦朋友放了 Android 在卡拉克圈圈他們玩了 Angry Bird我認為這挺有趣我們也會說到卡拉克圈圈圈我們可以做一些使用 native Linux或者是其他應用的在卡拉克圈圈還有有一樣的同樣的同樣的可能有更好的同樣的 native Linux 圈圈我們就做一段在卡拉克圈圈소上回來的時候最後四年終點2015年我們團隊電腦團隊房子圈圈圈圈把房子圈突親但到了 2017年We merged the two projects into Cata containers and hosted it in another foundation and announced the 1到0 in May 2018.That's the time the divisor announced.So many people left.You must hate my speak.And in the April 2019 Cata containers confirmed in the bar meeting of that foundation.And also we have the 1.7 in May and we're going to have the 1.8.And that's the brief history. Let me talk about some progress.You know, at the time last year we have the 1.4 and in January we have 1.5.And 1.5 have the SIMV2 support.That's one of the most important progress of Cata containers and also for the Kubernetes community.Actually that interface firstly defined for not only Cata containers but also for divisor.And that means the container of the Kubernetes won't treat the container itself as a process.They can use some secure sandbox to support about that.So they hide the detail of how you implement the container itself with the SIM API.And behind the SIM API you can do some magic for your sandbox technologies.And the container will just to launch the containers and monitor the containers through this API.And won't use the PID to access the process.Won't kill it or do any other things.So you don't need to have a SIM for each containers here.And you know the sandbox itself is a process.You need a SIM and also other containers only need a SIM.So in the previous architecture we need about 1 plus 2 SIM process for run the secure sandbox.That's a big overhead for the systems.But in this year when we have the SIMV2 we don't need to have so many SIMs for that.We only have one SIMV2 process.And this is cut down the big overhead for the whole architecture.And you don't need to schedule so many process for that.And this introduce some new problem, new issues.And because there is a long live process as a SIM left cycle with this one.So we have to pass the security level for this process.So this is part of our current job.And also by the end of last year the AWS announced the fair correctness.You know this.Maybe that's a very important progress in the VMM area.And the KALA support the fair cracker at once.And also in the 1.5 we have the fair cracker support.And also right now the fair cracker,because the limitation of fair cracker itself,we have some limitation for the usage of the fair cracker.For some scenarios you can accept the restrictions.You can use the fair cracker for less overhead for that.And this is another part because we have the runtime classin the upstream Kubernetes.So we can run not only in the single node,we can run not only the C,but also KALA containers.We can also use the different configuration for that.We can run the cumul machine for the KALA containers.Also we can run the fair cracker machine for the KALA containers.All these three types of the shape of the containers.We can run on a single part and use the runtime class of the Kubernetes.That gives more flexibility to the users.And also in the last month,in the 1.7 release,we have the VTIOFS experimental support here.And you know in the last year,we do some benchmarks on the IO side.And one slide of it is about the file system benchmarks.It's really a hard time for me to do that presentation.That's because the file system part is really a pain pointfor the secure container side.And that's really many problems of the nine piece part.And not only the performance,but also the politics compatibility for that.But after that,we have a new file system sharing methodin the KALA containersor in the virtualization world.That's the VTIOFS.VTIOFS is originally implemented by Red Hatand by Steven.We use the Fuse as a Fuse front endin the guest kerneland to provide the politicscompatible interface to the application.But you have the Fuseyou have almost full politics of compatibility here.And the different thingsthe back end is usedthe variant of the VTIOto implement it in the guestand we also use the Vhost user.So we can implementVirtualFSD in the user space of the hostto providethe file system back endfor the guest application.If you attendthe last session of the divisorfor the divisor they use a separate processcalled Gopherto provide the file system thingsin government IP protocol.And also here we use the Vhost userto provide another processto providethe file system accessto the user space of the host.So the same thing isonce you have an independent process hereyou may try toenhance securityjust for this independent processthat makes life much easier.And also we havethe Red Hat user and the DAX supportthe DAX isthe feature of theof the file systems and that's for thefor the AEP device alsosomething like the NVIDIMand here ifyou know the NVIDIM itself isby some means that's memory.So that's access is muchmuch faster than thedisk.Sofor accessto the thingson the memorywe don't need to doload it into memoryas a page catch faster.So we don't needto use the page catchin the guest.Actuallywe may use somevirtual NVIDIMthings outsidethe VMM on the host.So if theif the file system isall the same in thehost andwe don't need toallocate the page catchfor the guest applicationsfor each containers.They all may share the guestthe page catch on the host.So this not onlyaccelerate the accessof the devices but also try toalign ourshyshyshyshyshyshyshyshyshyshyshyshyshyshyshyV-House users for the virtual machinesand you can use it in the local houseand last month we had some discussion with the Red Hat developersthey taught us things like migration or something similarit's also on their road mapsand maybe they will kick off the development of the migration thingsby the end of this yearand also for the things you must care about the performanceif you have used the 19you will care about the performance of Red Hat OFS as welland sorry I thought I had some numbers herebut I forgot itI have more to the slideok I will talk the numbers to youand for the first for some benchmarkswe use FIO with the no-cache version of theDX enabled version of the V-House userand the 9p no-cache or M-Map cachewe can monitor from the 70% to 90% performance boostcompared to 9p FSand but based on the statement from the Red Hat developersthey think there are several times performance better than the 9p FSI think there are different test casesbut one thing we can confirm isthe performance of the Red Hat OFSis much better than the 9p FSand I think that's aboutat least 80% of theEXE4 system on the local hostthat's the performance of the Red Hat OFSso in the past half an yearwe have some progress in better integration with Kubernetesand less memory overheadalso we have the improvements on the FIO system sharingyou know the right now in the 1.7the Red Hat OFS part is still in the experimental stagethat's because the kernel patch is not landed in the kerneland the Red Hat developersand asked to collaborate on back part of theminto the 4.19 kernel for the long-term kerneland there is also some patch on the QML 4.0and later that willall be merged into kernel and QML upstreamalso we will turn the Red Hat OFS apart from theexperimental to the stable onewellyou know the security is an end-to-end issueyou can not only do thesingle host securityfor the whole systemswe need somewe need a full secure service in the financial scenariosright now we have joined theon the financial we do somethingsupport the so-calledthe financial-grade infrastructuresand thethe one trend in the applicationyou know there are many people mentionedthat in the in both this conferenceand the conference last month in Barcelonathe service meshtry to separate themany functionalitiesthat's integrated into the service itselfseparate them into cell carsto do the things like service discoveriesand load the balancing and trafficrottingblah blah blahand this turn to thequestionthe cell car itself is part of thethe user container or part of theinfrastructuresfor us wewe are the infrastructure team and we thinkthat's for infrastructure developersshould provide a concretebase for thefor the services and make thethe service developers or theadvocation developers focus on theirtheir business logic andand they don't need to carry the detail of thecell cars and we should provide thecell cars as welland include the security and other things inside itandso the first service tointegrate the service meshand thecarta containers togetherand this isin this picture we do somenot only thethe application with the inside the gasand also the cell carsand one thing which we try towe want to conform isonly the cell cars move to themove to thecarta containersand not in thethe linear containers thatthey can work together withthat's the like in thein the linear containersandalso wewe will try to do ademonstration withthe Istio andsomececato and otherother components thatthey can work togetherandlater we will try towe will introduce somesome improvement of somecustomization for thefor the financial environmentsin our financialandhere we have twowe have two simple demo toto show thehow weto show thewe can integrate theservice mesh parttogether with thecarta containersand these two casesyou canyou can simply find themin thein the Istio websiteandfor the timewe canI think we canjust useonemedial for thatwe canit's very easy tohere is asimple illustrationfor thatandthis isonly thethat's the same asthe Istio's tutorialswe can justapply theapply thea policy for thattoenable the MTLSfor thefor the data planeandlet me have thehave thehave the policy lifeand we canwe can findthelegacy without theset carscannot communicatewith othersbutthe other set carstheywork well with theMTLS environmentandthe only difference from thethe official Istioserial casesarein our environmenttherehere is thecarta containersso this showstheavailabilityfor thecarta containersandthe service matchthemselvesandalso wecanalso wehavesomeotherillustrationsfor thefor therbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbactherbac在我們的貿易環境下,這就是一個很長的歷史,而這部份是由埃塞俄羅斯建造的,现在的设置是升级的这就是一个设置的方式如果想说这就是一个设置的方式我们也有一个设置的方式我们也有同一个设置我们的键盘和设置我们的键盘和设置我們也有提供一些提供的建築物我們用SDS的電腦電腦電腦電腦進行核心搜集 建立電子電子電腦所以我們也有提供新技術的方式讓我們更加有信任的建築方式支持建築的建築方式建造而且現在現在我們有支援我們有幫助�꼭圈作用我們的領導基礎還有索和碼索和碼我們會更多更新關於格式的不同我們會各做其他的然後我們會做一些行動Mesh SetCard Optimization for the Cata Context等部分如果有支援去增加 data plane for the Cata Scenarios也有用 non-cata containers讓他們有更好的 data planes我們會做一些解釋Mesh SetCard and other user containers你會知道當你寫下你會寫下用Cata Context用Cata Context去解釋用Cata Context但在未來我們會想如果你要寫下用Cata Context不是用Cata Context而是用Cata Context那就是用Cata Context那就是未來的問題那就是謝謝有任何問題這是不是可以用自己的Cernel是嗎大概是這樣正常的說原則上說是可以的但是實際上取決於你用什麼樣的Cernel這還依賴到比如說我們依賴的Cernel Feature你有沒有等等正常的講我們應該說是因為現在的Cernel用的是upstream用的是4.19的Cernel然後如果說你的版本差的不是很多的話應該說支持你的Cernel問題不是很大如果版本差的很多的話就叫這個很多的work去去做實際上現在Cernel裡面是維護的很好的會去更新是的我們的Cernel是會一直去就是我們會維護我們自己的Cernel Configuration同時會Build的一個by default的Cernel給你然後這個Cernel一般情況下我們會跟著這個當前的LTS的版本然後我們本身會維護兩個兩個stable的release都是會跟著一個當時的就release的時候的一個這個LTS的Cernel然後會跟著它來做更新比如這次那個CVE之後我們就就是想用那個CVE我們也會直接去推新的這個版本的Cernel上來大概是這樣但是我們自己我們自己會維護一個很小的一個off-tree的Patch set因為這個off-tree的Patch本身是有比較大的這個維護負擔的如果沒有特殊的必要性的話我們就不會加這個off-tree的Patch就是說不是很建議自己去做這個事是吧這個Depend on You就是你自己的你自己的這個需求在那就是如果你你很需要你的Cernel沒有你的Cernel你不工作的話那還是可以用你的Cernel因為我們configuration也在所以你可以直接reference我們的configuration怎麼說呢就是如果你做這個Vifu的這件事情其實本質上說你把它打成了容器一個潛台詞就是其實你不是特別Carnel的問題要potable嘛但是事實上就是如果你真的去Carnel這件事情的話那可以自己做好 謝謝你好我問一下那個Gewider跟Kata其實他們那個在你看來有什麼樣的區別具體的應用場景之類的那如果作為一個用戶我該怎麼選這個Kata或者幾外的去應用在我的場景能說一下你來自哪嗎我來自一個互聯網公司能簡單介紹一句嗎就是因為大家也想知道我是來自於一家互聯網金融公司所以可能會對這種也比較關心我也是我也是同行這個問題case by case的說就是說不同的人會有這個不同的選擇就是說如果說你覺得你我的建議是因為我們目前的Kata肯定的才是一個比較community的一個項目就是說參與者也比較多一些然後如果你你有能力自己做一切那你的選擇選擇也是什麼都可以但是如果你覺得你的能力並不足以說比如說你覺得GVS有問題你可不可以處理如果出現了compatible的問題你可不可以修掉它然後如果說有什麼利益是什麼你可不可以處理掉如果你不可以的話最好跟著社區走是吧我問一個問題就是那個剛才看你那個PPT的時候有一個沒看明白的就是你的那個就是用戶容器的吧Urer Container還有你的系統組件你是全部都跑在Cata上的嗎還是只把系統組件跑在Cata上面你指的是什麼就是你有一頁的Presentation上面劃分了Urer再往上我們是都要放在Cata裡面就是你的Business Logic對我們最主要的就是Business Logic要放下來Sitecard只是為了和它一起工作所以必須得放下來Sitecard也要放在Cata裡面嗎是因為他們為了要一起工作他們會在同一個一個Dowment裡面但是最主要的是要把這個優色肯定的放下來你其實在我看來Sitecard其實可以不放在那個Cata裡面吧就是只是保證你的Business Logic這部分可能放進去這區你怎麼定義Sitecard的功能呢然後就是我們Sitecard的功能定義是會直接去做這個這個Urer Container的Application的流量轉發這樣的工作的所以它必須要它在裡面去接觸到它的流量然後做處理會更加靈活會有更強的處理的能力然後因為在裡面的時候他們是相當於在同一個Network Namespace裡面的如果你把它拉出來的話它就到不同的Network Namespace然後你有沒有流量混在一起你現在是把Business Logic和你的Sitecard都放在同一個Port裡面的嗎對啊然後再問一個你們現在是用Virtual FS情況怎麼樣我剛才已經大概說了一下了就是說Virtual FS第一就是它的Portless的兼容性肯定是遠比Nine P要強的至少在Linux上肯定是這樣的然後第二就是說在Performance方面是比Nine P是有很大的提升的然後我剛才說就是說在我們測試到的Case裡面大概看到會有70%到90%的性能提升Red Hat的這個測試裡面給付了我不忘了是400還是8倍這樣的提升了因為數太高的時候我不太信了會做一些單獨立的測試就是我覺得我和我大概是這樣的一個測試然後所以我覺得就是從這個如果你必須要用這個File Sim Sharing的話Virtual FS應該是一個是一個更好的選擇當然如果你問我我在生產環境中是怎麼樣子的話這個不太好說Style的隔離性方面這樣的就是說因為就是說如果你做Large Scale的話其實你的IO很大程度上說其實都是網路IO如果你是我是說就是說如果你做Large Scale系統的話基本上不太用Local的存儲然後但是如果說你要非要說我用Local存儲能不能限制的話就是說原則上說作為虛擬機實際上是可以限制的但是你很難對磁盤做特別硬的限制因為Local幣是很慢你如果對它做硬限制的話你會性能很難接受軟限制的話其實我覺得就大家會做一些吧就是比如說那個比如說我用OLED的容器然後用9P掛進去的話然後其實那個OLED本身如果本地的話我用很快的那個硬件示範那速度還是可以的但是我掛到9P以後因為它不是那個類似於Linux裡面的那個Block程嘛 是吧所以不能精確的給它做一些C GroupCota是嗎不是Cota是那個C Group裡面的限速的那種功能Cota的話因為它那個像Project Cota就可以給它限速限速File System Sharing方式的限速確實是會比較或者Block Device會容易限在Block類也可能會容易限但是你現在想做的是我想你可能想做的是Procontainer的限速是吧對這個可能確實是對於9P來說可能確實是這方面就社區的這個計畫會不會有這方面有些改善我覺得不會不會有更多的這個Fold隔到9PFS上面都會是走到Virtual FS上面你說Virtual FS這方面會有一些改進是嗎我目前沒看到就是這方面的東西在裡面就是數據在裡面就大家還沒有focus在這個上面但是我覺得是可以做的然後但是場景其實比較複雜因為它走了好幾條不同的路但是想做我覺得如果你有強烈的需求怎麼都是可以做的就是這個需求就是說我在一個節點裡面可能部署很多個實力那就是說為了隔離他們的相互影響可能比如說我的這個這個case我知道簡單的說就是你鋪得多少Fold在上面就是你花多少資源在上面去我要解決這個做這個隔離的問題然後最後你可以目前社區是目前對目前是這樣的就是目前我們沒有這方面的這個這個這個東西在我們的rowmap上面但是其實並不妨礙你在社區裡面去提這個e-show然後就是說因為社區這件事情就是所有的事情開發什麼都是都是open的所以如果你有這個e-show提上來然後大家覺得這個village就會把它反過來就會把它加進去你好我想那個更深入的是大家問一下剛才那個哥們問的那個問題就是對比這個Givaz和這個和Cata的假如說我們有能力維護這個事情從頭可以都會從頭從頭做那這個他們的這個發案的憂慮是什麼特別是從架構層面來講就說不說拒絕細節因為有很多事情你能實現這個問題這個問題其實是比較難不太適合一下我你看你前面有一個人但是你跟他聊就可以了因為現在螞蟻政府反正現在也是有Givaz然後也有Cata container其實就是說我們也在內部在討論很多這個問題因為我之前做Givaz的然後徐總他們是做Cata的然後這個東西這個東西本身上就是說不同的應用場景然後兩個架構最大的區別你這裡沒放那個圖就是說資源邊界和安全邊界化在哪的問題就是說你如果說安全邊界化在KVM那層然後資源邊界在上面對吧這就是Cata container資源邊界如果在下面安全邊界在上面在內核那層因為Givaz最大的區別就是說他內核換掉了不是NX是一個安全內核是一個構重新寫的安全內核但是缺點也很明顯對吧特別開源版的就是Performance然後再加上它的那個comparability就是說是不是能夠做得比Ninux還像Ninux這個是個其實是個維銘題了所以說你看成的UserCase然後比較適合的UserCase像Givaz的那種Case其實就是說做Solace做Fast那是非常非常適合的因為它特別小然後啟動速度實際上比Cata還是要快一點的對吧特別在SinV2以後可以好一點但是本質上就是說Givaz的opinization的Go就是那個Cata Container因為它本質上還是一個VM就是說我們做了很多effort在這個上面但是它天生俱來的就是它是Ninux沒有人能比它更像Ninux對吧所以說它的comparability你的container基本上可以claim就是說你可以moving ready你就直接弄你學完了這是第一步然後那之後的事情實際上你可以交個infra你可以繼續往下做剛才還有一個同學提了那個就是說Kono是不是可以改或者說可以定制吧是吧就可以自己去做定制這實際上就是說要討論一個問題就是說Kono到底是不是infra的部分是user provided還是說我的infra對吧所以說那回過頭來說這個東西我覺得兩種審測其實都存在就包括RunC還要包括其他很多的option都存在但是現在我只能說不是你阿選一的時候就是你要看你的case什麼就是case by case就是說我螞蟻其難之一也有這兩種case你好我來問兩個簡單問題就是一個問題就是我們這個卡塔也好G-Visor也好現在已經在螞蟻金服在生產環境再用了嗎然後第二個問題是剛才你也提到那個卡塔和G-RunC的一個那個benchmark這個benchmark你能給我們簡單講一下嗎有沒有一個數據等一下兩個問題分別來回答第二個問題我沒聽清第一個問題我先回答就是說目前我們用了多少規模這個事情是一個我需要confirm之後才能確定可不可以說的一個問題所以我現在對我所有現在的不能說但是我可以很明確的告訴你就是不僅是我螞蟻金服而且包括阿里雲在未來的系統裏面你都可以感受到卡塔給你提供的服務然後第二個問題是什麼這個問題就是剛才你也提到那個benchmark就是卡塔和G-RunV和G-RunC的那個我在去年的時候去年末的那個Cubecon上面就是北美的Cubecon上面給了一個就是很多就是很長那個topic去做這個對比所以你直接可以我這次reference了那個內四的那個topic然後那個是整個的全程的video都在裏面然後是包括了做了CPU的內存的IO的然後包括不同的環境下就是CPU是不是在有NACID virtualization的情況下然後以及一些這個其他的一些實際的case比如說Redis的case然後做TensorFlow的case然後等等這些的就是不同的case然後他的性能的對比大概是有這樣有這樣做的這樣的一個comparison所以那個你可以reference一下那個topic講了兩次然後有第二次有一個更新第二次就是那個北美的Cubecon就是去年的那個Ciatto的那個Ciatto的那個好的 謝謝卡塔跟G-RunV你們有沒有做過詳細的一個性能損耗的一個測試我剛才給的那個裏面實際上包括了就是all right包括那個memory CPU以及IO還有甚至BootTime所有的這些都做過然後但是測試了不是說那個就是daily test所以呢當那個數據我不能說現在還是還是還是在的然後大概的給一個感覺就是這樣剛才我說了就是和這個WortelFS這邊的一個update就是和當前的這個House的比起來的話House上面的這個磁盤比起來的我性能大概是80%然後那個如果是其他的那些方面的話大概是CPU沒什麽問題大家都知道虛擬化CPU沒有任何問題然後網絡這邊的話如果就看你用了stat然後基本上你可以可以enable所有的那些就是原來給那個VM做的那些就是網絡的加速包括VHouse user這些TPTK這些東西都可以用然後呢這個網絡然後這兩個都比較好辦然後比較大的是memory consumption然後memory consumption如果是Qmil的話開始Qmil應該是這個做個合適的這個這個數據審之後應該是幾十兆的一個水平然後firecracker會更小firecracker可能大概十幾兆的大概有水平然後insight container的話我們有一個cernel然後這個cernel本身的這個這個text的這段就這個固定的這段應該說是因為我們可以用很多copyright的手段去幹掉它就是它實際上它是沒有額外的這個memory開銷的但是它本身會allocate的一些memory去管理guest這部分當然如果你這個進程跑在house上面它也要有這樣一個用開銷然後我們的guest agent然後目前看了大概會引入十兆左右的開銷然後呢但是我們現在正在努力去把它減到一兆一下我來說大概就是這樣吧謝謝我想問一個問題就是就是卡塔在跑到什麼樣的Ninux版本比較合適什麼樣的類合這樣子原則上說我們跑容器的不太挑這個蘇主系統實際上呢我應該說還是current會新一點會比較好因為current新一點的話會方便你去跑一些比較新的current feature來幫你去去減掉一些不必要的開銷比如說這些dex的支持然後vsoc的支持vsoc應該是dex的支持要dex是不是只要dex的支持要哪個版本聽知識了但是原來最早要哪個版本然後vsoc大概是410以上吧所以所以實際上當Red Hat的吧是他會back power很多黑色回來所以他back red hat的版本號不是很耗搏然後總之的話就是目前的說Santo S的這個或者Red HatRH的這個最新的RH最新的這個7裡面最新的應該是沒問題的然後Vantu的這個已經把我們加到它的那個什麼裡面了加到dex的dex的支持裡面了也是沒問題的然後vsoc應該也是支持的最新的版本應該都是支持的那現在就是CPU那種緩衝個例現在有沒有支持這個問題這是個很很怎麼說呢就是說目前來說的話就是以現在intel CPU的這個情況就是就是你很難做到防止所有的未知的side channel的攻擊然後有一些side channel實際上是本身的虛跡無效的但有一些實際上不光的虛跡就算你sdx都是有效的所以有的時候你去不得不在調度上面做一些手段去避免這種稍微的不同用戶去放到同一個CPU上面就是共享開設的CPU上面這個沒辦法這個事情目前的說比如說像我們就很caresecurity這個問題那我們可能就我們就直接把HT關掉都沒辦法然後未來的CPU這事可能要看未來了我覺得後面可以撕下下面的時候就可以了