Die vrystelling van die Kata Containers 3.2-projek is gepubliseer, wat 'n stapel ontwikkel vir die organisering van die uitvoering van houers met behulp van isolasie gebaseer op volwaardige virtualiseringsmeganismes. Die projek is deur Intel en Hyper geskep deur Clear Containers en runV-tegnologie te kombineer. Die projekkode is geskryf in Go and Rust, en word onder die Apache 2.0-lisensie versprei. Die ontwikkeling van die projek word toesig gehou deur 'n werkgroep wat geskep is onder die vaandel van die onafhanklike organisasie OpenStack Foundation, wat maatskappye soos Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE en ZTE insluit. .
Kata is gebaseer op runtime, wat jou toelaat om kompakte virtuele masjiene te skep wat met 'n volledige hipervisor werk, in plaas daarvan om tradisionele houers te gebruik wat 'n algemene Linux-kern gebruik en geïsoleer word deur naamruimtes en cgroups te gebruik. Die gebruik van virtuele masjiene laat jou toe om 'n hoër vlak van sekuriteit te bereik wat beskerm teen aanvalle wat veroorsaak word deur die uitbuiting van kwesbaarhede in die Linux-kern.
Kata Containers is gefokus op die integrasie in bestaande houer-isolasie-infrastruktuur met die vermoë om sulke virtuele masjiene te gebruik om die beskerming van tradisionele houers te verbeter. Die projek verskaf meganismes om ligte virtuele masjiene versoenbaar te maak met verskeie houer-isolasieraamwerke, houerorkestrasieplatforms en spesifikasies soos OCI (Open Container Initiative), CRI (Container Runtime Interface) en CNI (Container Networking Interface). Integrasies met Docker, Kubernetes, QEMU en OpenStack is beskikbaar.
Integrasie met houerbestuurstelsels word bereik deur 'n laag wat houerbestuur simuleer, wat deur die gRPC-koppelvlak en 'n spesiale proxy toegang tot die beheeragent in die virtuele masjien verkry. Binne die virtuele omgewing, wat deur die hypervisor geloods word, word 'n spesiaal geoptimaliseerde Linux-kern gebruik, wat slegs die minimum stel nodige kenmerke bevat.
As 'n hiperviser word die gebruik van Dragonball Sandbox (KVM-uitgawe geoptimaliseer vir houers) met QEMU toolkit, sowel as Firecracker en Cloud Hypervisor ondersteun. Die stelsel omgewing sluit die inisialisering daemon en die agent. Die agent bestuur gebruikersgedefinieerde houerbeelde in OCI-formaat vir Docker en CRI vir Kubernetes. Wanneer dit saam met Docker gebruik word, word 'n aparte virtuele masjien vir elke houer geskep, d.w.s. die hipervisor-geloodsde omgewing word gebruik om houers te nes.
Om geheueverbruik te verminder, word die DAX-meganisme gebruik (direkte toegang tot die FS wat die bladsykas omseil sonder om die bloktoestelvlak te gebruik), en KSM (Kernel Samepage Merging)-tegnologie word gebruik om identiese geheue-areas te ontduik, wat dit moontlik maak om gasheerstelselhulpbronne te deel en die koppeling van 'n gemeenskaplike stelsel omgewing sjabloon aan verskillende gas stelsels.
In die nuwe weergawe:
- Benewens ondersteuning vir die AMD64 (x86_64) argitektuur, word vrystellings verskaf vir die ARM64 (Aarch64) en s390 (IBM Z) argitekture. Ondersteuning vir die ppc64le-argitektuur (IBM Power) is in ontwikkeling.
- Om toegang tot houerbeelde te organiseer, word die Nydus 2.2.0-lêerstelsel gebruik, wat inhoudadressering gebruik vir doeltreffende samewerking met standaardbeelde. Nydus ondersteun on-the-fly laai van beelde (laai slegs af wanneer nodig), verskaf deduplisering van duplikaatdata, en kan verskillende backends gebruik vir werklike berging. POSIX-versoenbaarheid word verskaf (soortgelyk aan Composefs, kombineer die Nydus-implementering die vermoëns van OverlayFS met die EROFS- of FUSE-module).
- Die Dragonball virtuele masjienbestuurder is geïntegreer in die hoofstruktuur van die Kata Containers-projek, wat nou in 'n gemeenskaplike bewaarplek ontwikkel sal word.
- 'n Ontfoutingsfunksie is by die kata-ctl-nutsding gevoeg om vanaf die gasheeromgewing aan 'n virtuele masjien te koppel.
- GPU-bestuursvermoëns is uitgebrei en ondersteuning is bygevoeg vir die aanstuur van GPU's na houers vir vertroulike rekenaar (Confidential Container), wat enkripsie van data, geheue en uitvoeringstoestand verskaf vir beskerming in die geval van 'n kompromie van die gasheeromgewing of hipervisor.
- 'n Substelsel vir die bestuur van toestelle wat in houers of sandbox-omgewings gebruik word, is by Runtime-rs gevoeg. Ondersteun werk met vfio, blok, netwerk en ander soorte toestelle.
- Verenigbaarheid met OCI Runtime 1.0.2 en Kubernetes 1.23.1 word verskaf.
- Dit word aanbeveel om vrystelling 6.1.38 met pleisters as die Linux-kern te gebruik.
- Ontwikkeling is oorgedra van die gebruik van die Jenkins deurlopende integrasiestelsel na GitHub Actions.
Bron: opennet.ru