İki illik inkişafdan sonra, tam hüquqlu virtuallaşdırma mexanizmləri əsasında izolyasiyadan istifadə edərək konteynerlərin icrasını təşkil etmək üçün bir yığın hazırlayan Kata Containers 3.0 layihəsinin buraxılışı nəşr olundu. Layihə Clear Containers və runV texnologiyalarını birləşdirərək Intel və Hyper tərəfindən yaradılmışdır. Layihə kodu Go və Rust-da yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır. Layihənin inkişafına Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE və ZTE kimi şirkətlərin daxil olduğu müstəqil OpenStack Foundation təşkilatının himayəsi altında yaradılmış işçi qrup nəzarət edir. .
Kata-nın mərkəzində ümumi Linux nüvəsindən istifadə edən və ad boşluqları və qruplardan istifadə edərək təcrid olunmuş ənənəvi konteynerlərdən istifadə etmək əvəzinə, tam hipervizordan istifadə edərək işləyən kompakt virtual maşınlar yaratmaq imkanı verən iş vaxtıdır. Virtual maşınların istifadəsi sizə Linux nüvəsindəki zəifliklərin istismarı nəticəsində yaranan hücumlardan qoruyan daha yüksək təhlükəsizlik səviyyəsinə nail olmağa imkan verir.
Kata Konteynerləri ənənəvi konteynerlərin qorunmasını artırmaq üçün oxşar virtual maşınlardan istifadə etmək imkanı ilə mövcud konteyner izolyasiya infrastrukturlarına inteqrasiyaya yönəlmişdir. Layihə yüngül virtual maşınların müxtəlif konteyner izolyasiya infrastrukturları, konteyner orkestrasiya platformaları və OCI (Açıq Konteyner Təşəbbüsü), CRI (Container Runtime Interface) və CNI (Container Networking Interface) kimi spesifikasiyalarla uyğunluğunu təmin etmək üçün mexanizmlər təqdim edir. Alətlər Docker, Kubernetes, QEMU və OpenStack ilə inteqrasiya üçün mövcuddur.
Konteyner idarəetmə sistemləri ilə inteqrasiya, virtual maşındakı idarəedici agentə gRPC interfeysi və xüsusi proksi vasitəsilə daxil olan konteyner idarəetməsini simulyasiya edən təbəqədən istifadə etməklə əldə edilir. Hipervisor tərəfindən işə salınan virtual mühitin içərisində yalnız minimum lazımi imkanlar dəstini ehtiva edən xüsusi optimallaşdırılmış Linux nüvəsi istifadə olunur.
Hipervisor kimi o, QEMU alətlər dəsti ilə Dragonball Sandbox (konteynerlər üçün optimallaşdırılmış KVM nəşri), həmçinin Firecracker və Cloud Hypervisor istifadəsini dəstəkləyir. Sistem mühitinə başlanğıc demonu və agent daxildir. Agent Docker üçün OCI və Kubernetes üçün CRI formatında istifadəçi tərəfindən müəyyən edilmiş konteyner şəkillərinin icrasını təmin edir. Docker ilə birlikdə istifadə edildikdə, hər bir konteyner üçün ayrıca virtual maşın yaradılır, yəni. Hipervizorun üstündə işləyən mühit konteynerlərin iç-içə işə salınması üçün istifadə olunur.
Yaddaş istehlakını azaltmaq üçün DAX mexanizmindən istifadə olunur (blok cihazı səviyyəsindən istifadə etmədən səhifə keşindən yan keçməklə fayl sisteminə birbaşa giriş) və eyni yaddaş sahələrini təkmilləşdirmək üçün KSM (Kernel Samepage Merging) texnologiyasından istifadə olunur. host sistem resurslarının paylaşılmasını təşkil etmək və müxtəlif qonaq sistemlərinə qoşulmaq üçün ümumi sistem mühiti şablonunu paylaşır.
Yeni versiyada:
- Rust dilində yazılmış konteynerlərin doldurulmasını təşkil edən alternativ iş vaxtı (runtime-rs) təklif olunur (əvvəllər təqdim edilmiş iş vaxtı Go dilində yazılmışdır). Runtime OCI, CRI-O və Containerd ilə uyğun gəlir və onu Docker və Kubernetes ilə istifadə etməyə imkan verir.
- KVM və rust-vmm əsasında yeni əjdaha topu hipervizoru təklif edilib.
- VFIO-dan istifadə edərək GPU-ya çıxışın yönləndirilməsi üçün əlavə dəstək.
- Cgroup v2 üçün əlavə dəstək.
- Əsas konfiqurasiya faylını dəyişdirmədən parametrlərin dəyişdirilməsi dəstəyi “config.d/” kataloqunda yerləşən ayrı-ayrı fayllarda blokların dəyişdirilməsi ilə həyata keçirilmişdir.
- Rust komponentlərinə fayl yolları ilə təhlükəsiz işləmək üçün yeni kitabxana daxildir.
- Virtiofsd komponenti (C-də yazılmışdır) virtiofsd-rs (Rust dilində yazılmış) ilə əvəz edilmişdir.
- Sandboxing QEMU komponentləri üçün əlavə dəstək.
- QEMU asinxron I/O üçün io_uring API istifadə edir.
- QEMU və Cloud-hipervisor üçün Intel TDX (Trusted Domain Extensions) genişləndirmələrinə dəstək tətbiq edilmişdir.
- Yenilənmiş komponentlər: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux kernel 5.19.2.
Mənbə: opennet.ru