Tam hüquqlu virtuallaşdırma mexanizmlərinə əsaslanan izolyasiyadan istifadə edərək konteynerlərin icrasını təşkil etmək üçün bir yığın hazırlayan Kata Containers 3.2 layihəsinin buraxılışı nəşr olundu. Layihə Clear Containers və runV texnologiyalarını birləşdirərək Intel və Hyper tərəfindən yaradılmışdır. Layihə kodu Go və Rust-da yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır. Layihənin inkişafına Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE və ZTE kimi şirkətlərin daxil olduğu müstəqil OpenStack Foundation təşkilatının himayəsi altında yaradılmış işçi qrup nəzarət edir. .
Kata, ümumi Linux nüvəsindən istifadə edən və ad boşluqları və qruplardan istifadə edərək təcrid olunmuş ənənəvi konteynerlərdən istifadə etmək əvəzinə, tam hipervizordan istifadə edərək işləyən kompakt virtual maşınlar yaratmağa imkan verən işləmə müddətinə əsaslanır. Virtual maşınların istifadəsi sizə Linux nüvəsindəki zəifliklərin istismarı nəticəsində yaranan hücumlardan qoruyan daha yüksək təhlükəsizlik səviyyəsinə nail olmağa imkan verir.
Kata Konteynerləri ənənəvi konteynerlərin qorunmasını artırmaq üçün oxşar virtual maşınlardan istifadə etmək imkanı ilə mövcud konteyner izolyasiya infrastrukturlarına inteqrasiyaya yönəlmişdir. Layihə yüngül virtual maşınların müxtəlif konteyner izolyasiya infrastrukturları, konteyner orkestrasiya platformaları və OCI (Açıq Konteyner Təşəbbüsü), CRI (Container Runtime Interface) və CNI (Container Networking Interface) kimi spesifikasiyalarla uyğunluğunu təmin etmək üçün mexanizmlər təqdim edir. Alətlər Docker, Kubernetes, QEMU və OpenStack ilə inteqrasiya üçün mövcuddur.
Konteyner idarəetmə sistemləri ilə inteqrasiya, virtual maşındakı idarəedici agentə gRPC interfeysi və xüsusi proksi vasitəsilə daxil olan konteyner idarəetməsini simulyasiya edən təbəqədən istifadə etməklə əldə edilir. Hipervisor tərəfindən işə salınan virtual mühitin içərisində yalnız minimum lazımi imkanlar dəstini ehtiva edən xüsusi optimallaşdırılmış Linux nüvəsi istifadə olunur.
Hipervisor kimi o, QEMU alətlər dəsti ilə Dragonball Sandbox (konteynerlər üçün optimallaşdırılmış KVM nəşri), həmçinin Firecracker və Cloud Hypervisor istifadəsini dəstəkləyir. Sistem mühitinə başlanğıc demonu və agent daxildir. Agent Docker üçün OCI və Kubernetes üçün CRI formatında istifadəçi tərəfindən müəyyən edilmiş konteyner şəkillərinin icrasını təmin edir. Docker ilə birlikdə istifadə edildikdə, hər bir konteyner üçün ayrıca virtual maşın yaradılır, yəni. Hipervizorun üstündə işləyən mühit konteynerlərin iç-içə işə salınması üçün istifadə olunur.
Yaddaş istehlakını azaltmaq üçün DAX mexanizmindən istifadə olunur (blok cihazı səviyyəsindən istifadə etmədən səhifə keşindən yan keçməklə fayl sisteminə birbaşa giriş) və eyni yaddaş sahələrini təkmilləşdirmək üçün KSM (Kernel Samepage Merging) texnologiyasından istifadə olunur. host sistem resurslarının paylaşılmasını təşkil etmək və müxtəlif qonaq sistemlərinə qoşulmaq üçün ümumi sistem mühiti şablonunu paylaşır.
Yeni versiyada:
- AMD64 (x86_64) arxitekturasına dəstəkdən əlavə, ARM64 (Aarch64) və s390 (IBM Z) arxitekturaları üçün buraxılışlar təmin edilir. ppc64le arxitekturasına dəstək (IBM Power) inkişaf mərhələsindədir.
- Konteyner şəkillərinə girişi təşkil etmək üçün standart şəkillərlə səmərəli əməkdaşlıq üçün məzmun ünvanlanmasından istifadə edən Nydus 2.2.0 fayl sistemindən istifadə olunur. Nydus şəkillərin anında yüklənməsini dəstəkləyir (yalnız lazım olduqda endirilir), dublikat məlumatların təkmilləşdirilməsini təmin edir və faktiki saxlama üçün müxtəlif backendlərdən istifadə edə bilər. POSIX uyğunluğu təmin edilir (Composefs-ə bənzər, Nydus tətbiqi OverlayFS-in imkanlarını EROFS və ya FUSE modulu ilə birləşdirir).
- Dragonball virtual maşın meneceri Kata Konteynerləri layihəsinin əsas strukturuna inteqrasiya edilib və indi ümumi depoda hazırlanacaq.
- Ana mühitdən virtual maşına qoşulmaq üçün kata-ctl yardım proqramına sazlama funksiyası əlavə edilmişdir.
- GPU idarəetmə imkanları genişləndirilmiş və GPU-ların məxfi hesablamalar üçün konteynerlərə (Confidential Container) yönləndirilməsi üçün dəstək əlavə edilmişdir ki, bu da host mühitinin və ya hipervizorun pozulması halında qorunmaq üçün məlumatların, yaddaşın və icra vəziyyətinin şifrələnməsini təmin edir.
- Konteynerlərdə və ya sandbox mühitlərində istifadə olunan cihazları idarə etmək üçün alt sistem Runtime-rs-ə əlavə edildi. vfio, blok, şəbəkə və digər növ cihazlarla işləməyi dəstəkləyir.
- OCI Runtime 1.0.2 və Kubernetes 1.23.1 ilə uyğunluq təmin edilir.
- Linux nüvəsi kimi yamaqları olan 6.1.38 buraxılışını istifadə etmək tövsiyə olunur.
- İnkişaf Jenkins davamlı inteqrasiya sistemindən GitHub Actions-a köçürüldü.
Mənbə: opennet.ru