Пускане на Kata Containers 3.0 с изолация, базирана на виртуализация

След две години разработка беше публикувана версията на проекта Kata Containers 3.0, разработващ стек за организиране на изпълнението на контейнери, използвайки изолация, базирана на пълноценни механизми за виртуализация. Проектът е създаден от Intel и Hyper чрез комбиниране на Clear Containers и runV технологии. Кодът на проекта е написан на Go и Rust и се разпространява под лиценза Apache 2.0. Развитието на проекта се наблюдава от работна група, създадена под егидата на независимата организация OpenStack Foundation, която включва компании като Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE .

В основата на Kata е времето за изпълнение, което предоставя възможност за създаване на компактни виртуални машини, които работят с помощта на пълен хипервизор, вместо да използват традиционни контейнери, които използват общо Linux ядро ​​и са изолирани с помощта на пространства от имена и cgroups. Използването на виртуални машини ви позволява да постигнете по-високо ниво на сигурност, което предпазва от атаки, причинени от използване на уязвимости в ядрото на Linux.

Kata Containers се фокусира върху интегрирането в съществуващи изолационни инфраструктури на контейнери с възможност за използване на подобни виртуални машини за подобряване на защитата на традиционните контейнери. Проектът предоставя механизми за осигуряване на съвместимост на леки виртуални машини с различни инфраструктури за изолиране на контейнери, платформи за оркестрация на контейнери и спецификации като OCI (Инициатива за отворени контейнери), CRI (Интерфейс за изпълнение на контейнери) и CNI (Мрежов интерфейс за контейнери). Налични са инструменти за интеграция с Docker, Kubernetes, QEMU и OpenStack.

Интеграцията със системите за управление на контейнери се постига чрез слой, който симулира управление на контейнери, който осъществява достъп до управляващия агент във виртуалната машина чрез интерфейса gRPC и специален прокси. Във виртуалната среда, която се стартира от хипервайзора, се използва специално оптимизирано ядро ​​на Linux, което съдържа само минималния набор от необходими възможности.

Като хипервизор, той поддържа използването на Dragonball Sandbox (издание на KVM, оптимизирано за контейнери) с инструментариума QEMU, както и Firecracker и Cloud Hypervisor. Системната среда включва демон за инициализация и агент. Агентът осигурява изпълнение на дефинирани от потребителя изображения на контейнери в OCI формат за Docker и CRI за Kubernetes. Когато се използва заедно с Docker, за всеки контейнер се създава отделна виртуална машина, т.е. Средата, работеща върху хипервайзора, се използва за вложено стартиране на контейнери.

За намаляване на потреблението на памет се използва механизмът DAX (директен достъп до файловата система, заобикаляне на кеша на страницата без използване на ниво блоково устройство), а за дедупликация на идентични области на паметта се използва технологията KSM (Kernel Samepage Merging), която ви позволява за организиране на споделянето на ресурсите на хост системата и свързване към различни системи за гости споделят общ шаблон на системна среда.

В новата версия:

• Предложена е алтернативна среда за изпълнение (runtime-rs), която формира запълването на контейнери, написана на езика Rust (доставената преди това среда за изпълнение беше написана на езика Go). Runtime е съвместим с OCI, CRI-O и Containerd, което позволява да се използва с Docker и Kubernetes.
• Предложен е нов хипервизор на Dragonball, базиран на KVM и rust-vmm.
• Добавена е поддръжка за препращане на достъп до GPU чрез VFIO.
• Добавена е поддръжка за cgroup v2.
• Поддръжката за промяна на настройките без промяна на основния конфигурационен файл е реализирана чрез замяна на блокове в отделни файлове, намиращи се в директорията „config.d/”.
• Компонентите на Rust включват нова библиотека за сигурна работа с файлови пътища.
• Компонентът virtiofsd (написан на C) е заменен с virtiofsd-rs (написан на Rust).
• Добавена е поддръжка за QEMU компоненти в пясъчна среда.
• QEMU използва API io_uring за асинхронен I/O.
• Поддръжката на Intel TDX (Trusted Domain Extensions) разширения е внедрена за QEMU и Cloud-hypervisor.
• Актуализирани компоненти: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux ядро ​​5.19.2.

Източник: opennet.ru