🥇Издаване на Kata Containers 3.2 с изолация, базирана на виртуализация

Публикувано е изданието на проекта Kata Containers 3.2, който разработва стек за организиране на изпълнението на контейнери, използвайки изолация, базирана на пълноценни механизми за виртуализация. Проектът е създаден от Intel и Hyper чрез комбиниране на Clear Containers и runV технологии. Кодът на проекта е написан на Go и Rust и се разпространява под лиценза Apache 2.0. Развитието на проекта се наблюдава от работна група, създадена под егидата на независимата организация OpenStack Foundation, която включва компании като Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE .

Kata се основава на време за изпълнение, което ви позволява да създавате компактни виртуални машини, които работят с пълен хипервизор, вместо да използвате традиционни контейнери, които използват общо Linux ядро и са изолирани с помощта на пространства от имена и cgroups. Използването на виртуални машини ви позволява да постигнете по-високо ниво на сигурност, което предпазва от атаки, причинени от използване на уязвимости в ядрото на Linux.

Kata Containers се фокусира върху интегрирането в съществуващи изолационни инфраструктури на контейнери с възможност за използване на подобни виртуални машини за подобряване на защитата на традиционните контейнери. Проектът предоставя механизми за осигуряване на съвместимост на леки виртуални машини с различни инфраструктури за изолиране на контейнери, платформи за оркестрация на контейнери и спецификации като OCI (Инициатива за отворени контейнери), CRI (Интерфейс за изпълнение на контейнери) и CNI (Мрежов интерфейс за контейнери). Налични са инструменти за интеграция с Docker, Kubernetes, QEMU и OpenStack.

Интеграцията със системите за управление на контейнери се постига чрез слой, който симулира управление на контейнери, който осъществява достъп до управляващия агент във виртуалната машина чрез интерфейса gRPC и специален прокси. Във виртуалната среда, която се стартира от хипервайзора, се използва специално оптимизирано ядро на Linux, което съдържа само минималния набор от необходими възможности.

Като хипервизор, той поддържа използването на Dragonball Sandbox (издание на KVM, оптимизирано за контейнери) с инструментариума QEMU, както и Firecracker и Cloud Hypervisor. Системната среда включва демон за инициализация и агент. Агентът осигурява изпълнение на дефинирани от потребителя изображения на контейнери в OCI формат за Docker и CRI за Kubernetes. Когато се използва заедно с Docker, за всеки контейнер се създава отделна виртуална машина, т.е. Средата, работеща върху хипервайзора, се използва за вложено стартиране на контейнери.

За намаляване на потреблението на памет се използва механизмът DAX (директен достъп до файловата система, заобикаляне на кеша на страницата без използване на ниво блоково устройство), а за дедупликация на идентични области на паметта се използва технологията KSM (Kernel Samepage Merging), която ви позволява за организиране на споделянето на ресурсите на хост системата и свързване към различни системи за гости споделят общ шаблон на системна среда.

В новата версия:

В допълнение към поддръжката за архитектурата AMD64 (x86_64), се предоставят издания за архитектурите ARM64 (Aarch64) и s390 (IBM Z). Поддръжката на ppc64le архитектурата (IBM Power) е в процес на разработка.
За организиране на достъпа до изображения на контейнери се използва файловата система Nydus 2.2.0, която използва адресиране на съдържание за ефективно сътрудничество със стандартни изображения. Nydus поддържа зареждане на изображения в движение (изтегля се само когато е необходимо), осигурява дедупликация на дублирани данни и може да използва различни бекендове за действително съхранение. Осигурена е съвместимост с POSIX (подобно на Composefs, изпълнението на Nydus съчетава възможностите на OverlayFS с модула EROFS или FUSE).
Мениджърът на виртуална машина Dragonball е интегриран в основната структура на проекта Kata Containers, който сега ще бъде разработен в общо хранилище.
Към помощната програма kata-ctl е добавена функция за отстраняване на грешки за свързване към виртуална машина от хост средата.
Възможностите за управление на GPU са разширени и е добавена поддръжка за пренасочване на GPU към контейнери за поверителни изчисления (Confidential Container), което осигурява криптиране на данни, памет и състояние на изпълнение за защита в случай на компрометиране на хост средата или хипервайзора.
Към Runtime-rs е добавена подсистема за управление на устройства, използвани в контейнери или пясъчни среди. Поддържа работа с vfio, блокови, мрежови и други видове устройства.
Осигурена е съвместимост с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
Препоръчително е да използвате версия 6.1.38 с пачове като ядро на Linux.
Разработката е прехвърлена от използването на системата за непрекъсната интеграция на Jenkins към GitHub Actions.

Източник: opennet.ru

Пускане на Kata Containers 3.2 с изолация, базирана на виртуализация

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар