Nakon dvije godine razvoja, objavljeno je izdanje Kata Containers 3.0 projekta, koji razvija stek za organiziranje izvršavanja kontejnera koristeći izolaciju zasnovanu na punopravnim mehanizmima virtualizacije. Projekat su kreirali Intel i Hyper kombinovanjem Clear Containers i runV tehnologija. Kod projekta je napisan na Go i Rust, a distribuira se pod licencom Apache 2.0. Razvoj projekta nadgleda radna grupa stvorena pod okriljem nezavisne organizacije OpenStack Foundation, koja uključuje kompanije kao što su Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE i ZTE .
U srcu Kata je runtime, koje pruža mogućnost kreiranja kompaktnih virtuelnih mašina koje se pokreću koristeći potpuni hipervizor, umesto da koriste tradicionalne kontejnere koji koriste uobičajeno jezgro Linuxa i izolovani su korišćenjem prostora imena i cgrupa. Upotreba virtuelnih mašina vam omogućava da postignete viši nivo sigurnosti koji štiti od napada izazvanih iskorištavanjem ranjivosti u Linux kernelu.
Kata Containers je fokusiran na integraciju u postojeće infrastrukture za izolaciju kontejnera sa mogućnošću korišćenja sličnih virtuelnih mašina za poboljšanje zaštite tradicionalnih kontejnera. Projekat obezbeđuje mehanizme za obezbeđivanje kompatibilnosti lakih virtuelnih mašina sa različitim infrastrukturama za izolaciju kontejnera, platformama za orkestraciju kontejnera i specifikacijama kao što su OCI (Open Container Initiative), CRI (Container Runtime Interface) i CNI (Container Networking Interface). Alati su dostupni za integraciju sa Docker, Kubernetes, QEMU i OpenStack.
Integracija sa sistemima za upravljanje kontejnerima se postiže korišćenjem sloja koji simulira upravljanje kontejnerima, koji pristupa agentu za upravljanje u virtuelnoj mašini preko gRPC interfejsa i posebnog proxyja. Unutar virtuelnog okruženja, koje pokreće hipervizor, koristi se posebno optimizovano jezgro Linuxa koje sadrži samo minimalni skup potrebnih mogućnosti.
Kao hipervizor, podržava upotrebu Dragonball Sandbox-a (izdanje KVM-a optimizovanog za kontejnere) sa QEMU kompletom alata, kao i Firecracker i Cloud Hypervisor. Sistemsko okruženje uključuje inicijalizacijski demon i agent. Agent obezbeđuje izvršavanje korisnički definisanih slika kontejnera u OCI formatu za Docker i CRI za Kubernetes. Kada se koristi zajedno sa Dockerom, za svaki kontejner se kreira posebna virtuelna mašina, tj. Okruženje koje radi na vrhu hipervizora koristi se za ugniježđeno pokretanje kontejnera.
Da bi se smanjila potrošnja memorije koristi se DAX mehanizam (direktan pristup sistemu datoteka, zaobilaženje keš memorije stranice bez korištenja nivoa blok uređaja), a za dedupliciranje identičnih memorijskih područja koristi se KSM (Kernel Samepage Merging) tehnologija koja vam omogućava organizirati dijeljenje resursa host sistema i povezati se na različite gostujuće sisteme dijeliti zajednički predložak sistemskog okruženja.
U novoj verziji:
- Predloženo je alternativno vrijeme izvršavanja (runtime-rs), koje formira punjenje kontejnera, napisano na Rust jeziku (prethodno isporučeno vrijeme izvođenja je napisano u Go jeziku). Runtime je kompatibilan sa OCI, CRI-O i Containerdom, što mu omogućava da se koristi sa Dockerom i Kubernetesom.
- Predložen je novi hipervizor Dragonball baziran na KVM i rust-vmm.
- Dodata podrška za prosljeđivanje pristupa GPU-u pomoću VFIO.
- Dodata podrška za cgroup v2.
- Podrška za promjenu postavki bez promjene glavne konfiguracijske datoteke implementirana je zamjenom blokova u odvojenim datotekama koje se nalaze u direktoriju “config.d/”.
- Rust komponente uključuju novu biblioteku za siguran rad sa putanjama datoteka.
- Virtiofsd komponenta (napisana u C) zamijenjena je virtiofsd-rs (napisano u Rustu).
- Dodata podrška za sandboxing QEMU komponenti.
- QEMU koristi io_uring API za asinhroni I/O.
- Podrška za Intel TDX (Trusted Domain Extensions) ekstenzije je implementirana za QEMU i Cloud-hypervisor.
- Ažurirane komponente: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux kernel 5.19.2.
izvor: opennet.ru