Dopu à dui anni di sviluppu, a liberazione di u prughjettu Kata Containers 3.0 hè stata publicata, sviluppatu una pila per urganizà l'esekzione di cuntenituri utilizendu l'isolamentu basatu nantu à i meccanismi di virtualizazione cumpletu. U prugettu hè statu creatu da Intel è Hyper cumminendu Clear Containers è tecnulugie runV. U codice di u prughjettu hè scrittu in Go and Rust, è hè distribuitu sottu a licenza Apache 2.0. U sviluppu di u prugettu hè supervisatu da un gruppu di travagliu creatu sottu l'auspici di l'urganizazione indipendente OpenStack Foundation, chì include cumpagnie cum'è Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE è ZTE. .
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux è isolatu aduprendu namespaces è cgroups. Applicazione macchine virtuali permette un livellu di sicurezza più altu chì prutege contr'à l'attacchi causati da u sfruttamentu di e vulnerabilità di u kernel Linux.
Kata Containers hè focu annantu à l'integrazione in infrastrutture di isolamentu di container esistenti cù a capacità di utilizà macchine virtuali simili per rinfurzà a prutezzione di cuntenituri tradiziunali. U prughjettu furnisce i meccanismi per assicurà a cumpatibilità di e macchine virtuali ligeri cù diverse infrastrutture di isolamentu di container, piattaforme di orchestrazione di container è specificazioni cum'è OCI (Open Container Initiative), CRI (Container Runtime Interface) è CNI (Container Networking Interface). Strumenti sò dispunibili per l'integrazione cù Docker, Kubernetes, QEMU è OpenStack.
L'integrazione cù i sistemi di gestione di container hè ottenuta aduprendu un stratu di gestione di container chì cumunica cù l'agente di gestione in a macchina virtuale via una interfaccia gRPC è un proxy dedicatu. Un kernel appositamente ottimizatu hè utilizatu in l'ambiente virtuale, chì hè lanciatu da l'ipervisore. Linux, chì cuntene solu l'inseme minimu di funzioni necessarie.
L'ipervisore supportatu hè Dragonball Sandbox (una edizione KVM ottimizzata per i container) cù QEMU, è ancu Firecracker è Cloud Hypervisor. L'ambiente di u sistema include un daemon init è un agente. L'agente permette l'esecuzione di immagini di container definite da l'utente in furmatu OCI per Docker è furmatu CRI per Kubernetes. Quandu hè adupratu in cunghjunzione cù Docker, una istanza separata hè creata per ogni container. macchina virtuale, vale à dì l'ambiente chì funziona sopra l'ipervisore hè utilizatu per u lanciu annidatu di container.
Per riduce u cunsumu di memoria, u mecanismu DAX hè utilizatu (accessu direttu à u sistema di fugliale, sguassate a cache di pagina senza usà u livellu di u dispositivu di bloccu), è per deduplicate zoni di memoria idèntica, hè aduprata a tecnulugia KSM (Kernel Samepage Merging), chì vi permette. per urganizà a spartera di e risorse di u sistema di l'ospiti è cunnette cù diversi sistemi di invitati sparte un mudellu d'ambiente di sistema cumuni.
In a nova versione:
- Un runtime alternativu (runtime-rs) hè prupostu, chì forma u riempimentu di cuntenituri, scrittu in a lingua Rust (u runtime furnitu prima era scrittu in a lingua Go). Runtime hè cumpatibile cù OCI, CRI-O è Containerd, chì permettenu di esse usatu cù Docker è Kubernetes.
- Un novu hypervisor dragonball basatu nantu à KVM è rust-vmm hè statu prupostu.
- Aghjunghje supportu per l'accessu di rinvia à a GPU cù VFIO.
- Supportu aghjuntu per cgroup v2.
- U supportu per cambià i paràmetri senza cambià u schedariu di cunfigurazione principale hè statu implementatu rimpiazzendu blocchi in schedarii separati situati in u cartulare "config.d/".
- I cumpunenti di Rust includenu una nova biblioteca per travaglià in modu sicuru cù i percorsi di file.
- U cumpunente virtiofsd (scrittu in C) hè statu rimpiazzatu cù virtiofsd-rs (scrittu in Rust).
- Aggiuntu supportu per i cumpunenti QEMU sandboxing.
- QEMU utilizza l'API io_uring per l'I/O asincrono.
- U supportu per l'estensione Intel TDX (Trusted Domain Extensions) hè statu implementatu per QEMU è Cloud-hypervisor.
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
Source: opennet.ru
