Ar ôl dwy flynedd o ddatblygiad, cyhoeddwyd rhyddhau prosiect Kata Containers 3.0, sy'n datblygu pentwr ar gyfer trefnu gweithredu cynwysyddion gan ddefnyddio ynysu yn seiliedig ar fecanweithiau rhithwiroli llawn. Crëwyd y prosiect gan Intel a Hyper trwy gyfuno Clear Containers a thechnolegau runV. Mae cod y prosiect wedi'i ysgrifennu yn Go and Rust a'i ddosbarthu o dan drwydded Apache 2.0. Mae datblygiad y prosiect yn cael ei oruchwylio gan weithgor a grëwyd o dan nawdd y sefydliad annibynnol OpenStack Foundation, sy'n cynnwys cwmnïau fel Canonical, China Mobile, Dell / EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE a ZTE .
Wrth wraidd Kata mae'r amser rhedeg, sy'n darparu'r gallu i greu peiriannau rhithwir cryno sy'n rhedeg gan ddefnyddio hypervisor llawn, yn lle defnyddio cynwysyddion traddodiadol sy'n defnyddio cnewyllyn Linux cyffredin ac yn ynysu gan ddefnyddio gofodau enwau a cgroups. Mae'r defnydd o beiriannau rhithwir yn caniatáu ichi gyflawni lefel uwch o ddiogelwch sy'n amddiffyn rhag ymosodiadau a achosir gan ecsbloetio gwendidau yn y cnewyllyn Linux.
Mae Kata Containers yn canolbwyntio ar integreiddio i seilweithiau ynysu cynwysyddion presennol gyda'r gallu i ddefnyddio peiriannau rhithwir o'r fath i wella amddiffyniad cynwysyddion traddodiadol. Mae'r prosiect yn darparu mecanweithiau i wneud peiriannau rhithwir ysgafn yn gydnaws ag amrywiol fframweithiau ynysu cynwysyddion, llwyfannau cerddorfa cynhwysydd, a manylebau fel OCI (Menter Cynhwysydd Agored), CRI (Rhyngwyneb Rhedeg Cynhwysydd), a CNI (Rhyngwyneb Rhwydweithio Cynhwysydd). Mae integreiddiadau gyda Docker, Kubernetes, QEMU, ac OpenStack ar gael.
Cyflawnir integreiddio â systemau rheoli cynwysyddion gan ddefnyddio haen sy'n efelychu rheoli cynwysyddion, sydd, trwy'r rhyngwyneb gRPC a dirprwy arbennig, yn cyrchu'r asiant rheoli yn y peiriant rhithwir. Y tu mewn i'r amgylchedd rhithwir, sy'n cael ei lansio gan yr hypervisor, defnyddir cnewyllyn Linux wedi'i optimeiddio'n arbennig, sy'n cynnwys y set leiaf o nodweddion angenrheidiol yn unig.
Fel hypervisor, cefnogir y defnydd o Dragonball Sandbox (rhifyn KVM wedi'i optimeiddio ar gyfer cynwysyddion) gyda phecyn cymorth QEMU, yn ogystal â Firecracker a Cloud Hypervisor. Mae amgylchedd y system yn cynnwys yr ellyll cychwyn a'r asiant. Mae'r asiant yn rhedeg delweddau cynhwysydd wedi'u diffinio gan ddefnyddwyr mewn fformat OCI ar gyfer Docker a CRI ar gyfer Kubernetes. Pan gaiff ei ddefnyddio ar y cyd â Docker, crëir peiriant rhithwir ar wahân ar gyfer pob cynhwysydd, h.y. defnyddir yr amgylchedd a lansiwyd gan hypervisor i nythu cynwysyddion.
Er mwyn lleihau'r defnydd o gof, defnyddir y mecanwaith DAX (mynediad uniongyrchol i'r FS gan osgoi storfa'r dudalen heb ddefnyddio lefel y ddyfais bloc), a defnyddir technoleg KSM (Kernel Samepage Merging) i ddidynnu ardaloedd cof union yr un fath, sy'n caniatáu rhannu adnoddau'r system gwesteiwr. a chysylltu â systemau gwesteion gwahanol gyda thempled amgylchedd system gyffredin.
Yn y fersiwn newydd:
- Cynigir amser rhedeg amgen (runtime-rs), sy'n ffurfio stwffin cynwysyddion, wedi'i ysgrifennu yn yr iaith Rust (mae'r amser rhedeg a ddarparwyd yn flaenorol wedi'i ysgrifennu yn yr iaith Go). Mae Runtime yn gydnaws ag OCI, CRI-O, a Containerd, gan ei wneud yn gydnaws â Docker a Kubernetes.
- Mae goruchwylydd pelen y draig newydd yn seiliedig ar KVM a rhwd-vmm wedi'i gynnig.
- Cefnogaeth ychwanegol ar gyfer anfon mynediad GPU ymlaen gan ddefnyddio VFIO.
- Cefnogaeth ychwanegol ar gyfer cgroup v2.
- Wedi gweithredu cefnogaeth ar gyfer newid gosodiadau heb newid y brif ffeil ffurfweddu trwy ailosod blociau mewn ffeiliau ar wahân sydd wedi'u lleoli yn y cyfeiriadur "config.d/".
- Mae cydrannau rhwd yn defnyddio llyfrgell newydd ar gyfer gweithio'n ddiogel gyda llwybrau ffeil.
- Mae'r gydran virtiofsd (a ysgrifennwyd yn C) wedi'i disodli gan virtiofsd-rs (ysgrifennwyd yn Rust).
- Cefnogaeth ychwanegol ar gyfer ynysu cydrannau QEMU mewn blwch tywod.
- Mae QEMU yn defnyddio'r API io_uring ar gyfer I/O asyncronig.
- Mae cefnogaeth ar gyfer estyniadau Intel TDX (Estyniadau Parth Ymddiriedol) wedi'i weithredu ar gyfer QEMU a Cloud-hypervisor.
- Cydrannau wedi'u diweddaru: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, cnewyllyn Linux 5.19.2.
Ffynhonnell: opennet.ru