Mae rhyddhau prosiect Kata Containers 3.2 wedi'i gyhoeddi, gan ddatblygu pentwr ar gyfer trefnu gweithredu cynwysyddion gan ddefnyddio ynysu yn seiliedig ar fecanweithiau rhithwiroli llawn. Crëwyd y prosiect gan Intel a Hyper trwy gyfuno Clear Containers a thechnolegau runV. Mae cod y prosiect wedi'i ysgrifennu yn Go and Rust, ac fe'i dosberthir o dan drwydded Apache 2.0. Mae datblygiad y prosiect yn cael ei oruchwylio gan weithgor a grëwyd o dan nawdd y sefydliad annibynnol OpenStack Foundation, sy'n cynnwys cwmnïau fel Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE a ZTE .
Mae Kata yn seiliedig ar amser rhedeg, sy'n eich galluogi i greu peiriannau rhithwir cryno sy'n rhedeg gan ddefnyddio hypervisor llawn, yn lle defnyddio cynwysyddion traddodiadol sy'n defnyddio cnewyllyn Linux cyffredin ac sy'n cael eu hynysu gan ddefnyddio gofodau enwau a cgroups. Mae'r defnydd o beiriannau rhithwir yn caniatáu ichi gyflawni lefel uwch o ddiogelwch sy'n amddiffyn rhag ymosodiadau a achosir gan ecsbloetio gwendidau yn y cnewyllyn Linux.
Mae Kata Containers yn canolbwyntio ar integreiddio i seilweithiau ynysu cynwysyddion presennol gyda'r gallu i ddefnyddio peiriannau rhithwir o'r fath i wella amddiffyniad cynwysyddion traddodiadol. Mae'r prosiect yn darparu mecanweithiau i wneud peiriannau rhithwir ysgafn yn gydnaws ag amrywiol fframweithiau ynysu cynwysyddion, llwyfannau cerddorfa cynhwysydd, a manylebau fel OCI (Menter Cynhwysydd Agored), CRI (Rhyngwyneb Rhedeg Cynhwysydd), a CNI (Rhyngwyneb Rhwydweithio Cynhwysydd). Mae integreiddiadau gyda Docker, Kubernetes, QEMU, ac OpenStack ar gael.
Cyflawnir integreiddio â systemau rheoli cynwysyddion gan ddefnyddio haen sy'n efelychu rheoli cynwysyddion, sydd, trwy'r rhyngwyneb gRPC a dirprwy arbennig, yn cyrchu'r asiant rheoli yn y peiriant rhithwir. Y tu mewn i'r amgylchedd rhithwir, sy'n cael ei lansio gan yr hypervisor, defnyddir cnewyllyn Linux wedi'i optimeiddio'n arbennig, sy'n cynnwys y set leiaf o nodweddion angenrheidiol yn unig.
Fel hypervisor, cefnogir y defnydd o Dragonball Sandbox (rhifyn KVM wedi'i optimeiddio ar gyfer cynwysyddion) gyda phecyn cymorth QEMU, yn ogystal â Firecracker a Cloud Hypervisor. Mae amgylchedd y system yn cynnwys yr ellyll cychwyn a'r asiant. Mae'r asiant yn rhedeg delweddau cynhwysydd wedi'u diffinio gan ddefnyddwyr mewn fformat OCI ar gyfer Docker a CRI ar gyfer Kubernetes. Pan gaiff ei ddefnyddio ar y cyd â Docker, crëir peiriant rhithwir ar wahân ar gyfer pob cynhwysydd, h.y. defnyddir yr amgylchedd a lansiwyd gan hypervisor i nythu cynwysyddion.
Er mwyn lleihau'r defnydd o gof, defnyddir y mecanwaith DAX (mynediad uniongyrchol i'r FS gan osgoi storfa'r dudalen heb ddefnyddio lefel y ddyfais bloc), a defnyddir technoleg KSM (Kernel Samepage Merging) i ddidynnu ardaloedd cof union yr un fath, sy'n caniatáu rhannu adnoddau'r system gwesteiwr. a chysylltu â systemau gwesteion gwahanol gyda thempled amgylchedd system gyffredin.
Yn y fersiwn newydd:
- Yn ogystal â chefnogaeth ar gyfer pensaernïaeth AMD64 (x86_64), darperir datganiadau ar gyfer pensaernïaeth ARM64 (Aarch64) ac s390 (IBM Z). Mae cefnogaeth i bensaernïaeth ppc64le (IBM Power) yn cael ei datblygu.
- I drefnu mynediad i ddelweddau cynhwysydd, defnyddir system ffeiliau Nydus 2.2.0, sy'n defnyddio cyfeiriadau cynnwys ar gyfer cydweithredu effeithlon â delweddau safonol. Mae Nydus yn cefnogi llwytho delweddau ar-y-hedfan (lawrlwythiadau dim ond pan fo angen), yn darparu dad-ddyblygu data dyblyg, a gall ddefnyddio gwahanol ôl-wynebau ar gyfer storio gwirioneddol. Darperir cydnawsedd POSIX (yn debyg i Composefs, mae gweithrediad Nydus yn cyfuno galluoedd OverlayFS â modiwl EROFS neu FUSE).
- Mae rheolwr peiriant rhithwir Dragonball wedi'i integreiddio i brif strwythur prosiect Kata Containers, a fydd bellach yn cael ei ddatblygu mewn ystorfa gyffredin.
- Mae swyddogaeth dadfygio wedi'i hychwanegu at y cyfleustodau kata-ctl ar gyfer cysylltu â pheiriant rhithwir o'r amgylchedd gwesteiwr.
- Mae galluoedd rheoli GPU wedi'u hehangu ac mae cefnogaeth wedi'i hychwanegu ar gyfer anfon GPUs i gynwysyddion ar gyfer cyfrifiadura cyfrinachol (Cynhwysydd Cyfrinachol), sy'n darparu amgryptio data, cof a chyflwr gweithredu i'w hamddiffyn rhag ofn y bydd yr amgylchedd gwesteiwr neu hypervisor yn cael ei gyfaddawdu.
- Mae is-system ar gyfer rheoli dyfeisiau a ddefnyddir mewn cynwysyddion neu amgylcheddau blychau tywod wedi'i hychwanegu at Runtime-rs. Yn cefnogi gwaith gyda vfio, bloc, rhwydwaith a mathau eraill o ddyfeisiau.
- Darperir cydnawsedd ag OCI Runtime 1.0.2 a Kubernetes 1.23.1.
- Argymhellir defnyddio rhyddhau 6.1.38 gyda chlytiau fel y cnewyllyn Linux.
- Mae datblygiad wedi'i drosglwyddo o ddefnyddio system integreiddio barhaus Jenkins i GitHub Actions.
Ffynhonnell: opennet.ru