Efter to års udvikling er Kata Containers 3.0-projektet blevet udgivet, der udvikler en stak til at organisere udførelsen af containere ved hjælp af isolation baseret på fuldgyldige virtualiseringsmekanismer. Projektet blev skabt af Intel og Hyper ved at kombinere Clear Containers og runV-teknologier. Projektkoden er skrevet i Go and Rust og distribueres under Apache 2.0-licensen. Projektets udvikling overvåges af en arbejdsgruppe, der er oprettet under ledelse af den uafhængige OpenStack Foundation, som omfatter virksomheder som Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE og ZTE.
Kata er baseret på en runtime, der giver mulighed for at oprette kompakte virtuelle maskiner, der kører på en fuldgyldig hypervisor, i stedet for at bruge traditionelle containere, der bruger en fælles kerne. Linux og isoleret ved hjælp af navnerum og cgroups. Applikation virtuel maskine giver mulighed for et højere sikkerhedsniveau, der beskytter mod angreb forårsaget af udnyttelse af sårbarheder i kernen Linux.
Kata Containers er designet til at integreres i eksisterende containerisoleringsinfrastrukturer med mulighed for at bruge lignende virtuelle maskiner til at hærde traditionelle containere. Projektet leverer mekanismer til at sikre kompatibilitet mellem lette virtuelle maskiner og forskellige containerisoleringsframeworks, containerorkestreringsplatforme og specifikationer såsom Open Container Initiative (OCI), Container Runtime Interface (CRI) og Container Networking Interface (CNI). Integrationsværktøjer er tilgængelige til Docker, Kubernetes, QEMU og OpenStack.
Integration med containerstyringssystemer opnås ved hjælp af et containerstyringslag, der kommunikerer med styringsagenten i den virtuelle maskine via en gRPC-grænseflade og en dedikeret proxy. En specielt optimeret kerne bruges i det virtuelle miljø, som startes af hypervisoren. Linux, der kun indeholder det minimale sæt af nødvendige funktioner.
Den understøttede hypervisor er Dragonball Sandbox (en containeroptimeret KVM-udgave) med QEMU, samt Firecracker og Cloud Hypervisor. Systemmiljøet inkluderer en init-daemon og en agent. Agenten muliggør udførelse af brugerdefinerede containerbilleder i OCI-format til Docker og CRI-format til Kubernetes. Når den bruges sammen med Docker, oprettes der en separat instans for hver container. virtuel maskine, dvs. miljøet, der kører oven på hypervisoren, bruges til indlejret start af containere.
For at reducere hukommelsesforbruget bruges DAX-mekanismen (direkte adgang til filsystemet, omgåelse af sidecachen uden brug af blokenhedsniveauet), og til at deduplikere identiske hukommelsesområder bruges KSM (Kernel Samepage Merging) teknologi, som giver dig mulighed for at organisere deling af værtssystemressourcer og oprette forbindelse til forskellige gæstesystemer, dele en fælles systemmiljøskabelon.
I den nye version:
- En alternativ runtime (runtime-rs) foreslås, der danner fyldningen af containere, skrevet i Rust (den tidligere leverede runtime er skrevet i Go). Runtime er kompatibel med OCI, CRI-O og Containerd, hvilket gør det muligt at bruge det med Docker og Kubernetes.
- En ny hypervisor, Dragonball, baseret på KVM og rust-vmm foreslås.
- Tilføjet support til videresendelse af adgang til GPU'en ved hjælp af VFIO.
- Tilføjet understøttelse af cgroup v2.
- Understøttelse af ændring af indstillinger uden at ændre hovedkonfigurationsfilen er blevet implementeret ved at erstatte blokke i separate filer placeret i "config.d/"-mappen.
- Rustkomponenter inkluderer et nyt bibliotek til sikkert arbejde med filstier.
- Virtiofsd-komponenten (skrevet i C) er blevet erstattet med virtiofsd-rs (skrevet i Rust).
- Tilføjet understøttelse af sandboxing QEMU-komponenter.
- QEMU bruger io_uring API'en til asynkron I/O.
- Understøttelse af Intel TDX (Trusted Domain Extensions)-udvidelser er blevet implementeret til QEMU og Cloud-hypervisor.
- Opdaterede komponenter: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, kerne Linux 5.19.2.
Kilde: opennet.ru
