La eldono de la projekto Kata Containers 3.2 estis publikigita, evoluigante stakon por organizi la ekzekuton de ujoj uzante izolitecon bazitan sur plenrajtaj virtualigaj mekanismoj. La projekto estis kreita de Intel kaj Hyper kombinante Clear Containers kaj runV-teknologiojn. La projektkodo estas skribita en Go kaj Rust, kaj estas distribuita sub la licenco Apache 2.0. La disvolviĝo de la projekto estas kontrolata de laborgrupo kreita sub la aŭspicioj de la sendependa organizo OpenStack Foundation, kiu inkluzivas kompaniojn kiel Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE kaj ZTE. .
Kata baziĝas sur rultempo, kiu permesas krei kompaktajn virtualajn maŝinojn, kiuj funkcias per plena hiperviziero, anstataŭ uzi tradiciajn ujojn, kiuj uzas komunan Linuksan kernon kaj estas izolitaj per nomspacoj kaj cgrupoj. La uzo de virtualaj maŝinoj permesas atingi pli altan nivelon de sekureco, kiu protektas kontraŭ atakoj kaŭzitaj de ekspluatado de vundeblecoj en la Linukso-kerno.
Kata Containers estas koncentrita pri integriĝo en ekzistantaj kontenaj izolaj infrastrukturoj kun la kapablo uzi similajn virtualajn maŝinojn por plibonigi la protekton de tradiciaj ujoj. La projekto provizas mekanismojn por certigi kongruecon de malpezaj virtualaj maŝinoj kun diversaj kontenaj izolaj infrastrukturoj, ujo-instrumentadplatformoj kaj specifoj kiel ekzemple OCI (Open Container Initiative), CRI (Container Runtime Interface) kaj CNI (Container Networking Interface). Iloj disponeblas por integriĝo kun Docker, Kubernetes, QEMU kaj OpenStack.
Integriĝo kun ujadministradsistemoj estas atingita uzante tavolon kiu simulas ujadministradon, kiu aliras la administran agenton en la virtuala maŝino per la gRPC-interfaco kaj speciala prokurilo. Ene de la virtuala medio, kiu estas lanĉita de la hiperviziero, estas uzata speciale optimumigita Linukso-kerno, kiu enhavas nur la minimuman aron de necesaj kapabloj.
Kiel hiperviziero, ĝi subtenas la uzon de Dragonball Sandbox (eldono de KVM optimumigita por ujoj) kun la ilaro QEMU, same kiel Firecracker kaj Cloud Hypervisor. La sistema medio inkluzivas komencan demonon kaj agenton. La agento disponigas ekzekuton de uzant-difinitaj ujbildoj en OCI-formato por Docker kaj CRI por Kubernetes. Kiam uzata kune kun Docker, aparta virtuala maŝino estas kreita por ĉiu ujo, t.e. La medio kuranta supre de la hiperviziero estas uzata por nestita lanĉo de ujoj.
Por redukti la konsumon de memoro, oni uzas la mekanismon DAX (rekta aliro al la dosiersistemo, preterpasante la paĝan kaŝmemoron sen uzi la blokan aparaton nivelon), kaj por maldupliki identajn memorareojn, estas uzata teknologio KSM (Kernel Samepage Merging), kiu permesas vin. organizi la kundividon de gastigaj sistemresursoj kaj konekti al malsamaj gastsistemoj kundividas oftan sisteman medio-ŝablonon.
En la nova versio:
- Aldone al subteno por la AMD64 (x86_64) arkitekturo, eldonoj estas disponigitaj por la ARM64 (Aarch64) kaj s390 (IBM Z) arkitekturoj. Subteno por la ppc64le-arkitekturo (IBM Power) estas en evoluo.
- Por organizi aliron al ujbildoj, la dosiersistemo Nydus 2.2.0 estas uzata, kiu uzas enhavadresadon por efika kunlaboro kun normaj bildoj. Nydus subtenas sur-la-muŝan ŝarĝon de bildoj (elŝutas nur kiam bezonate), disponigas deduplikadon de duplikataj datumoj, kaj povas uzi malsamajn backends por fakta stokado. POSIX-kongruo estas disponigita (simila al Composefs, la Nydus-efektivigo kombinas la kapablojn de OverlayFS kun la EROFS aŭ FUSE-modulo).
- La administranto de virtualaj maŝinoj Dragonball estis integrita al la ĉefa strukturo de la projekto Kata Containers, kiu nun estos disvolvita en komuna deponejo.
- Sencimiga funkcio estis aldonita al la kata-ctl ilo por konekti al virtuala maŝino de la gastiga medio.
- GPU-administradkapabloj estis vastigitaj kaj subteno estis aldonita por plusendado de GPU-oj al ujoj por konfidenca komputado (Konfidenca Ujo), kiu disponigas ĉifradon de datenoj, memoro kaj ekzekutŝtato por protekto en la okazaĵo de kompromiso de la gastiga medio aŭ hiperviziero.
- Subsistemo por administri aparatojn uzatajn en ujoj aŭ sablokesto-medioj estis aldonita al Runtime-rs. Subtenas laboron kun vfio, bloko, reto kaj aliaj specoj de aparatoj.
- Kongruo kun OCI Runtime 1.0.2 kaj Kubernetes 1.23.1 estas provizita.
- Oni rekomendas uzi eldonon 6.1.38 kun flikoj kiel la Linukso-kerno.
- Evoluo estis translokigita de uzado de la daŭra integriga sistemo de Jenkins al GitHub Actions.
fonto: opennet.ru