Kata Containers 3.2 proiektuaren oharra argitaratu da, edukiontzien exekuzioa antolatzeko pila bat garatuz, birtualizazio mekanismo osoetan oinarritutako isolamendua erabiliz. Proiektua Intel eta Hyper-ek sortu zuten Clear Containers eta runV teknologiak konbinatuz. Proiektuaren kodea Go eta Rust-en idatzita dago, eta Apache 2.0 lizentziapean banatzen da. Proiektuaren garapena OpenStack Foundation erakunde independentearen babespean sortutako lantalde batek gainbegiratzen du, Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE eta ZTE bezalako enpresak biltzen dituena. .
Kata exekuzio-denboran oinarritzen da, eta horrek hipervisor osoa erabiliz exekutatzen diren makina birtual trinkoak sortzeko aukera ematen du, Linux kernel arrunta erabiltzen duten eta izen-espazio eta cgroups erabiliz isolatuta dauden edukiontzi tradizionalak erabili beharrean. Makina birtualak erabiltzeari esker, Linux kerneleko ahultasunak ustiatzeak eragindako erasoetatik babesten duen segurtasun-maila handiagoa lortzen duzu.
Kata Containers lehendik dauden edukiontzi isolatzeko azpiegituretan integratzera bideratzen da, antzeko makina birtualak erabiltzeko gaitasuna duten edukiontzi tradizionalen babesa hobetzeko. Proiektuak makina birtual arinen bateragarritasuna bermatzeko mekanismoak eskaintzen ditu hainbat edukiontzi isolatzeko azpiegiturarekin, edukiontzien orkestrazio plataformarekin eta zehaztapenekin, hala nola OCI (Open Container Initiative), CRI (Container Runtime Interface) eta CNI (Container Networking Interface). Tresnak eskuragarri daude Docker, Kubernetes, QEMU eta OpenStack-ekin integratzeko.
Edukiontzien kudeaketa-sistemekin integrazioa edukiontzien kudeaketa simulatzen duen geruza baten bidez lortzen da, zeina makina birtualeko agente kudeatzailea gRPC interfazearen eta proxy berezi baten bidez sartzen dena. Hipervisorak abiarazten duen ingurune birtualean, bereziki optimizatutako Linux kernel bat erabiltzen da, beharrezko gaitasunen gutxieneko multzoa soilik duena.
Hipervisor gisa, Dragonball Sandbox (edukiontzietarako optimizatutako KVM-ren edizioa) QEMU tresna-tresnarekin erabiltzea onartzen du, baita Firecracker eta Cloud Hypervisor ere. Sistemaren inguruneak hasierako deabru bat eta agente bat ditu. Agenteak erabiltzaileak definitutako edukiontzien irudiak exekutatzen ditu Docker-erako OCI formatuan eta Kubernetes-erako CRI. Dockerrekin batera erabiltzen denean, makina birtual bereizia sortzen da edukiontzi bakoitzeko, hau da. Hipervisorearen gainean exekutatzen den ingurunea edukiontziak habiaratuta abiarazteko erabiltzen da.
Memoria-kontsumoa murrizteko, DAX mekanismoa erabiltzen da (fitxategi-sistemarako sarbide zuzena, orrialdeen cachea saihestuz blokeo-gailuaren maila erabili gabe), eta memoria-eremu berdinak desbikoizteko, KSM (Kernel Samepage Merging) teknologia erabiltzen da, eta horrek aukera ematen du. ostalari-sistemaren baliabideak partekatzea antolatzeko eta gonbidatutako sistema desberdinetara konektatzeko sistema-ingurunearen txantiloi komun bat partekatzeko.
Bertsio berrian:
- AMD64 (x86_64) arkitekturarako laguntzaz gain, ARM64 (Aarch64) eta s390 (IBM Z) arkitekturarako bertsioak eskaintzen dira. ppc64le arkitekturarako (IBM Power) euskarria garatzen ari da.
- Edukiontzien irudietarako sarbidea antolatzeko, Nydus 2.2.0 fitxategi-sistema erabiltzen da, eta edukien helbideratzea erabiltzen da irudi estandarrekin lankidetza eraginkorra izateko. Nydus-ek irudiak berehala kargatzen ditu (behar denean bakarrik deskargatzen ditu), bikoiztutako datuen desbikoizpena eskaintzen du eta backend desberdinak erabil ditzake benetako biltegiratzeko. POSIX bateragarritasuna eskaintzen da (Composefs-en antzera, Nydus inplementazioak OverlayFS-ren gaitasunak EROFS edo FUSE moduluarekin konbinatzen ditu).
- Dragonball makina birtualeko kudeatzailea Kata Containers proiektuaren egitura nagusian integratu da, orain biltegi komun batean garatuko dena.
- Arazketa-funtzio bat gehitu da kata-ctl erabilgarritasuna ostalari ingurunetik makina birtual batera konektatzeko.
- GPU kudeatzeko gaitasunak zabaldu dira eta GPUak konputazio konfidentzialerako edukiontzietara birbidaltzeko laguntza gehitu da (Konfidentzial Edukiontzi), datuak, memoria eta exekuzio-egoera enkriptatzea eskaintzen baitu ostalariaren ingurunea edo hipervisorea arriskuan jartzen bada.
- Edukiontzi edo sandbox inguruneetan erabiltzen diren gailuak kudeatzeko azpisistema bat gehitu da Runtime-rs-en. vfio, bloke, sare eta beste gailu mota batzuekin lan egiten du.
- OCI Runtime 1.0.2 eta Kubernetes 1.23.1-ekin bateragarritasuna eskaintzen da.
- Gomendagarria da 6.1.38 bertsioa erabiltzea Linux nukleo gisa adabakiekin.
- Garapena Jenkins etengabeko integrazio sistema erabiltzetik GitHub Actions-era transferitu da.
Iturria: opennet.ru