De frijlitting fan it Kata Containers 3.2-projekt is publisearre, dy't in stack ûntwikkelet foar it organisearjen fan de útfiering fan konteners mei isolaasje basearre op folweardige virtualisaasjemeganismen. It projekt is makke troch Intel en Hyper troch it kombinearjen fan Clear Containers en runV-technologyen. De projektkoade is skreaun yn Go and Rust, en wurdt ferspraat ûnder de Apache 2.0-lisinsje. De ûntwikkeling fan it projekt wurdt tafersjoch hâlden troch in wurkgroep makke ûnder auspysjes fan 'e ûnôfhinklike organisaasje OpenStack Foundation, dy't bedriuwen omfettet lykas Canonical, China Mobile, Dell / EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE en ZTE .
Kata is basearre op runtime, wêrtroch jo kompakte firtuele masines kinne meitsje dy't rinne mei in folsleine hypervisor, ynstee fan tradisjonele konteners te brûken dy't in mienskiplike Linux-kernel brûke en wurde isolearre mei nammeromten en cgroups. It gebrûk fan firtuele masines lit jo in heger nivo fan feiligens berikke dy't beskermet tsjin oanfallen feroarsake troch eksploitaasje fan kwetsberens yn 'e Linux-kernel.
Kata Containers is rjochte op yntegraasje yn besteande ynfrastruktuer foar kontenerisolaasje mei de mooglikheid om ferlykbere firtuele masines te brûken om de beskerming fan tradisjonele konteners te ferbetterjen. It projekt leveret meganismen om kompatibiliteit te garandearjen fan lichtgewicht firtuele masines mei ferskate ynfrastruktuer foar kontenerisolaasje, kontenerorkestraasjeplatfoarms en spesifikaasjes lykas OCI (Open Container Initiative), CRI (Container Runtime Interface) en CNI (Container Networking Interface). Tools binne beskikber foar yntegraasje mei Docker, Kubernetes, QEMU en OpenStack.
Yntegraasje mei kontenerbehearsystemen wurdt berikt mei in laach dy't kontenerbehear simulearret, dy't tagong hat ta de behearder yn 'e firtuele masine fia de gRPC-ynterface en in spesjale proxy. Binnen de firtuele omjouwing, dy't wurdt lansearre troch de hypervisor, wurdt in spesjaal optimisearre Linux-kernel brûkt, dy't allinich de minimale set fan nedige mooglikheden befettet.
As hypervisor stipet it it gebrûk fan Dragonball Sandbox (in edysje fan KVM optimalisearre foar konteners) mei de QEMU toolkit, lykas Firecracker en Cloud Hypervisor. De systeemomjouwing omfettet in initialisaasjedaemon en in agint. De agint leveret útfiering fan troch brûkers definieare kontenerôfbyldings yn OCI-formaat foar Docker en CRI foar Kubernetes. Wannear't brûkt wurdt yn gearhing mei Docker, wurdt in aparte firtuele masine makke foar elke kontener, d.w.s. De omjouwing dy't boppe op 'e hypervisor rint, wurdt brûkt foar nestele lansearring fan konteners.
Om ûnthâldferbrûk te ferminderjen, wurdt it DAX-meganisme brûkt (direkte tagong ta it bestânsysteem, it omgean fan de side-cache sûnder it blokapparaatnivo te brûken), en om identike ûnthâldgebieten te deduplikearjen, wurdt KSM (Kernel Samepage Merging) technology brûkt, wêrtroch jo om it dielen fan hostsysteemboarnen te organisearjen en te ferbinen mei ferskate gastsystemen diele in mienskiplike systeemomjouwingssjabloan.
Yn de nije ferzje:
- Neist stipe foar de AMD64 (x86_64) arsjitektuer, wurde releases levere foar de ARM64 (Aarch64) en s390 (IBM Z) arsjitektuer. Stipe foar de ppc64le-arsjitektuer (IBM Power) is yn ûntwikkeling.
- Om tagong ta kontenerôfbyldings te organisearjen, wurdt it bestânsysteem Nydus 2.2.0 brûkt, dat ynhâldadressering brûkt foar effisjinte gearwurking mei standertôfbyldings. Nydus stipet on-the-fly laden fan ôfbyldings (allinich ynladen as it nedich is), soarget foar deduplikaasje fan dûbele gegevens, en kin ferskate backends brûke foar werklike opslach. POSIX-kompatibiliteit wurdt levere (lykas Composefs, de Nydus-ymplemintaasje kombinearret de mooglikheden fan OverlayFS mei de EROFS- of FUSE-module).
- De Dragonball-firtuele masinebehearder is yntegreare yn 'e haadstruktuer fan it Kata Containers-projekt, dat no sil wurde ûntwikkele yn in mienskiplik repository.
- In debuggenfunksje is tafoege oan it kata-ctl-hulpprogramma foar ferbining mei in firtuele masine út 'e hostomjouwing.
- GPU behear mooglikheden binne útwreide en stipe is tafoege foar it trochstjoeren fan GPUs oan konteners foar fertroulik computing (Confidential Container), dat soarget foar fersifering fan gegevens, ûnthâld en útfiering steat foar beskerming yn gefal fan in kompromis fan de host omjouwing of hypervisor.
- In subsysteem foar it behearen fan apparaten brûkt yn konteners of sânbox-omjouwings is tafoege oan Runtime-rs. Unterstützt wurk mei vfio, block, netwurk en oare soarten apparaten.
- Kompatibiliteit mei OCI Runtime 1.0.2 en Kubernetes 1.23.1 wurdt foarsjoen.
- It is oan te rieden om release 6.1.38 te brûken mei patches as de Linux kernel.
- Untwikkeling is oerdroegen fan it brûken fan it Jenkins trochgeande yntegraasjesysteem nei GitHub Actions.
Boarne: opennet.ru