De frijlitting fan it Kata Containers 3.2-projekt is publisearre, dy't in stack ûntwikkelet foar it organisearjen fan de útfiering fan konteners mei isolaasje basearre op folweardige virtualisaasjemeganismen. It projekt is makke troch Intel en Hyper troch it kombinearjen fan Clear Containers en runV-technologyen. De projektkoade is skreaun yn Go and Rust, en wurdt ferspraat ûnder de Apache 2.0-lisinsje. De ûntwikkeling fan it projekt wurdt tafersjoch hâlden troch in wurkgroep makke ûnder auspysjes fan 'e ûnôfhinklike organisaasje OpenStack Foundation, dy't bedriuwen omfettet lykas Canonical, China Mobile, Dell / EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE en ZTE .
Kata is basearre op in runtime dy't it meitsjen fan kompakte firtuele masines mooglik makket dy't rinne op in folweardige hypervisor, ynstee fan it brûken fan tradisjonele konteners dy't in mienskiplike kernel brûke. Linux en isolearre mei help fan nammeromten en cgroups. Applikaasje firtuele masines makket in heger nivo fan feiligens mooglik dat beskermet tsjin oanfallen feroarsake troch it eksploitearjen fan kernelkwetsberens Linux.
Kata Containers is rjochte op yntegraasje yn besteande ynfrastruktuer foar kontenerisolaasje mei de mooglikheid om ferlykbere firtuele masines te brûken om de beskerming fan tradisjonele konteners te ferbetterjen. It projekt leveret meganismen om kompatibiliteit te garandearjen fan lichtgewicht firtuele masines mei ferskate ynfrastruktuer foar kontenerisolaasje, kontenerorkestraasjeplatfoarms en spesifikaasjes lykas OCI (Open Container Initiative), CRI (Container Runtime Interface) en CNI (Container Networking Interface). Tools binne beskikber foar yntegraasje mei Docker, Kubernetes, QEMU en OpenStack.
Yntegraasje mei kontenerbehearsystemen wurdt berikt mei in laach dy't kontenerbehear simulearret, dy't kommunisearret mei de behearagent yn 'e firtuele masine fia in gRPC-ynterface en in tawijde proxy. In spesjaal optimalisearre kernel wurdt brûkt binnen de firtuele omjouwing, dy't lansearre wurdt troch de hypervisor. Linux, mei allinich de minimale set needsaaklike funksjes.
De stipe hypervisor is Dragonball Sandbox (in kontener-optimalisearre KVM-edysje) mei QEMU, lykas Firecracker en Cloud Hypervisor. De systeemomjouwing omfettet in init-daemon en in agent. De agent makket de útfiering mooglik fan brûker-definiearre kontenerôfbyldings yn OCI-formaat foar Docker en CRI-formaat foar Kubernetes. As it brûkt wurdt yn kombinaasje mei Docker, wurdt in apart eksimplaar makke foar elke kontener. firtuele masine, d.w.s. de omjouwing dy't boppe op 'e hypervisor rint, wurdt brûkt foar it nestele starten fan konteners.

Om ûnthâldferbrûk te ferminderjen, wurdt it DAX-meganisme brûkt (direkte tagong ta it bestânsysteem, it omgean fan de side-cache sûnder it blokapparaatnivo te brûken), en om identike ûnthâldgebieten te deduplikearjen, wurdt KSM (Kernel Samepage Merging) technology brûkt, wêrtroch jo om it dielen fan hostsysteemboarnen te organisearjen en te ferbinen mei ferskate gastsystemen diele in mienskiplike systeemomjouwingssjabloan.
Yn de nije ferzje:
- Neist stipe foar de AMD64 (x86_64) arsjitektuer, wurde releases levere foar de ARM64 (Aarch64) en s390 (IBM Z) arsjitektuer. Stipe foar de ppc64le-arsjitektuer (IBM Power) is yn ûntwikkeling.
- Om tagong ta kontenerôfbyldings te organisearjen, wurdt it bestânsysteem Nydus 2.2.0 brûkt, dat ynhâldadressering brûkt foar effisjinte gearwurking mei standertôfbyldings. Nydus stipet on-the-fly laden fan ôfbyldings (allinich ynladen as it nedich is), soarget foar deduplikaasje fan dûbele gegevens, en kin ferskate backends brûke foar werklike opslach. POSIX-kompatibiliteit wurdt levere (lykas Composefs, de Nydus-ymplemintaasje kombinearret de mooglikheden fan OverlayFS mei de EROFS- of FUSE-module).
- De Dragonball-firtuele masinebehearder is yntegreare yn 'e haadstruktuer fan it Kata Containers-projekt, dat no sil wurde ûntwikkele yn in mienskiplik repository.
- In debuggenfunksje is tafoege oan it kata-ctl-hulpprogramma foar ferbining mei in firtuele masine út 'e hostomjouwing.
- GPU behear mooglikheden binne útwreide en stipe is tafoege foar it trochstjoeren fan GPUs oan konteners foar fertroulik computing (Confidential Container), dat soarget foar fersifering fan gegevens, ûnthâld en útfiering steat foar beskerming yn gefal fan in kompromis fan de host omjouwing of hypervisor.
- In subsysteem foar it behearen fan apparaten brûkt yn konteners of sânbox-omjouwings is tafoege oan Runtime-rs. Unterstützt wurk mei vfio, block, netwurk en oare soarten apparaten.
- Kompatibiliteit mei OCI Runtime 1.0.2 en Kubernetes 1.23.1 wurdt foarsjoen.
- As in kearn Linux It is oan te rieden om release 6.1.38 mei patches te brûken.
- Untwikkeling is oerdroegen fan it brûken fan it Jenkins trochgeande yntegraasjesysteem nei GitHub Actions.
Boarne: opennet.ru
