После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
Tá Kata Containers dírithe ar chomhtháthú le bonneagair leithlisithe coimeádán atá ann cheana féin leis an gcumas meaisíní fíorúla comhchosúla a úsáid chun cosaint coimeádán traidisiúnta a fheabhsú. Soláthraíonn an tionscadal meicníochtaí chun comhoiriúnacht meaisíní fíorúla éadroma a chinntiú le bonneagair leithlisithe coimeádáin éagsúla, ardáin cheolchoirmeacha coimeádán agus sonraíochtaí amhail OCI (Tionscnamh Coimeádán Oscailte), CRI (Comhéadan Réitigh Coimeádán) agus CNI (Comhéadan Líonrú Coimeádán). Tá uirlisí ar fáil le comhtháthú le Docker, Kubernetes, QEMU agus OpenStack.
Baintear amach comhtháthú le córais bhainistíochta coimeádáin trí úsáid a bhaint as ciseal a shamhlaíonn bainistíocht coimeádáin, a fhaigheann rochtain ar an ngníomhaire bainistíochta sa mheaisín fíorúil trí chomhéadan gRPC agus seachfhreastalaí speisialta. Laistigh den timpeallacht fhíorúil, a sheolann an hypervisor, úsáidtear eithne Linux atá optamaithe go speisialta, nach bhfuil ach an tacar íosta de chumais riachtanacha ann.
Mar hypervisor, tacaíonn sé le húsáid Dragonball Sandbox (eagrán de KVM optamaithe le haghaidh coimeádáin) le foireann uirlisí QEMU, chomh maith le Firecracker agus Cloud Hypervisor. Áirítear i dtimpeallacht an chórais deamhan tosaigh agus gníomhaire. Soláthraíonn an gníomhaire forghníomhú íomhánna coimeádáin atá sainithe ag úsáideoirí i bhformáid OCI do Docker agus CRI do Kubernetes. Nuair a úsáidtear é i gcomhar le Docker, cruthaítear meaisín fíorúil ar leith do gach coimeádán, i.e. Úsáidtear an timpeallacht a shíneann ar bharr an hypervisor chun coimeádáin a sheoladh neadaithe.
Chun tomhaltas cuimhne a laghdú, úsáidtear meicníocht DAX (rochtain dhíreach ar an gcóras comhad, seachaint an taisce leathanaigh gan úsáid a bhaint as leibhéal an ghléis bloc), agus chun limistéir chuimhne chomhionanna a dhídhúbailt, úsáidtear teicneolaíocht KSM (Kernel Samepage Cumasc), a cheadaíonn duit chun comhroinnt acmhainní an chórais óstaigh a eagrú agus ceangal le córais aoi éagsúla a roinnt teimpléad timpeallachta córais coiteann.
Sa leagan nua:
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
Foinse: oscailtenet.ru