🥇Kata Containers 3.2 air a leigeil ma sgaoil le aonaranachd stèidhichte air virtualization

Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.

Основу Kata составляет runtime, позволяющий создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.

Tha Kata Containers ag amas air amalachadh a-steach do bhun-structaran aonaranachd shoithichean le comas innealan brìgheil coltach ris a chleachdadh gus dìon nan soithichean traidiseanta a neartachadh. Tha am pròiseact a’ toirt seachad uidheamachdan gus dèanamh cinnteach gu bheil innealan brìgheil aotrom co-fhreagarrach le diofar bhun-structaran aonaranachd shoithichean, àrd-ùrlaran orcastra soithichean agus sònrachaidhean leithid OCI (Iomairt Container Fosgailte), CRI (Container Runtime Interface) agus CNI (Container Networking Interface). Tha innealan rim faighinn airson amalachadh le Docker, Kubernetes, QEMU agus OpenStack.

Tha amalachadh le siostaman riaghlaidh soithichean air a choileanadh le bhith a’ cleachdadh còmhdach a tha coltach ri riaghladh soithichean, a gheibh cothrom air an àidseant riaghlaidh san inneal brìgheil tro eadar-aghaidh gRPC agus neach-ionaid sònraichte. Taobh a-staigh na h-àrainneachd bhrìgheil, a thèid a chuir air bhog leis an hypervisor, thathas a’ cleachdadh kernel Linux làn-leasaichte, anns nach eil ach an seata as lugha de chomasan riatanach.

Mar hypervisor, tha e a’ toirt taic do chleachdadh Dragonball Sandbox (deasachadh de KVM air a bharrrachadh airson soithichean) leis an inneal QEMU, a bharrachd air Firecracker agus Cloud Hypervisor. Tha àrainneachd an t-siostaim a’ toirt a-steach daemon tòiseachaidh agus àidseant. Bidh an neach-ionaid a’ toirt seachad ìomhaighean soithich a tha air an sònrachadh le neach-cleachdaidh ann an cruth OCI airson Docker agus CRI airson Kubernetes. Nuair a thèid a chleachdadh ann an co-bhonn ri Docker, thèid inneal brìgheil fa leth a chruthachadh airson gach inneal, i.e. Tha an àrainneachd a tha a’ ruith air mullach an hypervisor air a chleachdadh airson soithichean a chuir air bhog.

Gus caitheamh cuimhne a lughdachadh, thathas a ’cleachdadh an uidheamachd DAX (ruigsinneachd dìreach air an t-siostam faidhle, a’ dol seachad air tasgadan na duilleige gun a bhith a ’cleachdadh ìre inneal bloca), agus gus raointean cuimhne co-ionann a dhì-dhùblachadh, thathas a’ cleachdadh teicneòlas KSM (Kernel Samepage Merging), a leigeas leat gus roinneadh ghoireasan siostam aoigheachd a chuir air dòigh agus ceangal ri diofar shiostaman aoighean a ’roinn teamplaid àrainneachd siostam cumanta.

Anns an dreach ùr:

Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.

Source: fosgailtenet.ru

Sgaoileadh Kata Containers 3.2 le aonaranachd stèidhichte air virtualization

Cuir beachd ann freagairt a chur dheth