После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
Kata Containers konsantre sou entegrasyon nan enfrastrikti izolasyon veso ki egziste deja ak kapasite pou sèvi ak machin vityèl ki sanble pou amelyore pwoteksyon kontenè tradisyonèl yo. Pwojè a bay mekanis pou asire konpatibilite machin vityèl ki lejè ak divès kalite enfrastrikti izolasyon veso, platfòm orchestrasyon veso ak espesifikasyon tankou OCI (Open Container Initiative), CRI (Container Runtime Interface) ak CNI (Container Networking Interface). Zouti yo disponib pou entegrasyon ak Docker, Kubernetes, QEMU ak OpenStack.
Entegrasyon ak sistèm jesyon veso yo reyalize lè l sèvi avèk yon kouch ki similye jesyon veso, ki gen aksè a ajan jere nan machin vityèl la atravè koòdone gRPC ak yon prokurasyon espesyal. Anndan anviwònman an vityèl, ki se lanse pa hypervisor la, yo itilize yon nwayo Linux espesyalman optimize, ki gen sèlman seri minimòm nan kapasite nesesè.
Kòm yon hypervisor, li sipòte itilizasyon Dragonball Sandbox (yon edisyon KVM optimize pou resipyan) ak zouti QEMU, ansanm ak Firecracker ak Cloud Hypervisor. Anviwònman sistèm lan gen ladann yon demon inisyalizasyon ak yon ajan. Ajan an bay ekzekisyon imaj veso itilizatè defini nan fòma OCI pou Docker ak CRI pou Kubernetes. Lè yo itilize ansanm ak Docker, yo kreye yon machin vityèl separe pou chak veso, i.e. Anviwònman an kouri sou tèt hypervisor la itilize pou lansman enbrike nan resipyan.
Pou diminye konsomasyon memwa, yo itilize mekanis DAX (aksè dirèk nan sistèm fichye a, kontoune kachèt paj la san yo pa itilize nivo aparèy blòk), epi pou deduplike zòn memwa ki idantik yo, yo itilize teknoloji KSM (Kernel Samepage Merging), ki pèmèt ou pou òganize pataje resous sistèm lame yo epi konekte ak diferan sistèm envite pataje yon modèl anviwònman sistèm komen.
Nan nouvo vèsyon an:
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
Sous: opennet.ru