Yo te pibliye piblikasyon Kata Containers 3.2 pwojè a, ki te devlope yon pil pou òganize ekzekisyon veso yo lè l sèvi avèk izolasyon ki baze sou mekanis virtualizasyon plen véritable. Pwojè a te kreye pa Intel ak Hyper nan konbine Clear Containers ak runV teknoloji. Kòd pwojè a ekri nan Go and Rust, epi li distribye anba lisans Apache 2.0. Devlopman pwojè a sipèvize pa yon gwoup travay ki te kreye anba ejid òganizasyon endepandan OpenStack Foundation, ki gen ladann konpayi tankou Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE ak ZTE. .
Kata baze sou ègzekutabl, ki pèmèt ou kreye machin vityèl kontra enfòmèl ant ki fonksyone lè l sèvi avèk yon hypervisor konplè, olye pou yo itilize resipyan tradisyonèl ki itilize yon nwayo Linux komen epi yo izole lè l sèvi avèk namespaces ak cgroups. Itilizasyon machin vityèl pèmèt ou reyalize yon pi wo nivo sekirite ki pwoteje kont atak ki te koze pa eksplwatasyon frajilite nan nwayo Linux la.
Kata Containers konsantre sou entegrasyon nan enfrastrikti izolasyon veso ki egziste deja ak kapasite pou sèvi ak machin vityèl ki sanble pou amelyore pwoteksyon kontenè tradisyonèl yo. Pwojè a bay mekanis pou asire konpatibilite machin vityèl ki lejè ak divès kalite enfrastrikti izolasyon veso, platfòm orchestrasyon veso ak espesifikasyon tankou OCI (Open Container Initiative), CRI (Container Runtime Interface) ak CNI (Container Networking Interface). Zouti yo disponib pou entegrasyon ak Docker, Kubernetes, QEMU ak OpenStack.
Entegrasyon ak sistèm jesyon veso yo reyalize lè l sèvi avèk yon kouch ki similye jesyon veso, ki gen aksè a ajan jere nan machin vityèl la atravè koòdone gRPC ak yon prokurasyon espesyal. Anndan anviwònman an vityèl, ki se lanse pa hypervisor la, yo itilize yon nwayo Linux espesyalman optimize, ki gen sèlman seri minimòm nan kapasite nesesè.
Kòm yon hypervisor, li sipòte itilizasyon Dragonball Sandbox (yon edisyon KVM optimize pou resipyan) ak zouti QEMU, ansanm ak Firecracker ak Cloud Hypervisor. Anviwònman sistèm lan gen ladann yon demon inisyalizasyon ak yon ajan. Ajan an bay ekzekisyon imaj veso itilizatè defini nan fòma OCI pou Docker ak CRI pou Kubernetes. Lè yo itilize ansanm ak Docker, yo kreye yon machin vityèl separe pou chak veso, i.e. Anviwònman an kouri sou tèt hypervisor la itilize pou lansman enbrike nan resipyan.
Pou diminye konsomasyon memwa, yo itilize mekanis DAX (aksè dirèk nan sistèm fichye a, kontoune kachèt paj la san yo pa itilize nivo aparèy blòk), epi pou deduplike zòn memwa ki idantik yo, yo itilize teknoloji KSM (Kernel Samepage Merging), ki pèmèt ou pou òganize pataje resous sistèm lame yo epi konekte ak diferan sistèm envite pataje yon modèl anviwònman sistèm komen.
Nan nouvo vèsyon an:
- Anplis de sipò pou achitekti AMD64 (x86_64), yo bay degaje pou achitekti ARM64 (Aarch64) ak s390 (IBM Z). Sipò pou achitekti ppc64le (IBM Power) an devlopman.
- Pou òganize aksè nan imaj veso yo, yo itilize sistèm fichye Nydus 2.2.0, ki sèvi ak adrès kontni pou kolaborasyon efikas ak imaj estanda. Nydus sipòte chajman sou-a-vole nan imaj (telechaje sèlman lè sa nesesè), bay deduplication nan done kopi, epi li ka itilize backend diferan pou depo aktyèl. Yo bay konpatibilite POSIX (menm jan ak Composefs, aplikasyon Nydus konbine kapasite OverlayFS ak modil EROFS oswa FUSE).
- Manadjè machin vityèl Dragonball la te entegre nan estrikti prensipal pwojè Kata Containers, ki pral kounye a devlope nan yon depo komen.
- Yo te ajoute yon fonksyon debogaj nan sèvis piblik kata-ctl pou konekte ak yon machin vityèl nan anviwònman an lame.
- Kapasite jesyon GPU yo te elaji ak sipò yo te ajoute pou voye GPU nan resipyan pou enfòmatik konfidansyèl (Konfidansyèl Container), ki bay chifreman nan done, memwa ak eta ekzekisyon pou pwoteksyon nan evènman an nan yon konpwomi nan anviwònman an lame oswa hypervisor.
- Yon subsistèm pou jere aparèy yo itilize nan resipyan oswa anviwònman sandbox yo te ajoute nan Runtime-rs. Sipòte travay ak vfio, blòk, rezo ak lòt kalite aparèy.
- Yo bay konpatibilite ak OCI Runtime 1.0.2 ak Kubernetes 1.23.1.
- Li rekòmande pou itilize lage 6.1.38 ak plak kòm nwayo Linux.
- Devlopman te transfere depi lè l sèvi avèk sistèm entegrasyon kontinyèl Jenkins nan GitHub Actions.
Sous: opennet.ru