Rilis proyek Kata Containers 3.2 telah diterbitkan, mengembangkan tumpukan untuk mengatur eksekusi container menggunakan isolasi berdasarkan mekanisme virtualisasi lengkap. Proyek ini dibuat oleh Intel dan Hyper dengan menggabungkan teknologi Clear Containers dan runV. Kode proyek ditulis dalam Go dan Rust, dan didistribusikan di bawah lisensi Apache 2.0. Pengembangan proyek ini diawasi oleh kelompok kerja yang dibentuk di bawah naungan organisasi independen OpenStack Foundation, yang mencakup perusahaan-perusahaan seperti Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE dan ZTE .
Основу Kata составляет runtime, позволяющий создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux dan diisolasi menggunakan namespace dan cgroup. Aplikasi mesin virtual memungkinkan tingkat keamanan yang lebih tinggi yang melindungi dari serangan yang disebabkan oleh eksploitasi kerentanan kernel. Linux.
Kata Containers berfokus pada integrasi ke dalam infrastruktur isolasi kontainer yang ada dengan kemampuan menggunakan mesin virtual serupa untuk meningkatkan perlindungan kontainer tradisional. Proyek ini menyediakan mekanisme untuk memastikan kompatibilitas mesin virtual ringan dengan berbagai infrastruktur isolasi kontainer, platform orkestrasi kontainer, dan spesifikasi seperti OCI (Open Container Initiative), CRI (Container Runtime Interface) dan CNI (Container Networking Interface). Alat tersedia untuk integrasi dengan Docker, Kubernetes, QEMU dan OpenStack.
Integrasi dengan sistem manajemen kontainer dicapai menggunakan lapisan manajemen kontainer yang berkomunikasi dengan agen manajemen di mesin virtual melalui antarmuka gRPC dan proksi khusus. Kernel yang dioptimalkan secara khusus digunakan di dalam lingkungan virtual, yang diluncurkan oleh hypervisor. Linux, hanya berisi fitur-fitur minimum yang diperlukan.
Hypervisor yang didukung adalah Dragonball Sandbox (edisi KVM yang dioptimalkan untuk kontainer) dengan QEMU, serta Firecracker dan Cloud Hypervisor. Lingkungan sistem mencakup daemon init dan agen. Agen memungkinkan eksekusi image kontainer yang ditentukan pengguna dalam format OCI untuk Docker dan format CRI untuk Kubernetes. Saat digunakan bersama dengan Docker, instance terpisah dibuat untuk setiap kontainer. mesin virtualyaitu, lingkungan yang berjalan di atas hypervisor digunakan untuk peluncuran kontainer bertingkat.
Untuk mengurangi konsumsi memori, mekanisme DAX digunakan (akses langsung ke sistem file, melewati cache halaman tanpa menggunakan tingkat perangkat blok), dan untuk menghapus duplikat area memori yang identik, teknologi KSM (Kernel Samepage Merging) digunakan, yang memungkinkan Anda untuk mengatur berbagi sumber daya sistem host dan terhubung ke sistem tamu yang berbeda, berbagi templat lingkungan sistem yang sama.
овой ерсии:
- Selain dukungan untuk arsitektur AMD64 (x86_64), rilis disediakan untuk arsitektur ARM64 (Aarch64) dan s390 (IBM Z). Dukungan untuk arsitektur ppc64le (IBM Power) sedang dalam pengembangan.
- Untuk mengatur akses ke gambar kontainer, sistem file Nydus 2.2.0 digunakan, yang menggunakan pengalamatan konten untuk kolaborasi yang efisien dengan gambar standar. Nydus mendukung pemuatan gambar saat itu juga (unduh hanya jika diperlukan), menyediakan deduplikasi data duplikat, dan dapat menggunakan backend berbeda untuk penyimpanan sebenarnya. Kompatibilitas POSIX disediakan (mirip dengan Composefs, implementasi Nydus menggabungkan kemampuan OverlayFS dengan modul EROFS atau FUSE).
- Manajer mesin virtual Dragonball telah diintegrasikan ke dalam struktur utama proyek Kata Containers, yang sekarang akan dikembangkan dalam repositori umum.
- Fungsi debugging telah ditambahkan ke utilitas kata-ctl untuk menghubungkan ke mesin virtual dari lingkungan host.
- Kemampuan manajemen GPU telah diperluas dan dukungan telah ditambahkan untuk meneruskan GPU ke wadah komputasi rahasia (Confidential Container), yang menyediakan enkripsi data, memori, dan status eksekusi untuk perlindungan jika terjadi gangguan pada lingkungan host atau hypervisor.
- Subsistem untuk mengelola perangkat yang digunakan dalam wadah atau lingkungan sandbox telah ditambahkan ke Runtime-rs. Mendukung pekerjaan dengan vfio, blok, jaringan, dan jenis perangkat lainnya.
- Kompatibilitas dengan OCI Runtime 1.0.2 dan Kubernetes 1.23.1 disediakan.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Pengembangan telah ditransfer dari penggunaan sistem integrasi berkelanjutan Jenkins ke GitHub Actions.
Sumber: opennet.ru
