После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
Kata Containers lekwasịrị anya na ntinye n'ime akụrụngwa kewapụ akpa dị ugbu a nwere ikike iji igwe mebere ụdị ahụ iji kwalite nchekwa nke arịa ọdịnala. Ọrụ a na-enye usoro iji hụ na ndakọrịta nke igwe mebere dị fechaa nwere akụrụngwa iche iche akpa dị iche iche, nyiwe akụrụngwa akpa na nkọwapụta dịka OCI (Open Container Initiative), CRI (Container Runtime Interface) na CNI (Container Networking Interface). Ngwa dị maka njikọta na Docker, Kubernetes, QEMU na OpenStack.
A na-enweta njikọta na sistemu njikwa akpa site na iji akwa oyi akwa na-egosipụta njikwa akpa, nke na-enweta onye na-ahụ maka njikwa na igwe mebere site na interface gRPC yana proxy pụrụ iche. N'ime mebere gburugburu ebe obibi, nke hypervisor na-ewepụta, a na-eji kernel Linux emebere nke ọma, nwere naanị obere ikike dị mkpa.
Dị ka hypervisor, ọ na-akwado iji Dragonball Sandbox (mbipụta nke KVM kachasị maka arịa) yana ngwa ngwa QEMU, yana Firecracker na Cloud Hypervisor. Gburugburu sistemụ gụnyere daemon mmalite na onye nnọchi anya. Onye nnọchi anya ahụ na-enye ogbugbu onyonyo akpa kọwapụtara onye ọrụ n'ụdị OCI maka Docker na CRI maka Kubernetes. Mgbe ejikọtara ya na Docker, a na-emepụta igwe mebere dị iche maka akpa ọ bụla, ya bụ. A na-eji gburugburu ebe a na-agba ọsọ n'elu hypervisor eme ihe maka mmalite nke arịa.
Iji belata oriri ebe nchekwa, a na-eji usoro DAX (nweta ozugbo na sistemụ faịlụ, na-agafe cache ibe na-ejighi ọkwa ngwaọrụ ngọngọ), yana wepụta mpaghara ebe nchekwa yiri ya, a na-eji teknụzụ KSM (Kernel Samepage Merging), nke na-enye gị ohere. iji hazie nkesa nke nnabata usoro akụrụngwa na jikọọ dị iche iche ọbịa usoro na-ekekọrịta a nkịtị usoro gburugburu template.
Na ụdị ọhụrụ:
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
isi: opennet.ru