Eftir tveggja ára þróun hefur útgáfa Kata Containers 3.0 verkefnisins verið gefin út, þar sem verið er að þróa stafla til að skipuleggja framkvæmd gáma með því að nota einangrun sem byggist á fullkomnum sýndarvæðingaraðferðum. Verkefnið var búið til af Intel og Hyper með því að sameina Clear Containers og runV tækni. Verkefniskóðinn er skrifaður í Go og Rust og er dreift undir Apache 2.0 leyfinu. Umsjón með þróun verkefnisins er í höndum vinnuhóps sem stofnaður var á vegum óháðu samtakanna OpenStack Foundation, en í honum eru fyrirtæki eins og Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE og ZTE .
Kjarninn í Kata er keyrslutíminn, sem veitir möguleika á að búa til fyrirferðarlítil sýndarvélar sem keyra með fullum hypervisor, í stað þess að nota hefðbundna gáma sem nota sameiginlegan Linux kjarna og eru einangraðir með því að nota nafnrými og cgroups. Notkun sýndarvéla gerir þér kleift að ná hærra öryggisstigi sem verndar gegn árásum af völdum hagnýtingar á veikleikum í Linux kjarnanum.
Kata Containers einbeitir sér að samþættingu við núverandi gámaeinangrunarinnviði með getu til að nota svipaðar sýndarvélar til að auka vernd hefðbundinna gáma. Verkefnið býður upp á kerfi til að tryggja samhæfni léttra sýndarvéla við ýmsa gámaeinangrunarinnviði, gámaskipunarkerfi og forskriftir eins og OCI (Open Container Initiative), CRI (Container Runtime Interface) og CNI (Container Networking Interface). Verkfæri eru fáanleg fyrir samþættingu við Docker, Kubernetes, QEMU og OpenStack.
Samþætting við gámastjórnunarkerfi er náð með því að nota lag sem líkir eftir gámastjórnun, sem opnar umsjónarmanninn í sýndarvélinni í gegnum gRPC viðmótið og sérstakt umboð. Inni í sýndarumhverfinu, sem er hleypt af stokkunum af hypervisor, er sérstakur bjartsýni Linux kjarna notaður, sem inniheldur aðeins lágmarksfjölda nauðsynlegra getu.
Sem hypervisor styður það notkun Dragonball Sandbox (útgáfa af KVM fínstillt fyrir gáma) með QEMU verkfærakistunni, sem og Firecracker og Cloud Hypervisor. Kerfisumhverfið inniheldur frumsetningarpúkinn og umboðsmann. Umboðsmaðurinn veitir framkvæmd notendaskilgreindra gámamynda á OCI sniði fyrir Docker og CRI fyrir Kubernetes. Þegar það er notað í tengslum við Docker er sérstök sýndarvél búin til fyrir hvern gám, þ.e. Umhverfið sem keyrir ofan á hypervisor er notað fyrir hreiður ræsingu gáma.
Til að draga úr minnisnotkun er DAX vélbúnaðurinn notaður (beinn aðgangur að skráarkerfinu, framhjá skyndiminni síðu án þess að nota blokkunarbúnaðinn), og til að afrita eins minnissvæði er KSM (Kernel Samepage Merging) tækni notuð, sem gerir þér kleift að til að skipuleggja samnýtingu á hýsilkerfisauðlindum og tengja við mismunandi gestakerfi deila sameiginlegu kerfisumhverfissniðmáti.
Í nýju útgáfunni:
- Lagður er til annar keyrslutími (runtime-rs), sem myndar fyllingu gáma, skrifuð á Rust tungumálinu (áður keyrslutíminn var skrifaður á Go tungumálinu). Runtime er samhæft við OCI, CRI-O og Containerd, sem gerir það kleift að nota það með Docker og Kubernetes.
- Nýtt dragonball hypervisor byggt á KVM og ryð-vmm hefur verið lagt til.
- Bætt við stuðningi við að framsenda aðgang að GPU með VFIO.
- Bætti við stuðningi við cgroup v2.
- Stuðningur við að breyta stillingum án þess að breyta aðalstillingarskránni hefur verið útfærð með því að skipta um kubba í aðskildum skrám sem staðsettar eru í „config.d/“ möppunni.
- Ryðhlutar innihalda nýtt bókasafn til að vinna á öruggan hátt með skráarslóðir.
- Virtiofsd hluti (skrifað í C) hefur verið skipt út fyrir virtiofsd-rs (skrifað í Rust).
- Bætt við stuðningi við sandkassa QEMU íhluti.
- QEMU notar io_uring API fyrir ósamstillt I/O.
- Stuðningur við Intel TDX (Trusted Domain Extensions) viðbætur hefur verið innleiddur fyrir QEMU og Cloud-hypervisor.
- Íhlutir uppfærðir: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux kjarna 5.19.2.
Heimild: opennet.ru