Sawise rong taun pembangunan, rilis proyek Kata Containers 3.0 wis diterbitake, ngembangake tumpukan kanggo ngatur eksekusi wadhah kanthi nggunakake isolasi adhedhasar mekanisme virtualisasi lengkap. Proyek iki digawe dening Intel lan Hyper kanthi nggabungake Clear Containers lan teknologi runV. Kode proyek ditulis ing Go lan Rust, lan disebarake miturut lisensi Apache 2.0. Pangembangan proyek kasebut diawasi dening klompok kerja sing digawe ing sangisore organisasi independen OpenStack Foundation, sing kalebu perusahaan kayata Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE lan ZTE .
Kata adhedhasar runtime sing nyedhiyakake kemampuan kanggo nggawe mesin virtual kompak sing mlaku ing hypervisor lengkap, tinimbang nggunakake wadhah tradisional sing nggunakake kernel umum. Linux lan diisolasi nggunakake namespace lan cgroup. Aplikasi mesin virtual ngidini tingkat keamanan sing luwih dhuwur sing nglindhungi saka serangan sing disebabake dening eksploitasi kerentanan kernel Linux.
Kata Containers fokus ing integrasi menyang infrastruktur isolasi wadhah sing wis ana kanthi kemampuan nggunakake mesin virtual sing padha kanggo nambah proteksi wadhah tradisional. Proyèk kasebut nyedhiyakake mekanisme kanggo njamin kompatibilitas mesin virtual sing entheng karo macem-macem infrastruktur isolasi wadah, platform orkestrasi wadah lan spesifikasi kayata OCI (Open Container Initiative), CRI (Container Runtime Interface) lan CNI (Container Networking Interface). Piranti kasedhiya kanggo integrasi karo Docker, Kubernetes, QEMU lan OpenStack.
Integrasi karo sistem manajemen kontainer ditindakake nggunakake lapisan manajemen kontainer sing komunikasi karo agen manajemen ing mesin virtual liwat antarmuka gRPC lan proxy khusus. Kernel sing dioptimalake khusus digunakake ing lingkungan virtual, sing diluncurake dening hypervisor. Linux, mung ngemot fitur minimal sing dibutuhake.
Hypervisor sing didhukung yaiku Dragonball Sandbox (edisi KVM sing dioptimalake kanggo wadhah) karo QEMU, uga Firecracker lan Cloud Hypervisor. Lingkungan sistem kalebu daemon init lan agen. Agen kasebut ngaktifake eksekusi gambar wadhah sing ditetepake pangguna ing format OCI kanggo Docker lan format CRI kanggo Kubernetes. Nalika digunakake bebarengan karo Docker, instansi sing kapisah digawe kanggo saben wadhah. mesin virtual, yaiku lingkungan sing mlaku ing ndhuwur hypervisor digunakake kanggo peluncuran kontainer sing disarangkan.
Kanggo nyuda konsumsi memori, mekanisme DAX digunakake (akses langsung menyang sistem file, ngliwati cache kaca tanpa nggunakake level piranti pamblokiran), lan kanggo deduplikat area memori sing padha, teknologi KSM (Kernel Samepage Merging) digunakake, sing ngidini sampeyan kanggo ngatur enggo bareng sumber daya sistem inang lan nyambung menyang sistem tamu beda nuduhake cithakan lingkungan sistem umum.
Ing versi anyar:
- Runtime alternatif (runtime-rs) diusulake, sing mbentuk ngisi wadhah, ditulis ing basa Rust (runtime sing diwenehake sadurunge ditulis ing basa Go). Runtime kompatibel karo OCI, CRI-O lan Containerd, supaya bisa digunakake karo Docker lan Kubernetes.
- A hypervisor dragonball anyar adhedhasar KVM lan teyeng-vmm wis ngajokaken.
- Dhukungan ditambahake kanggo nerusake akses menyang GPU nggunakake VFIO.
- Dhukungan tambahan kanggo cgroup v2.
- Dhukungan kanggo ngganti setelan tanpa ngganti file konfigurasi utama wis dileksanakake kanthi ngganti blok ing file kapisah sing ana ing direktori "config.d/".
- Komponen karat kalebu perpustakaan anyar kanggo nggarap path file kanthi aman.
- Komponen virtiofsd (ditulis ing C) wis diganti karo virtiofsd-rs (ditulis ing Rust).
- Dhukungan tambahan kanggo komponen QEMU sandboxing.
- QEMU nggunakake io_uring API kanggo Asynchronous I/O.
- Dhukungan kanggo ekstensi Intel TDX (Ekstensi Domain Terpercaya) wis dileksanakake kanggo QEMU lan Cloud-hypervisor.
- Komponen sing dianyari: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, kernel Linux 5.19.2.
Source: opennet.ru
