Екі жылдық дамудан кейін толыққанды виртуалдандыру механизмдері негізінде оқшаулауды пайдалана отырып, контейнерлерді орындауды ұйымдастыруға арналған стек әзірлейтін Kata Containers 3.0 жобасының шығарылымы жарияланды. Жобаны Intel және Hyper компаниялары Clear Containers және runV технологияларын біріктіру арқылы жасаған. Жоба коды Go және Rust тілінде жазылған және Apache 2.0 лицензиясы бойынша таратылады. Жобаның дамуын OpenStack Foundation тәуелсіз ұйымының қамқорлығымен құрылған жұмыс тобы бақылайды, оның құрамына Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE және ZTE сияқты компаниялар кіреді. .
Kata жүрегінде жалпы Linux ядросын пайдаланатын және аттар кеңістігі мен топтары арқылы оқшауланған дәстүрлі контейнерлерді пайдаланудың орнына толық гипервизорды пайдаланып жұмыс істейтін ықшам виртуалды машиналарды жасау мүмкіндігін қамтамасыз ететін орындау уақыты болып табылады. Виртуалды машиналарды пайдалану Linux ядросындағы осалдықтарды пайдаланудан туындаған шабуылдардан қорғайтын қауіпсіздіктің жоғары деңгейіне қол жеткізуге мүмкіндік береді.
Kata Containers дәстүрлі контейнерлерді қорғауды жақсарту үшін ұқсас виртуалды машиналарды пайдалану мүмкіндігімен бар контейнерлік оқшаулау инфрақұрылымдарына біріктіруге бағытталған. Жоба жеңіл виртуалды машиналардың әртүрлі контейнерлерді оқшаулау инфрақұрылымдарымен, контейнерлерді басқару платформаларымен және OCI (Ашық контейнерлік бастама), CRI (Container Runtime Interface) және CNI (Container Networking Interface) сияқты техникалық сипаттамаларымен үйлесімділігін қамтамасыз ету механизмдерін ұсынады. Құралдар Docker, Kubernetes, QEMU және OpenStack интеграциясы үшін қол жетімді.
Контейнерлерді басқару жүйелерімен интеграцияға виртуалды машинадағы басқарушы агентке gRPC интерфейсі және арнайы прокси арқылы қатынасатын контейнерді басқаруды имитациялайтын деңгей арқылы қол жеткізіледі. Гипервизор іске қосатын виртуалды ортаның ішінде қажетті мүмкіндіктердің ең аз жиынтығын қамтитын арнайы оңтайландырылған Linux ядросы қолданылады.
Гипервизор ретінде ол QEMU құралдар жинағымен бірге Dragonball Sandbox (контейнерлер үшін оңтайландырылған KVM шығарылымы), сондай-ақ Firecracker және Cloud Hypervisor пайдалануды қолдайды. Жүйе ортасы инициализация демонын және агентті қамтиды. Агент Docker үшін OCI пішімінде және Kubernetes үшін CRI пайдаланушы анықтаған контейнер кескіндерін орындауды қамтамасыз етеді. Docker-пен бірге пайдаланған кезде әрбір контейнер үшін жеке виртуалды машина жасалады, яғни. Гипервизордың үстінде жұмыс істейтін орта контейнерлерді кірістірілген іске қосу үшін пайдаланылады.
Жадты тұтынуды азайту үшін DAX механизмі қолданылады (файлдық жүйеге тікелей қол жеткізу, блоктық құрылғы деңгейін пайдаланбай бет кэшін айналып өту) және бірдей жад аймақтарын қайталау үшін KSM (Kernel Samepage Merging) технологиясы пайдаланылады, ол сізге мүмкіндік береді. хост жүйесінің ресурстарын ортақ пайдалануды ұйымдастыру және әртүрлі қонақ жүйелеріне қосылу үшін ортақ жүйе ортасының үлгісін бөліседі.
Жаңа нұсқада:
- Rust тілінде жазылған контейнерлерді толтыруды құрайтын балама орындалу уақыты (орындалу уақыты-rs) ұсынылады (бұрын берілген орындалу уақыты Go тілінде жазылған). Орындау уақыты OCI, CRI-O және Containerd-пен үйлесімді, бұл оны Docker және Kubernetes-те пайдалануға мүмкіндік береді.
- KVM және rust-vmm негізіндегі жаңа айдаһар гипервизоры ұсынылды.
- VFIO көмегімен графикалық процессорға қайта жіберуге қолдау қосылды.
- cgroup v2 үшін қосылды.
- Негізгі конфигурация файлын өзгертпей параметрлерді өзгертуге қолдау «config.d/» каталогында орналасқан бөлек файлдардағы блоктарды ауыстыру арқылы жүзеге асырылды.
- Rust құрамдастары файл жолдарымен қауіпсіз жұмыс істеуге арналған жаңа кітапхананы қамтиды.
- virtiofsd компоненті (С тілінде жазылған) virtiofsd-rs (Rust тілінде жазылған) ауыстырылды.
- QEMU құрамдастарын құмсалғыштауға қолдау қосылды.
- QEMU асинхронды енгізу/шығару үшін io_uring API пайдаланады.
- QEMU және Cloud-hypervisor үшін Intel TDX (Сенімді домен кеңейтімдері) кеңейтімдерін қолдау жүзеге асырылды.
- Жаңартылған құрамдас бөліктер: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux ядросы 5.19.2.
Ақпарат көзі: opennet.ru