ទិដ្ឋភាពសង្ខេប និងការដំឡើង Kata Containers

អត្ថបទនេះនឹងពិភាក្សាអំពីរបៀបដែលវាដំណើរការ កុងតឺន័រ Kataហើយវាក៏នឹងមានផ្នែកជាក់ស្តែងជាមួយនឹងការតភ្ជាប់របស់ពួកគេទៅ Docker ផងដែរ។

អំពីបញ្ហាទូទៅជាមួយ Docker និងដំណោះស្រាយរបស់ពួកគេរួចហើយ ត្រូវបានសរសេរថ្ងៃនេះខ្ញុំនឹងរៀបរាប់សង្ខេបអំពីការអនុវត្តពី Kata Containers ។ Kata Containers គឺជារយៈពេលដំណើរការកុងតឺន័រដែលមានសុវត្ថិភាពដោយផ្អែកលើម៉ាស៊ីននិម្មិតទម្ងន់ស្រាល។ ការធ្វើការជាមួយពួកវាគឺដូចគ្នានឹងកុងតឺន័រផ្សេងទៀតដែរ ប៉ុន្តែលើសពីនេះទៀត មានភាពឯកោដែលអាចទុកចិត្តបានជាងមុនដោយប្រើបច្ចេកវិទ្យានិម្មិតផ្នែករឹង។ គម្រោងនេះបានចាប់ផ្តើមនៅឆ្នាំ 2017 នៅពេលដែលសហគមន៍ដែលមានឈ្មោះដូចគ្នាបានបញ្ចប់ការបញ្ចូលគ្នានៃគំនិតដ៏ល្អបំផុតពី Intel Clear Containers និង Hyper.sh RunV បន្ទាប់មកការងារបានបន្តលើការគាំទ្រសម្រាប់ស្ថាបត្យកម្មផ្សេងៗរួមទាំង AMD64, ARM, IBM p- និង z - ស៊េរី។ លើសពីនេះទៀត ការងារត្រូវបានគាំទ្រនៅក្នុង hypervisors QEMU, Firecracker ហើយមានការរួមបញ្ចូលជាមួយ containerd ផងដែរ។ លេខកូដមាននៅ GitHub ក្រោមអាជ្ញាប័ណ្ណ MIT ។

លក្ខណៈ​ពិសេស

• ធ្វើការជាមួយស្នូលដាច់ដោយឡែក ដូច្នេះការផ្តល់នូវបណ្តាញ អង្គចងចាំ និងភាពឯកោ I/O វាអាចបង្ខំឱ្យប្រើភាពឯកោផ្នែករឹងដោយផ្អែកលើផ្នែកបន្ថែមនិម្មិត
• ការគាំទ្រសម្រាប់ស្តង់ដារឧស្សាហកម្មរួមទាំង OCI (ទម្រង់កុងតឺន័រ) Kubernetes CRI
• ដំណើរការជាប់លាប់នៃកុងតឺន័រលីនុចធម្មតា បង្កើនភាពឯកោដោយមិនមានដំណើរការលើសពី VMs ធម្មតា។
• លុបបំបាត់តម្រូវការក្នុងការដំណើរការកុងតឺន័រនៅក្នុងម៉ាស៊ីននិម្មិតពេញលេញ ចំណុចប្រទាក់ទូទៅធ្វើឱ្យការរួមបញ្ចូល និងដំណើរការងាយស្រួល

ការកំណត់

មាន មួយ​បាច់ ជម្រើសនៃការដំឡើង ខ្ញុំនឹងពិចារណាដំឡើងពីឃ្លាំង ដោយផ្អែកលើប្រព័ន្ធប្រតិបត្តិការ Centos 7។
សំខាន់៖ ការងារ Kata Containers ត្រូវបានគាំទ្រតែលើផ្នែករឹង ការបញ្ជូនបន្តនិម្មិតមិនដំណើរការជានិច្ចទេ។ ត្រូវការការគាំទ្រ sse4.1 ពី processor ។

ការដំឡើង Kata Containers គឺសាមញ្ញណាស់៖

ដំឡើងឧបករណ៍ប្រើប្រាស់សម្រាប់ធ្វើការជាមួយឃ្លាំង៖

# yum -y install yum-utils

បិទ Selinux (វាកាន់តែត្រឹមត្រូវក្នុងការកំណត់ ប៉ុន្តែសម្រាប់ភាពសាមញ្ញ ខ្ញុំបិទវា)៖

# setenforce 0
# sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

យើងភ្ជាប់ឃ្លាំងនិងអនុវត្តការដំឡើង

# source /etc/os-release
# ARCH=$(arch)
# BRANCH="${BRANCH:-stable-1.10}"
# yum-config-manager --add-repo "http://download.opensuse.org/repositories/home:/katacontainers:/releases:/${ARCH}:/${BRANCH}/CentOS_${VERSION_ID}/home:katacontainers:releases:${ARCH}:${BRANCH}.repo"
# yum -y install kata-runtime kata-proxy kata-shim

ការលៃតម្រូវ

ខ្ញុំនឹងរៀបចំដើម្បីធ្វើការជាមួយ docker ការដំឡើងរបស់វាគឺធម្មតា ខ្ញុំនឹងមិនពណ៌នាវាឱ្យលម្អិតបន្ថែមទៀតទេ៖

# rpm -qa | grep docker
docker-ce-cli-19.03.6-3.el7.x86_64
docker-ce-19.03.6-3.el7.x86_64
# docker -v
Docker version 19.03.6, build 369ce74a3c

យើងធ្វើការផ្លាស់ប្តូរទៅ daemon.json៖

# cat <<EOF > /etc/docker/daemon.json
{
  "default-runtime": "kata-runtime",
  "runtimes": {
    "kata-runtime": {
      "path": "/usr/bin/kata-runtime"
    }
  }
}
EOF

ចាប់ផ្ដើម docker ឡើងវិញ៖

# service docker restart

ការត្រួតពិនិត្យមុខងារ

ប្រសិនបើអ្នកចាប់ផ្តើមកុងតឺន័រមុននឹងចាប់ផ្តើម docker ឡើងវិញ អ្នកអាចឃើញថា uname នឹងផ្តល់កំណែរបស់ខឺណែលដែលកំពុងដំណើរការលើប្រព័ន្ធមេ៖

# docker run busybox uname -a
Linux 19efd7188d06 3.10.0-1062.12.1.el7.x86_64 #1 SMP Tue Feb 4 23:02:59 UTC 2020 x86_64 GNU/Linux

បន្ទាប់ពីការចាប់ផ្តើមឡើងវិញ កំណែខឺណែលមើលទៅដូចនេះ៖

# docker run busybox uname -a
Linux 9dd1f30fe9d4 4.19.86-5.container #1 SMP Sat Feb 22 01:53:14 UTC 2020 x86_64 GNU/Linux

ក្រុមច្រើនទៀត!

# time docker run busybox mount
kataShared on / type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev type tmpfs (rw,nosuid,size=65536k,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=666)
sysfs on /sys type sysfs (ro,nosuid,nodev,noexec,relatime)
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,relatime,mode=755)
cgroup on /sys/fs/cgroup/systemd type cgroup (ro,nosuid,nodev,noexec,relatime,xattr,name=systemd)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (ro,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup on /sys/fs/cgroup/blkio type cgroup (ro,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/memory type cgroup (ro,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/devices type cgroup (ro,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/perf_event type cgroup (ro,nosuid,nodev,noexec,relatime,perf_event)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (ro,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup on /sys/fs/cgroup/freezer type cgroup (ro,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/pids type cgroup (ro,nosuid,nodev,noexec,relatime,pids)
cgroup on /sys/fs/cgroup/cpuset type cgroup (ro,nosuid,nodev,noexec,relatime,cpuset)
mqueue on /dev/mqueue type mqueue (rw,nosuid,nodev,noexec,relatime)
shm on /dev/shm type tmpfs (rw,nosuid,nodev,noexec,relatime,size=65536k)
kataShared on /etc/resolv.conf type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
kataShared on /etc/hostname type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
kataShared on /etc/hosts type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
proc on /proc/bus type proc (ro,relatime)
proc on /proc/fs type proc (ro,relatime)
proc on /proc/irq type proc (ro,relatime)
proc on /proc/sys type proc (ro,relatime)
tmpfs on /proc/acpi type tmpfs (ro,relatime)
tmpfs on /proc/timer_list type tmpfs (rw,nosuid,size=65536k,mode=755)
tmpfs on /sys/firmware type tmpfs (ro,relatime)

real    0m2.381s
user    0m0.066s
sys 0m0.039s

# time docker run busybox free -m
              total        used        free      shared  buff/cache   available
Mem:           1993          30        1962           0           1        1946
Swap:             0           0           0

real    0m3.297s
user    0m0.086s
sys 0m0.050s

ការធ្វើតេស្តផ្ទុកលឿន

ដើម្បីវាយតម្លៃការខាតបង់ពីនិម្មិត - ខ្ញុំដំណើរការ sysbench ជាឧទាហរណ៍ចម្បង យកជម្រើសនេះ។.

កំពុងដំណើរការ sysbench ដោយប្រើ Docker+containerd

ការធ្វើតេស្តដំណើរការ

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Prime numbers limit: 20000

Initializing worker threads...

Threads started!

General statistics:
    total time:                          36.7335s
    total number of events:              10000
    total time taken by event execution: 36.7173s
    response time:
         min:                                  3.43ms
         avg:                                  3.67ms
         max:                                  8.34ms
         approx.  95 percentile:               3.79ms

Threads fairness:
    events (avg/stddev):           10000.0000/0.00
    execution time (avg/stddev):   36.7173/0.00

តេស្ត RAM

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Initializing worker threads...

Threads started!

Operations performed: 104857600 (2172673.64 ops/sec)

102400.00 MiB transferred (2121.75 MiB/sec)

General statistics:
    total time:                          48.2620s
    total number of events:              104857600
    total time taken by event execution: 17.4161s
    response time:
         min:                                  0.00ms
         avg:                                  0.00ms
         max:                                  0.17ms
         approx.  95 percentile:               0.00ms

Threads fairness:
    events (avg/stddev):           104857600.0000/0.00
    execution time (avg/stddev):   17.4161/0.00

កំពុងដំណើរការ sysbench ដោយប្រើ Docker + Kata Containers

ការធ្វើតេស្តដំណើរការ

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Prime numbers limit: 20000

Initializing worker threads...

Threads started!

General statistics:
    total time:                          36.5747s
    total number of events:              10000
    total time taken by event execution: 36.5594s
    response time:
         min:                                  3.43ms
         avg:                                  3.66ms
         max:                                  4.93ms
         approx.  95 percentile:               3.77ms

Threads fairness:
    events (avg/stddev):           10000.0000/0.00
    execution time (avg/stddev):   36.5594/0.00

តេស្ត RAM

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Initializing worker threads...

Threads started!

Operations performed: 104857600 (2450366.94 ops/sec)

102400.00 MiB transferred (2392.94 MiB/sec)

General statistics:
    total time:                          42.7926s
    total number of events:              104857600
    total time taken by event execution: 16.1512s
    response time:
         min:                                  0.00ms
         avg:                                  0.00ms
         max:                                  0.43ms
         approx.  95 percentile:               0.00ms

Threads fairness:
    events (avg/stddev):           104857600.0000/0.00
    execution time (avg/stddev):   16.1512/0.00

ជាគោលការណ៍ ស្ថានភាពគឺច្បាស់រួចហើយ ប៉ុន្តែវាល្អប្រសើរជាងក្នុងការដំណើរការការធ្វើតេស្តជាច្រើនដង ដោយដកចេញនូវលទ្ធផល និងលទ្ធផលជាមធ្យម ដូច្នេះខ្ញុំមិនទាន់ធ្វើតេស្ដបន្ថែមទៀតនៅឡើយទេ។

ការរកឃើញ

ទោះបីជាការពិតដែលថាកុងតឺន័របែបនេះចំណាយពេលពីប្រាំទៅដប់ដងយូរជាងដើម្បីចាប់ផ្តើម (ពេលវេលាដំណើរការធម្មតាសម្រាប់ពាក្យបញ្ជាស្រដៀងគ្នានៅពេលប្រើកុងតឺន័រគឺតិចជាងមួយភាគបីនៃវិនាទី) ពួកវានៅតែដំណើរការយ៉ាងលឿនប្រសិនបើយើងចំណាយពេលចាប់ផ្តើមដាច់ខាត (នៅទីនោះ គឺជាឧទាហរណ៍ខាងលើ ពាក្យបញ្ជាដែលបានអនុវត្តក្នុងរយៈពេលជាមធ្យមបីវិនាទី)។ ជាការប្រសើរណាស់, លទ្ធផលនៃការធ្វើតេស្តរហ័សនៃស៊ីភីយូនិង RAM បង្ហាញលទ្ធផលស្ទើរតែដូចគ្នា, ដែលមិនអាចសប្បាយចិត្ត, ជាពិសេសនៅក្នុងពន្លឺនៃការពិតដែលថាភាពឯកោត្រូវបានផ្តល់ឱ្យដោយប្រើយន្តការដំណើរការល្អដូចជា kvm ។

សេចក្តីជូនដំណឹង

អត្ថបទនេះគឺជាការពិនិត្យឡើងវិញ ប៉ុន្តែវាផ្តល់ឱ្យអ្នកនូវឱកាសដើម្បីមានអារម្មណ៍ថាមានពេលវេលាដំណើរការជំនួស។ ផ្នែកជាច្រើននៃកម្មវិធីមិនត្រូវបានគ្របដណ្តប់ទេ ឧទាហរណ៍ គេហទំព័រពិពណ៌នាអំពីសមត្ថភាពក្នុងការដំណើរការ Kubernetes នៅលើកំពូលនៃ Kata Containers ។ លើសពីនេះទៀត អ្នកក៏អាចដំណើរការការធ្វើតេស្តជាបន្តបន្ទាប់ដែលផ្តោតលើការស្វែងរកបញ្ហាសុវត្ថិភាព ការកំណត់ការរឹតបន្តឹង និងអ្វីដែលគួរឱ្យចាប់អារម្មណ៍ផ្សេងទៀត។

ខ្ញុំសុំឱ្យអ្នកទាំងអស់ដែលបានអាន និងបន្តនៅទីនេះ ដើម្បីចូលរួមក្នុងការស្ទង់មតិ ដែលការបោះពុម្ពផ្សាយនាពេលអនាគតលើប្រធានបទនេះនឹងពឹងផ្អែក។

មានតែអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះប៉ុណ្ណោះដែលអាចចូលរួមក្នុងការស្ទង់មតិនេះ។ ចូលសូម។

តើខ្ញុំគួរបន្តបោះពុម្ពអត្ថបទអំពី Kata Containers ដែរឬទេ?

• 80,0%បាទ សរសេរបន្ថែម!28

• 20,0%ទេ កុំ… ៧

អ្នកប្រើប្រាស់ 35 នាក់បានបោះឆ្នោត។ អ្នកប្រើប្រាស់ ១៤ នាក់ត្រូវបានហាមឃាត់។

ប្រភព: www.habr.com