После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
Kata Containers គឺផ្តោតលើការរួមបញ្ចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធឯកោកុងតឺន័រដែលមានស្រាប់ ជាមួយនឹងសមត្ថភាពប្រើប្រាស់ម៉ាស៊ីននិម្មិតស្រដៀងគ្នា ដើម្បីបង្កើនការការពារធុងប្រពៃណី។ គម្រោងនេះផ្តល់នូវយន្តការដើម្បីធានាភាពឆបគ្នានៃម៉ាស៊ីននិម្មិតទម្ងន់ស្រាលជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធដាច់ដោយឡែកកុងតឺន័រ វេទិការកុងតឺន័រ និងលក្ខណៈជាក់លាក់ដូចជា OCI (Open Container Initiative), CRI (Container Runtime Interface) និង CNI (Container Networking Interface)។ ឧបករណ៍មានសម្រាប់ការរួមបញ្ចូលជាមួយ Docker, Kubernetes, QEMU និង OpenStack ។
ការរួមបញ្ចូលជាមួយប្រព័ន្ធគ្រប់គ្រងកុងតឺន័រត្រូវបានសម្រេចដោយប្រើស្រទាប់ដែលក្លែងធ្វើការគ្រប់គ្រងកុងតឺន័រ ដែលចូលប្រើភ្នាក់ងារគ្រប់គ្រងនៅក្នុងម៉ាស៊ីននិម្មិតតាមរយៈចំណុចប្រទាក់ gRPC និងប្រូកស៊ីពិសេស។ នៅខាងក្នុងបរិស្ថាននិម្មិត ដែលត្រូវបានបើកដំណើរការដោយអ្នកត្រួតពិនិត្យខ្ពស់ ខឺណែលលីនុចដែលត្រូវបានកែលម្អយ៉ាងពិសេសត្រូវបានប្រើ ដែលមានតែសំណុំអប្បបរមានៃសមត្ថភាពចាំបាច់ប៉ុណ្ណោះ។
ក្នុងនាមជាអ្នកត្រួតពិនិត្យខ្ពស់ វាគាំទ្រការប្រើប្រាស់ Dragonball Sandbox (ការបោះពុម្ព KVM ដែលត្រូវបានធ្វើឱ្យប្រសើរឡើងសម្រាប់កុងតឺន័រ) ជាមួយនឹងកញ្ចប់ឧបករណ៍ QEMU ក៏ដូចជា Firecracker និង Cloud Hypervisor ។ បរិស្ថានប្រព័ន្ធរួមមានដេមិនចាប់ផ្តើម និងភ្នាក់ងារ។ ភ្នាក់ងារផ្តល់នូវការប្រតិបត្តិនៃរូបភាពកុងតឺន័រដែលកំណត់ដោយអ្នកប្រើប្រាស់ក្នុងទម្រង់ OCI សម្រាប់ Docker និង CRI សម្រាប់ Kubernetes ។ នៅពេលប្រើជាមួយ Docker ម៉ាស៊ីននិម្មិតដាច់ដោយឡែកត្រូវបានបង្កើតឡើងសម្រាប់កុងតឺន័រនីមួយៗ ពោលគឺឧ។ បរិយាកាសដែលកំពុងដំណើរការនៅលើកំពូលនៃ hypervisor ត្រូវបានប្រើសម្រាប់ការដាក់ដំណើរការធុងផ្ទុក។
ដើម្បីកាត់បន្ថយការប្រើប្រាស់អង្គចងចាំ យន្តការ DAX ត្រូវបានប្រើ (ការចូលដោយផ្ទាល់ទៅកាន់ប្រព័ន្ធឯកសារ ដោយឆ្លងកាត់ឃ្លាំងសម្ងាត់ទំព័រដោយមិនប្រើកម្រិតឧបករណ៍ប្លុក) និងដើម្បីដកតំបន់សតិដូចគ្នាបេះបិទ បច្ចេកវិទ្យា KSM (Kernel Samepage Merging) ត្រូវបានប្រើ ដែលអនុញ្ញាតឱ្យអ្នក ដើម្បីរៀបចំការចែករំលែកធនធានប្រព័ន្ធម៉ាស៊ីន និងភ្ជាប់ទៅប្រព័ន្ធភ្ញៀវផ្សេងៗគ្នាចែករំលែកគំរូបរិស្ថានប្រព័ន្ធទូទៅមួយ។
នៅក្នុងកំណែថ្មី៖
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
ប្រភព: opennet.ru