🥇Kata Containers 3.2 ចេញផ្សាយជាមួយ Virtualization-Based Isolation

ការចេញផ្សាយគម្រោង Kata Containers 3.2 ត្រូវបានបោះពុម្ពផ្សាយ ដែលបង្កើតជង់សម្រាប់រៀបចំការប្រតិបត្តិកុងតឺន័រដោយប្រើភាពឯកោដោយផ្អែកលើយន្តការនិម្មិតពេញលេញ។ គម្រោងនេះត្រូវបានបង្កើតឡើងដោយ Intel និង Hyper ដោយរួមបញ្ចូលគ្នានូវបច្ចេកវិទ្យា Clear Containers និង runV ។ កូដគម្រោងត្រូវបានសរសេរជា Go and Rust ហើយត្រូវបានចែកចាយក្រោមអាជ្ញាប័ណ្ណ Apache 2.0។ ការអភិវឌ្ឍន៍គម្រោងនេះត្រូវបានត្រួតពិនិត្យដោយក្រុមការងារដែលបង្កើតឡើងក្រោមការឧបត្ថម្ភរបស់អង្គការឯករាជ្យ OpenStack Foundation ដែលរួមមានក្រុមហ៊ុនដូចជា Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE និង ZTE .

Kata គឺផ្អែកលើ runtime ដែលអនុញ្ញាតឱ្យបង្កើតម៉ាស៊ីននិម្មិតខ្នាតតូចដែលដំណើរការលើ hypervisor ពេញលេញ ជំនួសឱ្យការប្រើប្រាស់កុងតឺន័រប្រពៃណីដែលប្រើ kernel ទូទៅ។ Linux និងញែកដោយប្រើឈ្មោះលំហ និងក្រុម c។ ការអនុវត្ត ម៉ាស៊ីននិម្មិត អនុញ្ញាតឱ្យមានកម្រិតខ្ពស់នៃសុវត្ថិភាពដែលការពារប្រឆាំងនឹងការវាយប្រហារដែលបណ្តាលមកពីការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះរបស់ខឺណែល Linux.

Kata Containers គឺផ្តោតលើការរួមបញ្ចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធឯកោកុងតឺន័រដែលមានស្រាប់ ជាមួយនឹងសមត្ថភាពប្រើប្រាស់ម៉ាស៊ីននិម្មិតស្រដៀងគ្នា ដើម្បីបង្កើនការការពារធុងប្រពៃណី។ គម្រោងនេះផ្តល់នូវយន្តការដើម្បីធានាភាពឆបគ្នានៃម៉ាស៊ីននិម្មិតទម្ងន់ស្រាលជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធដាច់ដោយឡែកកុងតឺន័រ វេទិការកុងតឺន័រ និងលក្ខណៈជាក់លាក់ដូចជា OCI (Open Container Initiative), CRI (Container Runtime Interface) និង CNI (Container Networking Interface)។ ឧបករណ៍មានសម្រាប់ការរួមបញ្ចូលជាមួយ Docker, Kubernetes, QEMU និង OpenStack ។

ការរួមបញ្ចូលជាមួយប្រព័ន្ធគ្រប់គ្រងកុងតឺន័រត្រូវបានសម្រេចដោយប្រើស្រទាប់គ្រប់គ្រងកុងតឺន័រដែលទំនាក់ទំនងជាមួយភ្នាក់ងារគ្រប់គ្រងនៅក្នុងម៉ាស៊ីននិម្មិតតាមរយៈចំណុចប្រទាក់ gRPC និងប្រូកស៊ីដែលឧទ្ទិស។ ខឺណែលដែលបានធ្វើឱ្យប្រសើរឡើងជាពិសេសត្រូវបានប្រើនៅក្នុងបរិស្ថាននិម្មិត ដែលត្រូវបានបើកដំណើរការដោយ hypervisor។ Linuxដែលមានតែសំណុំមុខងារចាំបាច់អប្បបរមាប៉ុណ្ណោះ។

Hypervisor ដែលគាំទ្រគឺ Dragonball Sandbox (កំណែ KVM ដែលបានធ្វើឱ្យប្រសើរឡើងសម្រាប់កុងតឺន័រ) ជាមួយ QEMU ក៏ដូចជា Firecracker និង Cloud Hypervisor។ បរិស្ថានប្រព័ន្ធរួមមានដេមិន init និង agent។ agent អនុញ្ញាតឱ្យមានការប្រតិបត្តិរូបភាពកុងតឺន័រដែលកំណត់ដោយអ្នកប្រើប្រាស់ក្នុងទម្រង់ OCI សម្រាប់ Docker និងទម្រង់ CRI សម្រាប់ Kubernetes។ នៅពេលប្រើរួមគ្នាជាមួយ Docker instance ដាច់ដោយឡែកមួយត្រូវបានបង្កើតឡើងសម្រាប់កុងតឺន័រនីមួយៗ។ ម៉ាស៊ីននិម្មិតពោលគឺបរិស្ថានដែលដំណើរការនៅខាងលើ hypervisor ត្រូវបានប្រើសម្រាប់ការបើកដំណើរការកុងតឺន័រដែលដាក់ជាស្រទាប់ៗ។

ការចេញផ្សាយ Kata Containers 3.2 ជាមួយនឹងភាពឯកោផ្អែកលើនិម្មិត

ដើម្បីកាត់បន្ថយការប្រើប្រាស់អង្គចងចាំ យន្តការ DAX ត្រូវបានប្រើ (ការចូលដោយផ្ទាល់ទៅកាន់ប្រព័ន្ធឯកសារ ដោយឆ្លងកាត់ឃ្លាំងសម្ងាត់ទំព័រដោយមិនប្រើកម្រិតឧបករណ៍ប្លុក) និងដើម្បីដកតំបន់សតិដូចគ្នាបេះបិទ បច្ចេកវិទ្យា KSM (Kernel Samepage Merging) ត្រូវបានប្រើ ដែលអនុញ្ញាតឱ្យអ្នក ដើម្បីរៀបចំការចែករំលែកធនធានប្រព័ន្ធម៉ាស៊ីន និងភ្ជាប់ទៅប្រព័ន្ធភ្ញៀវផ្សេងៗគ្នាចែករំលែកគំរូបរិស្ថានប្រព័ន្ធទូទៅមួយ។

នៅក្នុងកំណែថ្មី៖

បន្ថែមពីលើការគាំទ្រសម្រាប់ស្ថាបត្យកម្ម AMD64 (x86_64) ការចេញផ្សាយត្រូវបានផ្តល់ជូនសម្រាប់ស្ថាបត្យកម្ម ARM64 (Aarch64) និង s390 (IBM Z) ។ ការគាំទ្រសម្រាប់ស្ថាបត្យកម្ម ppc64le (IBM Power) កំពុងស្ថិតក្នុងការអភិវឌ្ឍន៍។
ដើម្បីរៀបចំការចូលប្រើរូបភាពកុងតឺន័រ ប្រព័ន្ធឯកសារ Nydus 2.2.0 ត្រូវបានប្រើ ដែលប្រើអាសយដ្ឋានខ្លឹមសារសម្រាប់ការសហការប្រកបដោយប្រសិទ្ធភាពជាមួយរូបភាពស្តង់ដារ។ Nydus គាំទ្រការផ្ទុករូបភាពក្នុងពេលហោះហើរ (ការទាញយកតែនៅពេលដែលត្រូវការ) ផ្ដល់ការដកទិន្នន័យស្ទួន និងអាចប្រើកម្មវិធីខាងក្រោយផ្សេងគ្នាសម្រាប់ការផ្ទុកជាក់ស្តែង។ ភាពឆបគ្នារបស់ POSIX ត្រូវបានផ្តល់ជូន (ស្រដៀងទៅនឹង Composefs ការអនុវត្ត Nydus រួមបញ្ចូលគ្នានូវសមត្ថភាពរបស់ OverlayFS ជាមួយនឹងម៉ូឌុល EROFS ឬ FUSE) ។
កម្មវិធីគ្រប់គ្រងម៉ាស៊ីននិម្មិត Dragonball ត្រូវបានបញ្ចូលទៅក្នុងរចនាសម្ព័ន្ធសំខាន់នៃគម្រោង Kata Containers ដែលឥឡូវនេះនឹងត្រូវបានបង្កើតឡើងនៅក្នុងឃ្លាំងទូទៅមួយ។
មុខងារបំបាត់កំហុសត្រូវបានបន្ថែមទៅឧបករណ៍ប្រើប្រាស់ kata-ctl សម្រាប់ភ្ជាប់ទៅម៉ាស៊ីននិម្មិតពីបរិស្ថានម៉ាស៊ីន។
សមត្ថភាពគ្រប់គ្រង GPU ត្រូវបានពង្រីក ហើយការគាំទ្រត្រូវបានបន្ថែមសម្រាប់ការបញ្ជូន GPUs ទៅកាន់កុងតឺន័រសម្រាប់ការគណនាសម្ងាត់ (Confidential Container) ដែលផ្តល់នូវការអ៊ិនគ្រីបទិន្នន័យ អង្គចងចាំ និងស្ថានភាពប្រតិបត្តិសម្រាប់ការការពារក្នុងករណីមានការសម្របសម្រួលនៃបរិយាកាសម៉ាស៊ីន ឬ hypervisor ។
ប្រព័ន្ធរងសម្រាប់គ្រប់គ្រងឧបករណ៍ដែលប្រើក្នុងធុង ឬបរិស្ថានប្រអប់ខ្សាច់ត្រូវបានបន្ថែមទៅ Runtime-rs ។ គាំទ្រការងារជាមួយ vfio, ប្លុក, បណ្តាញ និងប្រភេទឧបករណ៍ផ្សេងទៀត។
ភាពឆបគ្នាជាមួយ OCI Runtime 1.0.2 និង Kubernetes 1.23.1 ត្រូវបានផ្តល់ជូន។
ជាស្នូលមួយ Linux វាត្រូវបានណែនាំឱ្យប្រើការចេញផ្សាយ 6.1.38 ជាមួយនឹងបំណះ។
ការអភិវឌ្ឍន៍ត្រូវបានផ្ទេរពីការប្រើប្រាស់ប្រព័ន្ធរួមបញ្ចូលជាបន្តបន្ទាប់របស់ Jenkins ទៅ GitHub Actions ។

ប្រភព: opennet.ru

ការចេញផ្សាយ Kata Containers 3.2 ជាមួយនឹងភាពឯកោផ្អែកលើនិម្មិត