🥇Kata Containers 3.2 ចេញផ្សាយជាមួយ Virtualization Based Isolation

ការចេញផ្សាយគម្រោង Kata Containers 3.2 ត្រូវបានបោះពុម្ពផ្សាយ ដែលបង្កើតជង់សម្រាប់រៀបចំការប្រតិបត្តិកុងតឺន័រដោយប្រើភាពឯកោដោយផ្អែកលើយន្តការនិម្មិតពេញលេញ។ គម្រោងនេះត្រូវបានបង្កើតឡើងដោយ Intel និង Hyper ដោយរួមបញ្ចូលគ្នានូវបច្ចេកវិទ្យា Clear Containers និង runV ។ កូដគម្រោងត្រូវបានសរសេរជា Go and Rust ហើយត្រូវបានចែកចាយក្រោមអាជ្ញាប័ណ្ណ Apache 2.0។ ការអភិវឌ្ឍន៍គម្រោងនេះត្រូវបានត្រួតពិនិត្យដោយក្រុមការងារដែលបង្កើតឡើងក្រោមការឧបត្ថម្ភរបស់អង្គការឯករាជ្យ OpenStack Foundation ដែលរួមមានក្រុមហ៊ុនដូចជា Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE និង ZTE .

Kata គឺផ្អែកលើពេលដំណើរការ ដែលអនុញ្ញាតឱ្យអ្នកបង្កើតម៉ាស៊ីននិម្មិតតូចដែលដំណើរការដោយប្រើ hypervisor ពេញលេញ ជំនួសឱ្យការប្រើកុងតឺន័រប្រពៃណីដែលប្រើខឺណែលលីនុចទូទៅ ហើយត្រូវបានញែកដាច់ដោយឡែកដោយប្រើ namespaces និង cgroups។ ការប្រើប្រាស់ម៉ាស៊ីននិម្មិតអនុញ្ញាតឱ្យអ្នកសម្រេចបាននូវកម្រិតខ្ពស់នៃសុវត្ថិភាពដែលការពារប្រឆាំងនឹងការវាយប្រហារដែលបណ្តាលមកពីការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងខឺណែលលីនុច។

Kata Containers គឺផ្តោតលើការរួមបញ្ចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធឯកោកុងតឺន័រដែលមានស្រាប់ ជាមួយនឹងសមត្ថភាពប្រើប្រាស់ម៉ាស៊ីននិម្មិតស្រដៀងគ្នា ដើម្បីបង្កើនការការពារធុងប្រពៃណី។ គម្រោងនេះផ្តល់នូវយន្តការដើម្បីធានាភាពឆបគ្នានៃម៉ាស៊ីននិម្មិតទម្ងន់ស្រាលជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធដាច់ដោយឡែកកុងតឺន័រ វេទិការកុងតឺន័រ និងលក្ខណៈជាក់លាក់ដូចជា OCI (Open Container Initiative), CRI (Container Runtime Interface) និង CNI (Container Networking Interface)។ ឧបករណ៍មានសម្រាប់ការរួមបញ្ចូលជាមួយ Docker, Kubernetes, QEMU និង OpenStack ។

ការរួមបញ្ចូលជាមួយប្រព័ន្ធគ្រប់គ្រងកុងតឺន័រត្រូវបានសម្រេចដោយប្រើស្រទាប់ដែលក្លែងធ្វើការគ្រប់គ្រងកុងតឺន័រ ដែលចូលប្រើភ្នាក់ងារគ្រប់គ្រងនៅក្នុងម៉ាស៊ីននិម្មិតតាមរយៈចំណុចប្រទាក់ gRPC និងប្រូកស៊ីពិសេស។ នៅខាងក្នុងបរិស្ថាននិម្មិត ដែលត្រូវបានបើកដំណើរការដោយអ្នកត្រួតពិនិត្យខ្ពស់ ខឺណែលលីនុចដែលត្រូវបានកែលម្អយ៉ាងពិសេសត្រូវបានប្រើ ដែលមានតែសំណុំអប្បបរមានៃសមត្ថភាពចាំបាច់ប៉ុណ្ណោះ។

ក្នុងនាមជាអ្នកត្រួតពិនិត្យខ្ពស់ វាគាំទ្រការប្រើប្រាស់ Dragonball Sandbox (ការបោះពុម្ព KVM ដែលត្រូវបានធ្វើឱ្យប្រសើរឡើងសម្រាប់កុងតឺន័រ) ជាមួយនឹងកញ្ចប់ឧបករណ៍ QEMU ក៏ដូចជា Firecracker និង Cloud Hypervisor ។ បរិស្ថានប្រព័ន្ធរួមមានដេមិនចាប់ផ្តើម និងភ្នាក់ងារ។ ភ្នាក់ងារផ្តល់នូវការប្រតិបត្តិនៃរូបភាពកុងតឺន័រដែលកំណត់ដោយអ្នកប្រើប្រាស់ក្នុងទម្រង់ OCI សម្រាប់ Docker និង CRI សម្រាប់ Kubernetes ។ នៅពេលប្រើជាមួយ Docker ម៉ាស៊ីននិម្មិតដាច់ដោយឡែកត្រូវបានបង្កើតឡើងសម្រាប់កុងតឺន័រនីមួយៗ ពោលគឺឧ។ បរិយាកាសដែលកំពុងដំណើរការនៅលើកំពូលនៃ hypervisor ត្រូវបានប្រើសម្រាប់ការដាក់ដំណើរការធុងផ្ទុក។

ដើម្បីកាត់បន្ថយការប្រើប្រាស់អង្គចងចាំ យន្តការ DAX ត្រូវបានប្រើ (ការចូលដោយផ្ទាល់ទៅកាន់ប្រព័ន្ធឯកសារ ដោយឆ្លងកាត់ឃ្លាំងសម្ងាត់ទំព័រដោយមិនប្រើកម្រិតឧបករណ៍ប្លុក) និងដើម្បីដកតំបន់សតិដូចគ្នាបេះបិទ បច្ចេកវិទ្យា KSM (Kernel Samepage Merging) ត្រូវបានប្រើ ដែលអនុញ្ញាតឱ្យអ្នក ដើម្បីរៀបចំការចែករំលែកធនធានប្រព័ន្ធម៉ាស៊ីន និងភ្ជាប់ទៅប្រព័ន្ធភ្ញៀវផ្សេងៗគ្នាចែករំលែកគំរូបរិស្ថានប្រព័ន្ធទូទៅមួយ។

នៅក្នុងកំណែថ្មី៖

បន្ថែមពីលើការគាំទ្រសម្រាប់ស្ថាបត្យកម្ម AMD64 (x86_64) ការចេញផ្សាយត្រូវបានផ្តល់ជូនសម្រាប់ស្ថាបត្យកម្ម ARM64 (Aarch64) និង s390 (IBM Z) ។ ការគាំទ្រសម្រាប់ស្ថាបត្យកម្ម ppc64le (IBM Power) កំពុងស្ថិតក្នុងការអភិវឌ្ឍន៍។
ដើម្បីរៀបចំការចូលប្រើរូបភាពកុងតឺន័រ ប្រព័ន្ធឯកសារ Nydus 2.2.0 ត្រូវបានប្រើ ដែលប្រើអាសយដ្ឋានខ្លឹមសារសម្រាប់ការសហការប្រកបដោយប្រសិទ្ធភាពជាមួយរូបភាពស្តង់ដារ។ Nydus គាំទ្រការផ្ទុករូបភាពក្នុងពេលហោះហើរ (ការទាញយកតែនៅពេលដែលត្រូវការ) ផ្ដល់ការដកទិន្នន័យស្ទួន និងអាចប្រើកម្មវិធីខាងក្រោយផ្សេងគ្នាសម្រាប់ការផ្ទុកជាក់ស្តែង។ ភាពឆបគ្នារបស់ POSIX ត្រូវបានផ្តល់ជូន (ស្រដៀងទៅនឹង Composefs ការអនុវត្ត Nydus រួមបញ្ចូលគ្នានូវសមត្ថភាពរបស់ OverlayFS ជាមួយនឹងម៉ូឌុល EROFS ឬ FUSE) ។
កម្មវិធីគ្រប់គ្រងម៉ាស៊ីននិម្មិត Dragonball ត្រូវបានបញ្ចូលទៅក្នុងរចនាសម្ព័ន្ធសំខាន់នៃគម្រោង Kata Containers ដែលឥឡូវនេះនឹងត្រូវបានបង្កើតឡើងនៅក្នុងឃ្លាំងទូទៅមួយ។
មុខងារបំបាត់កំហុសត្រូវបានបន្ថែមទៅឧបករណ៍ប្រើប្រាស់ kata-ctl សម្រាប់ភ្ជាប់ទៅម៉ាស៊ីននិម្មិតពីបរិស្ថានម៉ាស៊ីន។
សមត្ថភាពគ្រប់គ្រង GPU ត្រូវបានពង្រីក ហើយការគាំទ្រត្រូវបានបន្ថែមសម្រាប់ការបញ្ជូន GPUs ទៅកាន់កុងតឺន័រសម្រាប់ការគណនាសម្ងាត់ (Confidential Container) ដែលផ្តល់នូវការអ៊ិនគ្រីបទិន្នន័យ អង្គចងចាំ និងស្ថានភាពប្រតិបត្តិសម្រាប់ការការពារក្នុងករណីមានការសម្របសម្រួលនៃបរិយាកាសម៉ាស៊ីន ឬ hypervisor ។
ប្រព័ន្ធរងសម្រាប់គ្រប់គ្រងឧបករណ៍ដែលប្រើក្នុងធុង ឬបរិស្ថានប្រអប់ខ្សាច់ត្រូវបានបន្ថែមទៅ Runtime-rs ។ គាំទ្រការងារជាមួយ vfio, ប្លុក, បណ្តាញ និងប្រភេទឧបករណ៍ផ្សេងទៀត។
ភាពឆបគ្នាជាមួយ OCI Runtime 1.0.2 និង Kubernetes 1.23.1 ត្រូវបានផ្តល់ជូន។
វាត្រូវបានណែនាំឱ្យប្រើការចេញផ្សាយ 6.1.38 ជាមួយនឹងបំណះជាខឺណែលលីនុច។
ការអភិវឌ្ឍន៍ត្រូវបានផ្ទេរពីការប្រើប្រាស់ប្រព័ន្ធរួមបញ្ចូលជាបន្តបន្ទាប់របស់ Jenkins ទៅ GitHub Actions ។

ប្រភព: opennet.ru

ការចេញផ្សាយ Kata Containers 3.2 ជាមួយនឹងភាពឯកោផ្អែកលើនិម្មិត

បន្ថែមមតិយោបល់ ответОтменить