Kata 컨테이너의 간략한 개요 및 설정

이 기사에서는 작동 방식에 대해 설명합니다. 카타 컨테이너, Docker와의 연결과 관련된 실용적인 부분도 있습니다.

Docker 및 해당 솔루션의 일반적인 문제에 대해 이미 썼다, 오늘은 Kata Containers의 구현에 대해 간략하게 설명하겠습니다. Kata Containers는 경량 가상 머신을 기반으로 하는 안전한 컨테이너 런타임입니다. 그들과 함께 작업하는 것은 다른 컨테이너와 동일하지만 하드웨어 가상화 기술을 사용하여 보다 안정적인 격리가 있습니다. 이 프로젝트는 같은 이름의 커뮤니티가 Intel Clear Containers와 Hyper.sh RunV의 최고의 아이디어를 통합한 2017년에 시작되었으며, 그 후 AMD64, ARM, IBM p- 및 z를 포함한 다양한 아키텍처에 대한 지원 작업이 계속되었습니다. -시리즈. 또한 하이퍼바이저 QEMU 내에서 작업하고 Firecracker가 지원되며 containerd와의 통합도 있습니다. 코드는 다음에서 사용할 수 있습니다. GitHub의 MIT 라이센스에 따라.

주요 기능

• 별도의 코어로 작업하여 네트워크, 메모리 및 I/O 격리를 제공하므로 가상화 확장을 기반으로 하드웨어 격리를 강제로 사용할 수 있습니다.
• OCI(컨테이너 형식), Kubernetes CRI를 포함한 산업 표준 지원
• 일반 Linux 컨테이너의 일관된 성능, 일반 VM의 성능 오버헤드 없이 향상된 격리
• 완전한 기능을 갖춘 가상 머신 내에서 컨테이너를 실행할 필요가 없으며 일반 인터페이스가 통합 및 실행을 단순화합니다.

설치

이 세트 설치 옵션, Centos 7 운영 체제를 기반으로 리포지토리에서 설치하는 것을 고려할 것입니다.
중요한 일이야: Kata Containers 작업은 하드웨어에서만 지원되며, 가상화 포워딩이 항상 작동하는 것은 아니며, sse4.1 지원 필요 프로세서에서.

Kata 컨테이너 설치는 매우 간단합니다.

리포지토리 작업을 위한 유틸리티를 설치합니다.

# yum -y install yum-utils

Selinux를 비활성화합니다(구성하는 것이 더 정확하지만 간단하게 하기 위해 비활성화합니다).

# setenforce 0
# sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

저장소를 연결하고 설치를 수행합니다.

# source /etc/os-release
# ARCH=$(arch)
# BRANCH="${BRANCH:-stable-1.10}"
# yum-config-manager --add-repo "http://download.opensuse.org/repositories/home:/katacontainers:/releases:/${ARCH}:/${BRANCH}/CentOS_${VERSION_ID}/home:katacontainers:releases:${ARCH}:${BRANCH}.repo"
# yum -y install kata-runtime kata-proxy kata-shim

조정

docker와 함께 작동하도록 구성하고 설치가 일반적이므로 더 자세히 설명하지 않겠습니다.

# rpm -qa | grep docker
docker-ce-cli-19.03.6-3.el7.x86_64
docker-ce-19.03.6-3.el7.x86_64
# docker -v
Docker version 19.03.6, build 369ce74a3c

daemon.json을 변경합니다.

# cat <<EOF > /etc/docker/daemon.json
{
  "default-runtime": "kata-runtime",
  "runtimes": {
    "kata-runtime": {
      "path": "/usr/bin/kata-runtime"
    }
  }
}
EOF

도커를 다시 시작합니다.

# service docker restart

기능 점검

Docker를 다시 시작하기 전에 컨테이너를 시작하면 uname이 기본 시스템에서 실행 중인 커널 버전을 제공하는 것을 볼 수 있습니다.

# docker run busybox uname -a
Linux 19efd7188d06 3.10.0-1062.12.1.el7.x86_64 #1 SMP Tue Feb 4 23:02:59 UTC 2020 x86_64 GNU/Linux

다시 시작한 후 커널 버전은 다음과 같습니다.

# docker run busybox uname -a
Linux 9dd1f30fe9d4 4.19.86-5.container #1 SMP Sat Feb 22 01:53:14 UTC 2020 x86_64 GNU/Linux

더 많은 팀!

# time docker run busybox mount
kataShared on / type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev type tmpfs (rw,nosuid,size=65536k,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=666)
sysfs on /sys type sysfs (ro,nosuid,nodev,noexec,relatime)
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,relatime,mode=755)
cgroup on /sys/fs/cgroup/systemd type cgroup (ro,nosuid,nodev,noexec,relatime,xattr,name=systemd)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (ro,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup on /sys/fs/cgroup/blkio type cgroup (ro,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/memory type cgroup (ro,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/devices type cgroup (ro,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/perf_event type cgroup (ro,nosuid,nodev,noexec,relatime,perf_event)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (ro,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup on /sys/fs/cgroup/freezer type cgroup (ro,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/pids type cgroup (ro,nosuid,nodev,noexec,relatime,pids)
cgroup on /sys/fs/cgroup/cpuset type cgroup (ro,nosuid,nodev,noexec,relatime,cpuset)
mqueue on /dev/mqueue type mqueue (rw,nosuid,nodev,noexec,relatime)
shm on /dev/shm type tmpfs (rw,nosuid,nodev,noexec,relatime,size=65536k)
kataShared on /etc/resolv.conf type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
kataShared on /etc/hostname type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
kataShared on /etc/hosts type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
proc on /proc/bus type proc (ro,relatime)
proc on /proc/fs type proc (ro,relatime)
proc on /proc/irq type proc (ro,relatime)
proc on /proc/sys type proc (ro,relatime)
tmpfs on /proc/acpi type tmpfs (ro,relatime)
tmpfs on /proc/timer_list type tmpfs (rw,nosuid,size=65536k,mode=755)
tmpfs on /sys/firmware type tmpfs (ro,relatime)

real    0m2.381s
user    0m0.066s
sys 0m0.039s

# time docker run busybox free -m
              total        used        free      shared  buff/cache   available
Mem:           1993          30        1962           0           1        1946
Swap:             0           0           0

real    0m3.297s
user    0m0.086s
sys 0m0.050s

빠른 부하 테스트

가상화로 인한 손실을 평가하기 위해 - 주요 예로 sysbench를 실행합니다. 이 옵션을 선택.

Docker+containerd를 사용하여 sysbench 실행

프로세서 테스트

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Prime numbers limit: 20000

Initializing worker threads...

Threads started!

General statistics:
    total time:                          36.7335s
    total number of events:              10000
    total time taken by event execution: 36.7173s
    response time:
         min:                                  3.43ms
         avg:                                  3.67ms
         max:                                  8.34ms
         approx.  95 percentile:               3.79ms

Threads fairness:
    events (avg/stddev):           10000.0000/0.00
    execution time (avg/stddev):   36.7173/0.00

램 테스트

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Initializing worker threads...

Threads started!

Operations performed: 104857600 (2172673.64 ops/sec)

102400.00 MiB transferred (2121.75 MiB/sec)

General statistics:
    total time:                          48.2620s
    total number of events:              104857600
    total time taken by event execution: 17.4161s
    response time:
         min:                                  0.00ms
         avg:                                  0.00ms
         max:                                  0.17ms
         approx.  95 percentile:               0.00ms

Threads fairness:
    events (avg/stddev):           104857600.0000/0.00
    execution time (avg/stddev):   17.4161/0.00

Docker+Kata 컨테이너를 사용하여 sysbench 실행

프로세서 테스트

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Prime numbers limit: 20000

Initializing worker threads...

Threads started!

General statistics:
    total time:                          36.5747s
    total number of events:              10000
    total time taken by event execution: 36.5594s
    response time:
         min:                                  3.43ms
         avg:                                  3.66ms
         max:                                  4.93ms
         approx.  95 percentile:               3.77ms

Threads fairness:
    events (avg/stddev):           10000.0000/0.00
    execution time (avg/stddev):   36.5594/0.00

램 테스트

sysbench 1.0:  multi-threaded system evaluation benchmark

Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Initializing worker threads...

Threads started!

Operations performed: 104857600 (2450366.94 ops/sec)

102400.00 MiB transferred (2392.94 MiB/sec)

General statistics:
    total time:                          42.7926s
    total number of events:              104857600
    total time taken by event execution: 16.1512s
    response time:
         min:                                  0.00ms
         avg:                                  0.00ms
         max:                                  0.43ms
         approx.  95 percentile:               0.00ms

Threads fairness:
    events (avg/stddev):           104857600.0000/0.00
    execution time (avg/stddev):   16.1512/0.00

원칙적으로 상황은 이미 명확하지만 테스트를 여러 번 실행하여 이상 치를 제거하고 결과를 평균화하는 것이 더 최적이므로 아직 더 많은 테스트를 수행하지 않습니다.

조사 결과

이러한 컨테이너는 시작하는 데 약 XNUMX~XNUMX배 더 오래 걸린다는 사실에도 불구하고(containerd를 사용할 때 유사한 명령의 일반적인 실행 시간은 XNUMX/XNUMX초 미만) 절대 시작 시간을 취하면 여전히 매우 빠르게 작동합니다(거기 위의 예, 평균 XNUMX초 내에 수행되는 명령). 음, CPU와 RAM에 대한 빠른 테스트 결과는 거의 동일한 결과를 보여줍니다. 특히 kvm과 같이 잘 실행되는 메커니즘을 사용하여 격리가 제공된다는 점에서 기뻐할 수밖에 없습니다.

발표

글은 리뷰지만 대체런타임을 느낄 수 있는 기회를 줍니다. 애플리케이션의 많은 영역은 다루지 않습니다. 예를 들어 이 사이트에서는 Kata 컨테이너 위에서 Kubernetes를 실행할 수 있는 가능성에 대해 설명합니다. 또한 보안 문제 찾기, 제한 설정 및 기타 흥미로운 사항에 초점을 맞춘 일련의 테스트를 실행할 수도 있습니다.

나는 여기에서 읽고 되감은 모든 사람들에게 이 주제에 대한 향후 출판물이 의존할 설문 조사에 참여하도록 요청합니다.

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

Kata 컨테이너에 대한 기사를 계속 게시해야 합니까?

• 80,0%네, 더 써주세요!28

• 20,0%아니, 하지마...7

35명의 사용자가 투표했습니다. 7명의 사용자가 기권했습니다.

출처 : habr.com