No zwee Joer Entwécklung ass d'Verëffentlechung vum Kata Containers 3.0 Projet publizéiert ginn, e Stack entwéckelt fir d'Ausféierung vu Container mat Isolatioun ze organiséieren baséiert op vollwäertege Virtualiséierungsmechanismen. De Projet gouf vun Intel an Hyper erstallt andeems Clear Containers a runV Technologien kombinéiert ginn. De Projet Code ass a Go a Rust geschriwwen, a gëtt ënner der Apache 2.0 Lizenz verdeelt. D'Entwécklung vum Projet gëtt iwwerwaacht vun engem Aarbechtsgrupp, deen ënner der Regie vun der onofhängeger Organisatioun OpenStack Foundation erstallt gouf, déi Firmen wéi Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE an ZTE enthält. .
Am Häerz vu Kata ass d'Runtime, déi d'Fäegkeet bitt kompakt virtuelle Maschinnen ze kreéieren déi mat engem vollen Hypervisor lafen, anstatt traditionell Container ze benotzen déi e gemeinsame Linux Kernel benotzen an isoléiert sinn mat Nummraim a cgroups. D'Benotzung vu virtuelle Maschinnen erlaabt Iech e méi héije Sécherheetsniveau z'erreechen, dee schützt géint Attacke verursaacht duerch Ausbeutung vu Schwachstelle am Linux Kernel.
Kata Containers konzentréiert sech op Integratioun an existent Containerisolatiounsinfrastrukturen mat der Fäegkeet fir ähnlech virtuell Maschinnen ze benotzen fir de Schutz vun traditionelle Container ze verbesseren. De Projet bitt Mechanismen fir Kompatibilitéit vu liichte virtuelle Maschinnen mat verschiddene Containerisolatiounsinfrastrukturen, Containerorchestratiounsplattformen a Spezifikatioune wéi OCI (Open Container Initiative), CRI (Container Runtime Interface) an CNI (Container Networking Interface) ze garantéieren. Tools si verfügbar fir Integratioun mat Docker, Kubernetes, QEMU an OpenStack.
Integratioun mat Containerverwaltungssystemer gëtt erreecht mat enger Schicht déi Containerverwaltung simuléiert, déi Zougang zum Managing Agent an der virtueller Maschinn iwwer d'gRPC Interface an e spezielle Proxy. Am virtuellen Ëmfeld, dat vum Hypervisor lancéiert gëtt, gëtt e speziell optimiséierte Linux Kernel benotzt, deen nëmmen de Minimum Set vun néidege Fäegkeeten enthält.
Als Hypervisor ënnerstëtzt et d'Benotzung vun Dragonball Sandbox (eng Editioun vu KVM optiméiert fir Container) mam QEMU Toolkit, souwéi Firecracker a Cloud Hypervisor. D'Systemëmfeld enthält en Initialiséierungsdaemon an en Agent. Den Agent bitt Ausféierung vu Benotzerdefinéierte Containerbiller am OCI Format fir Docker a CRI fir Kubernetes. Wann se a Verbindung mat Docker benotzt gëtt, gëtt eng separat virtuell Maschinn fir all Container erstallt, d.h. D'Ëmfeld, déi uewen um Hypervisor leeft, gëtt fir nested Start vu Container benotzt.
Fir de Gedächtnisverbrauch ze reduzéieren, gëtt den DAX-Mechanismus benotzt (direkten Zougang zum Dateiesystem, de Säite-Cache ëmgoen ouni de Blockapparatniveau ze benotzen), a fir identesch Erënnerungsberäicher ze deduplizéieren, gëtt KSM (Kernel Samepage Merging) Technologie benotzt, wat Iech erlaabt fir d'Deelen vun Hostsystemressourcen z'organiséieren a mat verschiddene Gaaschtsystemer ze verbannen, deelen eng gemeinsam Systemëmfeldschabloun.
An der neier Versioun:
- Eng alternativ Runtime (Runtime-rs) gëtt proposéiert, déi d'Füllung vu Container bilden, geschriwwen an der Rust Sprooch (déi virdru geliwwert Runtime gouf an der Go Sprooch geschriwwe). Runtime ass kompatibel mat OCI, CRI-O a Containerd, wat et erlaabt mat Docker a Kubernetes ze benotzen.
- En neien Dragonball Hypervisor baséiert op KVM a Rust-vmm gouf proposéiert.
- Zousätzlech Ënnerstëtzung fir den Zougang zu der GPU mat VFIO weiderzebréngen.
- Zousätzlech Ënnerstëtzung fir cgroup v2.
- Ënnerstëtzung fir d'Astellunge z'änneren ouni d'Haaptkonfiguratiounsdatei z'änneren gouf implementéiert andeems d'Blöcke an getrennten Dateien ersat ginn am Verzeechnes "config.d/".
- Rust Komponente enthalen eng nei Bibliothéik fir sécher mat Dateiweeër ze schaffen.
- D'Virtiofsd Komponent (geschriwwe an C) gouf duerch virtiofsd-rs ersat (schrëftlech am Rust).
- Zousätzlech Ënnerstëtzung fir Sandboxing QEMU Komponenten.
- QEMU benotzt d'io_uring API fir asynchronen I/O.
- Ënnerstëtzung fir Intel TDX (Trusted Domain Extensions) Extensiounen gouf fir QEMU a Cloud-Hypervisor implementéiert.
- Komponenten aktualiséiert: QEMU 6.2.0, Cloud-Hypervisor 26.0, Firecracker 1.1.0, Linux Kernel 5.19.2.
Source: opennet.ru