Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Kata baséiert op Runtime, wat Iech erlaabt kompakt virtuelle Maschinnen ze kreéieren déi mat engem vollen Hypervisor lafen, anstatt traditionell Container ze benotzen déi e gemeinsame Linux Kernel benotzen an isoléiert sinn mat Nummraim a cgroups. D'Benotzung vu virtuelle Maschinnen erlaabt Iech e méi héije Sécherheetsniveau z'erreechen, dee schützt géint Attacke verursaacht duerch Ausbeutung vu Schwachstelle am Linux Kernel.
Kata Containers konzentréiert sech op Integratioun an existent Containerisolatiounsinfrastrukturen mat der Fäegkeet fir ähnlech virtuell Maschinnen ze benotzen fir de Schutz vun traditionelle Container ze verbesseren. De Projet bitt Mechanismen fir Kompatibilitéit vu liichte virtuelle Maschinnen mat verschiddene Containerisolatiounsinfrastrukturen, Containerorchestratiounsplattformen a Spezifikatioune wéi OCI (Open Container Initiative), CRI (Container Runtime Interface) an CNI (Container Networking Interface) ze garantéieren. Tools si verfügbar fir Integratioun mat Docker, Kubernetes, QEMU an OpenStack.
Integratioun mat Containerverwaltungssystemer gëtt erreecht mat enger Schicht déi Containerverwaltung simuléiert, déi Zougang zum Managing Agent an der virtueller Maschinn iwwer d'gRPC Interface an e spezielle Proxy. Am virtuellen Ëmfeld, dat vum Hypervisor lancéiert gëtt, gëtt e speziell optimiséierte Linux Kernel benotzt, deen nëmmen de Minimum Set vun néidege Fäegkeeten enthält.
Als Hypervisor ënnerstëtzt et d'Benotzung vun Dragonball Sandbox (eng Editioun vu KVM optiméiert fir Container) mam QEMU Toolkit, souwéi Firecracker a Cloud Hypervisor. D'Systemëmfeld enthält en Initialiséierungsdaemon an en Agent. Den Agent bitt Ausféierung vu Benotzerdefinéierte Containerbiller am OCI Format fir Docker a CRI fir Kubernetes. Wann se a Verbindung mat Docker benotzt gëtt, gëtt eng separat virtuell Maschinn fir all Container erstallt, d.h. D'Ëmfeld, déi uewen um Hypervisor leeft, gëtt fir nested Start vu Container benotzt.
Fir de Gedächtnisverbrauch ze reduzéieren, gëtt den DAX-Mechanismus benotzt (direkten Zougang zum Dateiesystem, de Säite-Cache ëmgoen ouni de Blockapparatniveau ze benotzen), a fir identesch Erënnerungsberäicher ze deduplizéieren, gëtt KSM (Kernel Samepage Merging) Technologie benotzt, wat Iech erlaabt fir d'Deelen vun Hostsystemressourcen z'organiséieren a mat verschiddene Gaaschtsystemer ze verbannen, deelen eng gemeinsam Systemëmfeldschabloun.
An der neier Versioun:
- Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
- Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
- В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
- В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
- Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
- В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
- Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.
Source: opennet.ru