ການປ່ອຍ Kata Containers 3.0 ດ້ວຍການໂດດດ່ຽວໂດຍອີງໃສ່ virtualization

После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.

Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.

Kata Containers ແມ່ນສຸມໃສ່ການລວມເຂົ້າກັບໂຄງສ້າງການແຍກບັນຈຸບັນຈຸທີ່ມີຢູ່ກັບຄວາມສາມາດໃນການນໍາໃຊ້ເຄື່ອງ virtual ດັ່ງກ່າວເພື່ອເພີ່ມການປົກປ້ອງຕູ້ຄອນເທນເນີແບບດັ້ງເດີມ. ໂຄງການດັ່ງກ່າວສະຫນອງກົນໄກເພື່ອເຮັດໃຫ້ເຄື່ອງ virtual ທີ່ມີນ້ໍາຫນັກເບົາເຂົ້າກັນໄດ້ກັບກອບການແຍກບັນຈຸບັນຈຸຕ່າງໆ, ແພລະຕະຟອມ orchestration ຕູ້ຄອນເທນເນີ, ແລະຂໍ້ມູນສະເພາະເຊັ່ນ OCI (Open Container Initiative), CRI (Container Runtime Interface), ແລະ CNI (Container Networking Interface). ການປະສົມປະສານກັບ Docker, Kubernetes, QEMU, ແລະ OpenStack ແມ່ນມີຢູ່.

ການປະສົມປະສານກັບລະບົບການຈັດການຕູ້ຄອນເທນເນີແມ່ນບັນລຸໄດ້ໂດຍໃຊ້ຊັ້ນທີ່ຈໍາລອງການຈັດການບັນຈຸ, ເຊິ່ງ, ໂດຍຜ່ານການໂຕ້ຕອບ gRPC ແລະຕົວແທນພິເສດ, ເຂົ້າເຖິງຕົວແທນຄວບຄຸມໃນເຄື່ອງ virtual. ພາຍໃນສະພາບແວດລ້ອມ virtual, ເຊິ່ງເປີດຕົວໂດຍ hypervisor, kernel Linux ທີ່ຖືກປັບປຸງໃຫ້ດີທີ່ສຸດແມ່ນຖືກນໍາໃຊ້, ເຊິ່ງປະກອບມີພຽງແຕ່ຊຸດຕໍາ່ສຸດທີ່ຂອງຄຸນສົມບັດທີ່ຈໍາເປັນ.

ໃນຖານະເປັນ hypervisor, ການນໍາໃຊ້ Dragonball Sandbox (ສະບັບ KVM ທີ່ດີທີ່ສຸດສໍາລັບບັນຈຸ) ກັບຊຸດເຄື່ອງມື QEMU, ເຊັ່ນດຽວກັນກັບ Firecracker ແລະ Cloud Hypervisor ໄດ້ຮັບການສະຫນັບສະຫນູນ. ສະພາບແວດລ້ອມຂອງລະບົບປະກອບມີ daemon ເລີ່ມຕົ້ນແລະຕົວແທນ. ຕົວແທນແລ່ນຮູບພາບບັນຈຸທີ່ກໍານົດໂດຍຜູ້ໃຊ້ໃນຮູບແບບ OCI ສໍາລັບ Docker ແລະ CRI ສໍາລັບ Kubernetes. ເມື່ອໃຊ້ຮ່ວມກັນກັບ Docker, ເຄື່ອງ virtual ແຍກຕ່າງຫາກແມ່ນຖືກສ້າງຂຶ້ນສໍາລັບແຕ່ລະຖັງ, i.e. ສະພາບແວດລ້ອມທີ່ເປີດຕົວ hypervisor ແມ່ນໃຊ້ເພື່ອຮັງບັນຈຸ.

ເພື່ອຫຼຸດຜ່ອນການບໍລິໂພກຫນ່ວຍຄວາມຈໍາ, ກົນໄກ DAX ຖືກນໍາໃຊ້ (ການເຂົ້າເຖິງໂດຍກົງກັບ FS ຜ່ານ cache ຂອງຫນ້າໂດຍບໍ່ມີການນໍາໃຊ້ລະດັບອຸປະກອນ block), ແລະເຕັກໂນໂລຊີ KSM (Kernel Samepage Merging) ຖືກນໍາໃຊ້ເພື່ອ dedupe ພື້ນທີ່ຫນ່ວຍຄວາມຈໍາດຽວກັນ, ເຊິ່ງອະນຸຍາດໃຫ້ແບ່ງປັນຊັບພະຍາກອນລະບົບເຈົ້າພາບ. ແລະການເຊື່ອມຕໍ່ກັບລະບົບແຂກທີ່ແຕກຕ່າງກັນເປັນແມ່ແບບສະພາບແວດລ້ອມລະບົບທົ່ວໄປ.

ໃນ​ສະ​ບັບ​ໃຫມ່​:

• Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
• Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
• Добавлена поддержка проброса доступа к GPU, используя VFIO.
• Добавлена поддержка cgroup v2.
• Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
• В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
• Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
• Добавлена поддержка sandbox-изоляции компонентов QEMU.
• В QEMU для асинхронного ввода/вывода задействован API io_uring.
• Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
• Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru