Pēc divu gadu izstrādes ir publicēts Kata Containers 3.0 projekta izlaidums, kurā tiek izstrādāta kaudze konteineru izpildes organizēšanai, izmantojot izolāciju, pamatojoties uz pilnvērtīgiem virtualizācijas mehānismiem. Projektu izveidoja Intel un Hyper, apvienojot Clear Containers un runV tehnoloģijas. Projekta kods ir rakstīts Go and Rust un tiek izplatīts saskaņā ar Apache 2.0 licenci. Projekta izstrādi pārrauga neatkarīgās organizācijas OpenStack Foundation paspārnē izveidota darba grupa, kurā ietilpst tādi uzņēmumi kā Canonical, China Mobile, Dell / EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE un ZTE. .
Kata centrā ir izpildlaiks, kas nodrošina iespēju izveidot kompaktas virtuālās mašīnas, kas darbojas, izmantojot pilnvērtīgu hipervizoru, nevis tradicionālos konteinerus, kas izmanto kopīgu Linux kodolu un izolē, izmantojot nosaukumvietas un cgrupas. Virtuālo mašīnu izmantošana ļauj sasniegt augstāku drošības līmeni, kas aizsargā pret uzbrukumiem, ko izraisa Linux kodola ievainojamību izmantošana.
Kata Containers ir vērsta uz integrāciju esošajās konteineru izolācijas infrastruktūrās ar iespēju izmantot šādas virtuālās mašīnas, lai uzlabotu tradicionālo konteineru aizsardzību. Projekts nodrošina mehānismus, lai padarītu vieglas virtuālās mašīnas saderīgas ar dažādiem konteineru izolācijas ietvariem, konteineru orķestrēšanas platformām un tādām specifikācijām kā OCI (Open Container Initiative), CRI (konteinera izpildlaika saskarne) un CNI (konteineru tīkla saskarne). Ir pieejamas integrācijas ar Docker, Kubernetes, QEMU un OpenStack.
Integrācija ar konteineru pārvaldības sistēmām tiek panākta, izmantojot slāni, kas simulē konteineru pārvaldību, kas, izmantojot gRPC saskarni un īpašu starpniekserveri, piekļūst vadības aģentam virtuālajā mašīnā. Virtuālajā vidē, kuru palaiž hipervizors, tiek izmantots īpaši optimizēts Linux kodols, kas satur tikai minimālo nepieciešamo funkciju komplektu.
Kā hipervizors tiek atbalstīts Dragonball Sandbox (KVM izdevums, kas optimizēts konteineriem) ar QEMU rīku komplektu, kā arī Firecracker un Cloud Hypervisor. Sistēmas vide ietver inicializācijas dēmonu un aģentu. Aģents palaiž lietotāja definētus konteinera attēlus OCI formātā Docker un CRI Kubernetes. Lietojot kopā ar Docker, katram konteineram tiek izveidota atsevišķa virtuālā mašīna, t.i. hipervizora palaitā vide tiek izmantota konteineru ligzdai.
Lai samazinātu atmiņas patēriņu, tiek izmantots DAX mehānisms (tieša piekļuve FS, apejot lapas kešatmiņu, neizmantojot blokierīces līmeni), un KSM (Kernel Samepage Merging) tehnoloģija tiek izmantota identisku atmiņas apgabalu dublēšanai, kas ļauj koplietot resursdatora sistēmas resursus. un savienojot ar dažādām viesu sistēmām kopēju sistēmas vides veidni.
Jaunajā versijā:
- Tiek piedāvāts alternatīvs izpildlaiks (runtime-rs), kas veido konteineru pildījumu, rakstīts Rust valodā (iepriekš piegādātais izpildlaiks ir rakstīts Go valodā). Runtime ir saderīga ar OCI, CRI-O un Containerd, padarot to saderīgu ar Docker un Kubernetes.
- Ir ierosināts jauns Dragonball hipervizors, kura pamatā ir KVM un rust-vmm.
- Pievienots atbalsts GPU piekļuves pāradresācijai, izmantojot VFIO.
- Pievienots atbalsts cgroup v2.
- Ieviests atbalsts iestatījumu maiņai, nemainot galveno konfigurācijas failu, aizstājot blokus atsevišķos failos, kas atrodas direktorijā "config.d/".
- Rust komponenti izmanto jaunu bibliotēku, lai droši strādātu ar failu ceļiem.
- virtiofsd komponents (rakstīts C) ir aizstāts ar virtiofsd-rs (rakstīts Rust).
- Pievienots atbalsts smilškastes QEMU komponentu izolācijai.
- QEMU izmanto io_uring API asinhronai I/O.
- Intel TDX (Trusted Domain Extensions) paplašinājumu atbalsts ir ieviests QEMU un Cloud-hypervisor.
- Atjauninātie komponenti: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux kodols 5.19.2.
Avots: opennet.ru