Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Ko te Kata kei runga i te wa whakahaere, e taea ai e koe te hanga mihini mariko kiato e rere ana ma te whakamahi i te hypervisor katoa, kaua ki te whakamahi i nga ipu tuku iho e whakamahi ana i te pata Linux noa, ka wehea ma te whakamahi i nga mokowāingoa me nga roopu c. Ma te whakamahi i nga miihini mariko ka taea e koe te whakatutuki i te taumata teitei o te haumarutanga e tiaki ana i nga whakaeke i puta mai i te whakamahi i nga whakaraeraetanga o te kernel Linux.
Kei te arotahi a Kata Containers ki te whakauru ki roto i nga hanganga wehe ipu me te kaha ki te whakamahi i nga miihini mariko rite ki te whakarei ake i te whakamarumaru o nga ipu tuku iho. Ka whakaratohia e te kaupapa nga tikanga hei whakarite i te hototahitanga o nga miihini mariko mama me nga momo hanganga wehe ipu, nga papahanga whakahiato ipu me nga whakaritenga penei i te OCI (Open Container Initiative), CRI (Container Runtime Interface) me CNI (Container Networking Interface). Kei te waatea nga taputapu mo te whakauru ki a Docker, Kubernetes, QEMU me OpenStack.
Ko te whakauru ki nga punaha whakahaere ipu ka tutuki ma te whakamahi i tetahi paparanga e whakataurite ana i te whakahaere ipu, e uru ana ki te kaihoko whakahaere i roto i te miihini mariko ma te atanga gRPC me tetahi takawaenga motuhake. I roto i te taiao mariko, i whakarewahia e te hypervisor, ka whakamahia he kakano Linux kua tino arotauhia, kei roto anake te huinga iti o nga kaha e tika ana.
Hei hypervisor, e tautoko ana i te whakamahi i te Dragonball Sandbox (he putanga o KVM kua arotauhia mo nga ipu) me te kete taputapu QEMU, me te Firecracker me te Cloud Hypervisor. Kei roto i te taiao punaha he daemon arawhiti me tetahi kaihoko. Ka tukuna e te kaihoko nga whakaahua ipu kua tautuhia e te kaiwhakamahi ki te whakatakotoranga OCI mo Docker me CRI mo Kubernetes. Ina whakamahia tahi me Docker, ka hangaia he miihini mariko motuhake mo ia ipu, i.e. Ko te taiao e rere ana i runga o te hypervisor ka whakamahia mo te whakarewatanga o nga ipu.
Hei whakaiti i te kohi mahara, ka whakamahia te tikanga DAX (te uru tika ki te punaha konae, te maataki i te keteroki wharangi me te kore e whakamahi i te taumata o te taputapu paraka), me te tango i nga waahi mahara orite, ka whakamahia te hangarau KSM (Kernel Samepage Merging), ka taea e koe. ki te whakarite i te tiritiri i nga rauemi punaha kaihautu me te hono atu ki nga punaha manuhiri rereke ka tohatoha i tetahi tauira taiao punaha.
I roto i te putanga hou:
- Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
- Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
- В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
- В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
- Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
- В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
- Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.
Source: opennet.ru