Хоёр жилийн турш хөгжүүлсний дараа бүрэн хэмжээний виртуалчлалын механизмд суурилсан тусгаарлалтыг ашиглан савны гүйцэтгэлийг зохион байгуулах стекийг боловсруулж, Kata Containers 3.0 төслийн хувилбар гарч ирэв. Уг төслийг Intel болон Hyper нар Clear Containers болон runV технологийг хослуулан бүтээсэн. Төслийн код нь Go and Rust хэл дээр бичигдсэн бөгөөд Apache 2.0 лицензийн дагуу түгээгддэг. Төслийн хөгжилд Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE, ZTE зэрэг компаниудыг багтаасан бие даасан OpenStack Foundation байгууллагын ивээл дор байгуулагдсан ажлын хэсэг хяналт тавьж байна. .
Катагийн гол цөм нь Linux-ийн нийтлэг цөм ашигладаг, нэрийн орон зай, бүлгүүдийг ашиглан тусгаарлагдсан уламжлалт контейнер ашиглахын оронд бүрэн гипервизор ашиглан ажилладаг авсаархан виртуал машин үүсгэх боломжийг олгодог ажиллах цаг юм. Виртуал машин ашиглах нь Линуксийн цөмийн сул талуудыг ашигласнаас үүдэлтэй халдлагаас хамгаалах өндөр түвшний аюулгүй байдлыг хангах боломжийг танд олгоно.
Kata Containers нь уламжлалт чингэлэгийн хамгаалалтыг сайжруулахын тулд ижил төстэй виртуал машинуудыг ашиглах чадвартай, одоо байгаа контейнер тусгаарлах дэд бүтцүүдийг нэгтгэхэд чиглэгддэг. Энэхүү төсөл нь хөнгөн жинтэй виртуал машинуудын төрөл бүрийн контейнер тусгаарлах дэд бүтэц, чингэлэг зохион байгуулах платформ, OCI (Нээлттэй контейнер санаачилга), CRI (Container Runtime Interface) болон CNI (Container Networking Interface) зэрэг техникийн үзүүлэлтүүдтэй нийцтэй байх механизмуудыг хангадаг. Хэрэгслийг Docker, Kubernetes, QEMU болон OpenStack-тай нэгтгэх боломжтой.
Контейнерын удирдлагын системтэй нэгтгэх нь контейнерийн менежментийг дуурайлган хийдэг давхаргыг ашиглан виртуал машин дахь удирдах агент руу gRPC интерфэйс болон тусгай прокси ашиглан ханддаг. Гипервизорын эхлүүлсэн виртуал орчинд зөвхөн шаардлагатай боломжуудын хамгийн бага багцыг агуулсан тусгайлан оновчтой Линукс цөмийг ашигладаг.
Гипервизорын хувьд энэ нь Dragonball Sandbox (контейнерд зориулж оновчтой KVM-ийн хувилбар) болон Firecracker болон Cloud Hypervisor-ийн хэрэглээг дэмждэг. Системийн орчинд эхлүүлэх демон болон агент орно. Агент нь Docker-д OCI форматаар, Kubernetes-д зориулсан CRI форматаар хэрэглэгчийн тодорхойлсон контейнерийн зургийг гүйцэтгэх боломжийг олгодог. Docker-тэй хамт ашиглах үед контейнер бүрт тусдаа виртуал машин үүсдэг, i.e. Гипервизорын дээд талд ажиллаж байгаа орчин нь савыг үүрлэн хөөргөхөд ашиглагддаг.
Санах ойн хэрэглээг багасгахын тулд DAX механизмыг ашигладаг (файлын системд шууд нэвтрэх, төхөөрөмжийн блокийн түвшинг ашиглахгүйгээр хуудасны кэшийг тойрч гарах), мөн ижил санах ойн хэсгүүдийг хуулбарлахын тулд KSM (Kernel Samepage Merging) технологийг ашигладаг. хост системийн нөөцийг хуваалцах ажлыг зохион байгуулж, өөр өөр зочны системд холбогдох нийтлэг системийн орчны загварыг хуваалцдаг.
Шинэ хувилбарт:
- Rust хэлээр (өмнө нь нийлүүлсэн ажиллах хугацааг Go хэл дээр бичсэн) савыг дүүргэх өөр хувилбарыг (runtime-rs) санал болгож байна. Runtime нь OCI, CRI-O болон Контейнерд нийцдэг бөгөөд үүнийг Docker болон Kubernetes-д ашиглах боломжийг олгодог.
- KVM болон rust-vmm дээр суурилсан шинэ лууны бөмбөгний гипервизорыг санал болгов.
- VFIO ашиглан GPU-д хандах хандалтыг дамжуулах дэмжлэг нэмэгдсэн.
- cgroup v2-д зориулсан дэмжлэг нэмэгдсэн.
- Үндсэн тохиргооны файлыг өөрчлөхгүйгээр тохиргоог өөрчлөх дэмжлэгийг "config.d/" директорт байрлах тусдаа файлуудын блокуудыг солих замаар хэрэгжүүлсэн.
- Rust бүрэлдэхүүн хэсгүүдэд файлын замуудтай аюулгүй ажиллах шинэ номын сан багтсан болно.
- virtiofsd бүрэлдэхүүн хэсэг (C хэл дээр бичигдсэн) virtiofsd-rs (Зэвээр бичсэн) -ээр солигдсон.
- QEMU бүрэлдэхүүн хэсгүүдийн хамгаалагдсан хязгаарлагдмал орчинд нэвтрэх дэмжлэг нэмэгдсэн.
- QEMU нь асинхрон оролт гаралтын хувьд io_uring API ашигладаг.
- QEMU болон Cloud-hypervisor-д Intel TDX (Trusted Domain Extensions) өргөтгөлүүдийн дэмжлэгийг хэрэгжүүлсэн.
- Бүрэлдэхүүн хэсгүүд шинэчлэгдсэн: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux цөм 5.19.2.
Эх сурвалж: opennet.ru