Виртуалчлалын бүрэн механизм дээр суурилсан тусгаарлалтыг ашиглан савны гүйцэтгэлийг зохион байгуулах стекийг боловсруулж, Kata Containers 3.2 төслийн хувилбарыг нийтлэв. Уг төслийг Intel болон Hyper нар Clear Containers болон runV технологийг хослуулан бүтээсэн. Төслийн код нь Go and Rust хэл дээр бичигдсэн бөгөөд Apache 2.0 лицензийн дагуу түгээгддэг. Төслийн хөгжилд Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE, ZTE зэрэг компаниудыг багтаасан бие даасан OpenStack Foundation байгууллагын ивээл дор байгуулагдсан ажлын хэсэг хяналт тавьж байна. .
Ката нь ажиллах цаг дээр суурилдаг бөгөөд энэ нь нийтлэг Линукс цөм ашигладаг уламжлалт контейнеруудыг ашиглахын оронд нэрийн орон зай болон бүлгүүдийг ашиглан тусгаарлагдсан, бүрэн гипервизор ашиглан ажилладаг авсаархан виртуал машинуудыг үүсгэх боломжийг олгодог. Виртуал машин ашиглах нь Линуксийн цөмийн сул талуудыг ашигласнаас үүдэлтэй халдлагаас хамгаалах өндөр түвшний аюулгүй байдлыг хангах боломжийг танд олгоно.
Kata Containers нь уламжлалт чингэлэгийн хамгаалалтыг сайжруулахын тулд ижил төстэй виртуал машинуудыг ашиглах чадвартай, одоо байгаа контейнер тусгаарлах дэд бүтцүүдийг нэгтгэхэд чиглэгддэг. Энэхүү төсөл нь хөнгөн жинтэй виртуал машинуудын төрөл бүрийн контейнер тусгаарлах дэд бүтэц, чингэлэг зохион байгуулах платформ, OCI (Нээлттэй контейнер санаачилга), CRI (Container Runtime Interface) болон CNI (Container Networking Interface) зэрэг техникийн үзүүлэлтүүдтэй нийцтэй байх механизмуудыг хангадаг. Хэрэгслийг Docker, Kubernetes, QEMU болон OpenStack-тай нэгтгэх боломжтой.
Контейнерын удирдлагын системтэй нэгтгэх нь контейнерийн менежментийг дуурайлган хийдэг давхаргыг ашиглан виртуал машин дахь удирдах агент руу gRPC интерфэйс болон тусгай прокси ашиглан ханддаг. Гипервизорын эхлүүлсэн виртуал орчинд зөвхөн шаардлагатай боломжуудын хамгийн бага багцыг агуулсан тусгайлан оновчтой Линукс цөмийг ашигладаг.
Гипервизорын хувьд энэ нь Dragonball Sandbox (контейнерд зориулж оновчтой KVM-ийн хувилбар) болон Firecracker болон Cloud Hypervisor-ийн хэрэглээг дэмждэг. Системийн орчинд эхлүүлэх демон болон агент орно. Агент нь Docker-д OCI форматаар, Kubernetes-д зориулсан CRI форматаар хэрэглэгчийн тодорхойлсон контейнерийн зургийг гүйцэтгэх боломжийг олгодог. Docker-тэй хамт ашиглах үед контейнер бүрт тусдаа виртуал машин үүсдэг, i.e. Гипервизорын дээд талд ажиллаж байгаа орчин нь савыг үүрлэн хөөргөхөд ашиглагддаг.
Санах ойн хэрэглээг багасгахын тулд DAX механизмыг ашигладаг (файлын системд шууд нэвтрэх, төхөөрөмжийн блокийн түвшинг ашиглахгүйгээр хуудасны кэшийг тойрч гарах), мөн ижил санах ойн хэсгүүдийг хуулбарлахын тулд KSM (Kernel Samepage Merging) технологийг ашигладаг. хост системийн нөөцийг хуваалцах ажлыг зохион байгуулж, өөр өөр зочны системд холбогдох нийтлэг системийн орчны загварыг хуваалцдаг.
Шинэ хувилбарт:
- AMD64 (x86_64) архитектурыг дэмжихээс гадна ARM64 (Aarch64) болон s390 (IBM Z) архитектурт зориулсан хувилбаруудыг гаргасан. ppc64le архитектурын (IBM Power) дэмжлэгийг хөгжүүлж байна.
- Контейнерийн зургуудад хандах хандалтыг зохион байгуулахын тулд Nydus 2.2.0 файлын системийг ашигладаг бөгөөд энэ нь стандарт зургуудтай үр дүнтэй хамтран ажиллахын тулд агуулгын хаягжилтыг ашигладаг. Nydus нь зургийг шууд ачаалахыг дэмждэг (зөвхөн шаардлагатай үед татаж авдаг), давхардсан өгөгдлийг хуулбарлах боломжийг олгодог бөгөөд бодит хадгалахад өөр өөр арын хэсгийг ашиглах боломжтой. POSIX нийцтэй байдал хангагдсан (Composefs-тэй адил Nydus хэрэгжүүлэлт нь OverlayFS-ийн чадварыг EROFS эсвэл FUSE модультай хослуулсан).
- Dragonball виртуал машины менежерийг Kata Containers төслийн үндсэн бүтцэд нэгтгэсэн бөгөөд одоо үүнийг нийтлэг репозитор дээр хөгжүүлэх болно.
- Хост орчноос виртуал машинтай холбогдохын тулд kata-ctl хэрэгсэлд дибаг хийх функц нэмэгдсэн.
- GPU удирдлагын чадавхийг өргөтгөж, GPU-г нууц тооцоололд (Нууц Контейнер) шилжүүлэхэд дэмжлэг нэмсэн бөгөөд энэ нь хост орчин эсвэл гипервизорын эвдрэлээс хамгаалах зорилгоор өгөгдөл, санах ой болон гүйцэтгэлийн төлөвийг шифрлэх боломжийг олгодог.
- Runtime-rs-д контейнер эсвэл хамгаалагдсан хязгаарлагдмал орчинд ашиглагддаг төхөөрөмжүүдийг удирдах дэд системийг нэмсэн. Vfio, блок, сүлжээ болон бусад төрлийн төхөөрөмжтэй ажиллахыг дэмждэг.
- OCI Runtime 1.0.2 болон Kubernetes 1.23.1-тэй нийцтэй байна.
- Линукс цөм болгон засвартай 6.1.38 хувилбарыг ашиглахыг зөвлөж байна.
- Хөгжил нь Женкинсийн тасралтгүй интеграцийн системийг ашиглахаас GitHub Actions руу шилжсэн.
Эх сурвалж: opennet.ru