После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
पारंपारिक कंटेनरचे संरक्षण वाढविण्यासाठी अशा व्हर्च्युअल मशीन्सचा वापर करण्याच्या क्षमतेसह विद्यमान कंटेनर आयसोलेशन इन्फ्रास्ट्रक्चर्समध्ये समाकलित करण्यावर काटा कंटेनर्सचा भर आहे. हा प्रकल्प विविध कंटेनर आयसोलेशन फ्रेमवर्क, कंटेनर ऑर्केस्ट्रेशन प्लॅटफॉर्म आणि OCI (ओपन कंटेनर इनिशिएटिव्ह), CRI (कंटेनर रनटाइम इंटरफेस), आणि CNI (कंटेनर नेटवर्किंग इंटरफेस) यांसारख्या वैशिष्ट्यांशी सुसंगत लाइटवेट व्हर्च्युअल मशीन बनवण्यासाठी यंत्रणा प्रदान करतो. Docker, Kubernetes, QEMU आणि OpenStack सह एकत्रीकरण उपलब्ध आहेत.
कंटेनर व्यवस्थापन प्रणालीसह एकत्रीकरण कंटेनर व्यवस्थापनाचे अनुकरण करणारे स्तर वापरून साध्य केले जाते, जी जीआरपीसी इंटरफेस आणि विशेष प्रॉक्सीद्वारे, वर्च्युअल मशीनमधील नियंत्रण एजंटमध्ये प्रवेश करते. व्हर्च्युअल वातावरणात, जे हायपरवाइजरद्वारे लाँच केले जाते, विशेषत: ऑप्टिमाइझ केलेले लिनक्स कर्नल वापरले जाते, ज्यामध्ये फक्त आवश्यक वैशिष्ट्यांचा किमान संच असतो.
हायपरवाइजर म्हणून, QEMU टूलकिटसह ड्रॅगनबॉल सँडबॉक्स (कंटेनरसाठी ऑप्टिमाइझ केलेली KVM आवृत्ती) चा वापर समर्थित आहे, तसेच फायरक्रॅकर आणि क्लाउड हायपरवाइजर. सिस्टम वातावरणात इनिशिएलायझेशन डिमन आणि एजंट समाविष्ट आहे. एजंट कुबरनेटसाठी डॉकर आणि CRI साठी OCI फॉरमॅटमध्ये वापरकर्ता-परिभाषित कंटेनर प्रतिमा चालवतो. डॉकरच्या संयोगाने वापरल्यास, प्रत्येक कंटेनरसाठी स्वतंत्र आभासी मशीन तयार केली जाते, उदा. हायपरवाइजर-लाँच केलेले वातावरण कंटेनर नेस्ट करण्यासाठी वापरले जाते.
मेमरी वापर कमी करण्यासाठी, DAX यंत्रणा वापरली जाते (ब्लॉक डिव्हाइस स्तर न वापरता पृष्ठ कॅशे बायपास करून FS वर थेट प्रवेश), आणि KSM (कर्नल सेमपेज मर्जिंग) तंत्रज्ञानाचा वापर समान मेमरी क्षेत्रे काढण्यासाठी केला जातो, जे होस्ट सिस्टम संसाधने सामायिक करण्यास अनुमती देते. आणि भिन्न अतिथी प्रणालींशी जोडणे एक सामान्य प्रणाली पर्यावरण टेम्पलेट.
नवीन आवृत्तीमध्ये:
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
स्त्रोत: opennet.ru