Selepas dua tahun pembangunan, keluaran projek Kata Containers 3.0 telah diterbitkan, membangunkan timbunan untuk mengatur pelaksanaan kontena menggunakan pengasingan berdasarkan mekanisme virtualisasi sepenuhnya. Projek ini dicipta oleh Intel dan Hyper dengan menggabungkan Clear Containers dan teknologi runV. Kod projek ditulis dalam Go dan Rust, dan diedarkan di bawah lesen Apache 2.0. Pembangunan projek itu diawasi oleh kumpulan kerja yang diwujudkan di bawah naungan organisasi bebas OpenStack Foundation, yang merangkumi syarikat seperti Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE dan ZTE .
Di tengah-tengah Kata ialah masa jalan, yang menyediakan keupayaan untuk mencipta mesin maya padat yang berjalan menggunakan hypervisor penuh, dan bukannya menggunakan bekas tradisional yang menggunakan kernel Linux biasa dan diasingkan menggunakan ruang nama dan cgroup. Penggunaan mesin maya membolehkan anda mencapai tahap keselamatan yang lebih tinggi yang melindungi daripada serangan yang disebabkan oleh eksploitasi kelemahan dalam kernel Linux.
Kata Containers memberi tumpuan kepada penyepaduan ke dalam infrastruktur pengasingan kontena sedia ada dengan keupayaan untuk menggunakan mesin maya yang serupa untuk meningkatkan perlindungan bekas tradisional. Projek ini menyediakan mekanisme untuk memastikan keserasian mesin maya ringan dengan pelbagai infrastruktur pengasingan kontena, platform orkestrasi kontena dan spesifikasi seperti OCI (Inisiatif Kontena Terbuka), CRI (Antara Muka Masa Laluan Kontena) dan CNI (Antara Muka Rangkaian Kontena). Alat tersedia untuk penyepaduan dengan Docker, Kubernetes, QEMU dan OpenStack.
Penyepaduan dengan sistem pengurusan kontena dicapai menggunakan lapisan yang menyerupai pengurusan kontena, yang mengakses ejen pengurusan dalam mesin maya melalui antara muka gRPC dan proksi khas. Di dalam persekitaran maya, yang dilancarkan oleh hypervisor, kernel Linux yang dioptimumkan khas digunakan, mengandungi hanya set minimum keupayaan yang diperlukan.
Sebagai hypervisor, ia menyokong penggunaan Dragonball Sandbox (edisi KVM yang dioptimumkan untuk bekas) dengan kit alat QEMU, serta Firecracker dan Cloud Hypervisor. Persekitaran sistem termasuk daemon permulaan dan ejen. Ejen menyediakan pelaksanaan imej kontena yang ditentukan pengguna dalam format OCI untuk Docker dan CRI untuk Kubernetes. Apabila digunakan bersama Docker, mesin maya yang berasingan dicipta untuk setiap bekas, i.e. Persekitaran yang berjalan di atas hipervisor digunakan untuk pelancaran bekas bersarang.
Untuk mengurangkan penggunaan memori, mekanisme DAX digunakan (akses terus ke sistem fail, memintas cache halaman tanpa menggunakan tahap peranti blok), dan untuk menyahduplikasi kawasan memori yang sama, teknologi KSM (Kernel Samepage Merging) digunakan, yang membolehkan anda untuk mengatur perkongsian sumber sistem hos dan menyambung ke sistem tetamu yang berbeza berkongsi templat persekitaran sistem yang sama.
Dalam versi baharu:
- Masa jalan alternatif (runtime-rs) dicadangkan, yang membentuk pengisian bekas, ditulis dalam bahasa Rust (masa jalan yang dibekalkan sebelum ini ditulis dalam bahasa Go). Runtime adalah serasi dengan OCI, CRI-O dan Containerd, membolehkan ia digunakan dengan Docker dan Kubernetes.
- Hipervisor bola naga baharu berdasarkan KVM dan rust-vmm telah dicadangkan.
- Menambah sokongan untuk memajukan akses kepada GPU menggunakan VFIO.
- Menambah sokongan untuk cgroup v2.
- Sokongan untuk menukar tetapan tanpa menukar fail konfigurasi utama telah dilaksanakan dengan menggantikan blok dalam fail berasingan yang terletak dalam direktori "config.d/".
- Komponen karat termasuk perpustakaan baharu untuk berfungsi dengan selamat dengan laluan fail.
- Komponen virtiofsd (ditulis dalam C) telah digantikan dengan virtiofsd-rs (ditulis dalam Rust).
- Sokongan tambahan untuk komponen QEMU kotak pasir.
- QEMU menggunakan API io_uring untuk I/O tak segerak.
- Sokongan untuk sambungan Intel TDX (Sambungan Domain Dipercayai) telah dilaksanakan untuk QEMU dan Cloud-hypervisor.
- Komponen dikemas kini: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux kernel 5.19.2.
Sumber: opennet.ru