Keluaran projek Kata Containers 3.2 telah diterbitkan, membangunkan timbunan untuk mengatur pelaksanaan kontena menggunakan pengasingan berdasarkan mekanisme virtualisasi sepenuhnya. Projek ini dicipta oleh Intel dan Hyper dengan menggabungkan Clear Containers dan teknologi runV. Kod projek ditulis dalam Go dan Rust, dan diedarkan di bawah lesen Apache 2.0. Pembangunan projek itu diawasi oleh kumpulan kerja yang diwujudkan di bawah naungan organisasi bebas OpenStack Foundation, yang merangkumi syarikat seperti Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE dan ZTE .
Kata adalah berdasarkan masa jalan, yang membolehkan anda mencipta mesin maya padat yang dijalankan menggunakan hypervisor penuh, dan bukannya menggunakan bekas tradisional yang menggunakan kernel Linux biasa dan diasingkan menggunakan ruang nama dan cgroup. Penggunaan mesin maya membolehkan anda mencapai tahap keselamatan yang lebih tinggi yang melindungi daripada serangan yang disebabkan oleh eksploitasi kelemahan dalam kernel Linux.
Kata Containers memberi tumpuan kepada penyepaduan ke dalam infrastruktur pengasingan kontena sedia ada dengan keupayaan untuk menggunakan mesin maya yang serupa untuk meningkatkan perlindungan bekas tradisional. Projek ini menyediakan mekanisme untuk memastikan keserasian mesin maya ringan dengan pelbagai infrastruktur pengasingan kontena, platform orkestrasi kontena dan spesifikasi seperti OCI (Inisiatif Kontena Terbuka), CRI (Antara Muka Masa Laluan Kontena) dan CNI (Antara Muka Rangkaian Kontena). Alat tersedia untuk penyepaduan dengan Docker, Kubernetes, QEMU dan OpenStack.
Penyepaduan dengan sistem pengurusan kontena dicapai menggunakan lapisan yang menyerupai pengurusan kontena, yang mengakses ejen pengurusan dalam mesin maya melalui antara muka gRPC dan proksi khas. Di dalam persekitaran maya, yang dilancarkan oleh hypervisor, kernel Linux yang dioptimumkan khas digunakan, mengandungi hanya set minimum keupayaan yang diperlukan.
Sebagai hypervisor, ia menyokong penggunaan Dragonball Sandbox (edisi KVM yang dioptimumkan untuk bekas) dengan kit alat QEMU, serta Firecracker dan Cloud Hypervisor. Persekitaran sistem termasuk daemon permulaan dan ejen. Ejen menyediakan pelaksanaan imej kontena yang ditentukan pengguna dalam format OCI untuk Docker dan CRI untuk Kubernetes. Apabila digunakan bersama Docker, mesin maya yang berasingan dicipta untuk setiap bekas, i.e. Persekitaran yang berjalan di atas hipervisor digunakan untuk pelancaran bekas bersarang.
Untuk mengurangkan penggunaan memori, mekanisme DAX digunakan (akses terus ke sistem fail, memintas cache halaman tanpa menggunakan tahap peranti blok), dan untuk menyahduplikasi kawasan memori yang sama, teknologi KSM (Kernel Samepage Merging) digunakan, yang membolehkan anda untuk mengatur perkongsian sumber sistem hos dan menyambung ke sistem tetamu yang berbeza berkongsi templat persekitaran sistem yang sama.
Dalam versi baharu:
- Sebagai tambahan kepada sokongan untuk seni bina AMD64 (x86_64), keluaran disediakan untuk seni bina ARM64 (Aarch64) dan s390 (IBM Z). Sokongan untuk seni bina ppc64le (IBM Power) sedang dibangunkan.
- Untuk mengatur akses kepada imej kontena, sistem fail Nydus 2.2.0 digunakan, yang menggunakan pengalamatan kandungan untuk kerjasama yang cekap dengan imej standard. Nydus menyokong pemuatan imej secara on-the-fly (muat turun hanya apabila diperlukan), menyediakan penduadua data pendua dan boleh menggunakan hujung belakang yang berbeza untuk storan sebenar. Keserasian POSIX disediakan (sama dengan Composefs, pelaksanaan Nydus menggabungkan keupayaan OverlayFS dengan modul EROFS atau FUSE).
- Pengurus mesin maya Dragonball telah disepadukan ke dalam struktur utama projek Kontena Kata, yang kini akan dibangunkan dalam repositori biasa.
- Fungsi penyahpepijatan telah ditambahkan pada utiliti kata-ctl untuk menyambung ke mesin maya dari persekitaran hos.
- Keupayaan pengurusan GPU telah diperluaskan dan sokongan telah ditambah untuk memajukan GPU ke bekas untuk pengkomputeran sulit (Bekas Sulit), yang menyediakan penyulitan data, ingatan dan keadaan pelaksanaan untuk perlindungan sekiranya berlaku kompromi terhadap persekitaran hos atau hipervisor.
- Subsistem untuk mengurus peranti yang digunakan dalam bekas atau persekitaran kotak pasir telah ditambahkan pada Runtime-rs. Menyokong kerja dengan vfio, blok, rangkaian dan jenis peranti lain.
- Keserasian dengan OCI Runtime 1.0.2 dan Kubernetes 1.23.1 disediakan.
- Adalah disyorkan untuk menggunakan keluaran 6.1.38 dengan patch sebagai kernel Linux.
- Pembangunan telah dipindahkan daripada menggunakan sistem penyepaduan berterusan Jenkins kepada Tindakan GitHub.
Sumber: opennet.ru