После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
Kata Containers huwa ffukat fuq l-integrazzjoni f'infrastrutturi eżistenti ta 'iżolament ta' kontenituri bil-kapaċità li jużaw magni virtwali simili biex itejbu l-protezzjoni ta 'kontenituri tradizzjonali. Il-proġett jipprovdi mekkaniżmi biex tiġi żgurata l-kompatibilità ta 'magni virtwali ħfief ma' infrastrutturi varji ta 'iżolament tal-kontejners, pjattaformi ta' orkestrazzjoni tal-kontejners u speċifikazzjonijiet bħal OCI (Open Container Initiative), CRI (Container Runtime Interface) u CNI (Container Networking Interface). Għodod huma disponibbli għall-integrazzjoni ma 'Docker, Kubernetes, QEMU u OpenStack.
L-integrazzjoni mas-sistemi ta 'ġestjoni tal-kontejners tinkiseb permezz ta' saff li jissimula l-ġestjoni tal-kontejners, li jaċċessa l-aġent ta 'ġestjoni fil-magna virtwali permezz tal-interface gRPC u prokura speċjali. Ġewwa l-ambjent virtwali, li huwa mniedi mill-hypervisor, jintuża kernel Linux ottimizzat apposta, li fih biss is-sett minimu ta 'kapaċitajiet meħtieġa.
Bħala hypervisor, jappoġġja l-użu ta 'Dragonball Sandbox (edizzjoni ta' KVM ottimizzata għal kontenituri) mal-kit ta 'għodda QEMU, kif ukoll Firecracker u Cloud Hypervisor. L-ambjent tas-sistema jinkludi daemon tal-inizjalizzazzjoni u aġent. L-aġent jipprovdi eżekuzzjoni ta 'immaġini ta' kontenitur definiti mill-utent f'format OCI għal Docker u CRI għal Kubernetes. Meta tintuża flimkien ma 'Docker, tinħoloq magna virtwali separata għal kull kontenitur, i.e. L-ambjent li jaħdem fuq l-hypervisor jintuża għat-tnedija nested ta 'kontenituri.
Biex jitnaqqas il-konsum tal-memorja, jintuża l-mekkaniżmu DAX (aċċess dirett għas-sistema tal-fajls, billi jinjora l-cache tal-paġna mingħajr ma tuża l-livell tal-apparat tal-blokk), u biex jiġu deduplikati żoni identiċi tal-memorja, tintuża teknoloġija KSM (Kernel Samepage Merging), li tippermettilek biex torganizza l-kondiviżjoni tar-riżorsi tas-sistema ospitanti u tikkonnettja ma 'sistemi mistiedna differenti jaqsmu mudell ta' ambjent tas-sistema komuni.
Fil-verżjoni l-ġdida:
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
Sors: opennet.ru