Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Kata hija bbażata fuq runtime, li tippermettilek toħloq magni virtwali kompatti li jaħdmu bl-użu ta 'hypervisor sħiħ, minflok ma tuża kontenituri tradizzjonali li jużaw kernel Linux komuni u huma iżolati bl-użu ta' namespaces u cgroups. L-użu ta 'magni virtwali jippermettilek tikseb livell ogħla ta' sigurtà li jipproteġi kontra attakki kkawżati mill-isfruttament ta 'vulnerabbiltajiet fil-kernel tal-Linux.
Kata Containers huwa ffukat fuq l-integrazzjoni f'infrastrutturi eżistenti ta 'iżolament ta' kontenituri bil-kapaċità li jużaw magni virtwali simili biex itejbu l-protezzjoni ta 'kontenituri tradizzjonali. Il-proġett jipprovdi mekkaniżmi biex tiġi żgurata l-kompatibilità ta 'magni virtwali ħfief ma' infrastrutturi varji ta 'iżolament tal-kontejners, pjattaformi ta' orkestrazzjoni tal-kontejners u speċifikazzjonijiet bħal OCI (Open Container Initiative), CRI (Container Runtime Interface) u CNI (Container Networking Interface). Għodod huma disponibbli għall-integrazzjoni ma 'Docker, Kubernetes, QEMU u OpenStack.
L-integrazzjoni mas-sistemi ta 'ġestjoni tal-kontejners tinkiseb permezz ta' saff li jissimula l-ġestjoni tal-kontejners, li jaċċessa l-aġent ta 'ġestjoni fil-magna virtwali permezz tal-interface gRPC u prokura speċjali. Ġewwa l-ambjent virtwali, li huwa mniedi mill-hypervisor, jintuża kernel Linux ottimizzat apposta, li fih biss is-sett minimu ta 'kapaċitajiet meħtieġa.
Bħala hypervisor, jappoġġja l-użu ta 'Dragonball Sandbox (edizzjoni ta' KVM ottimizzata għal kontenituri) mal-kit ta 'għodda QEMU, kif ukoll Firecracker u Cloud Hypervisor. L-ambjent tas-sistema jinkludi daemon tal-inizjalizzazzjoni u aġent. L-aġent jipprovdi eżekuzzjoni ta 'immaġini ta' kontenitur definiti mill-utent f'format OCI għal Docker u CRI għal Kubernetes. Meta tintuża flimkien ma 'Docker, tinħoloq magna virtwali separata għal kull kontenitur, i.e. L-ambjent li jaħdem fuq l-hypervisor jintuża għat-tnedija nested ta 'kontenituri.
Biex jitnaqqas il-konsum tal-memorja, jintuża l-mekkaniżmu DAX (aċċess dirett għas-sistema tal-fajls, billi jinjora l-cache tal-paġna mingħajr ma tuża l-livell tal-apparat tal-blokk), u biex jiġu deduplikati żoni identiċi tal-memorja, tintuża teknoloġija KSM (Kernel Samepage Merging), li tippermettilek biex torganizza l-kondiviżjoni tar-riżorsi tas-sistema ospitanti u tikkonnettja ma 'sistemi mistiedna differenti jaqsmu mudell ta' ambjent tas-sistema komuni.
Fil-verżjoni l-ġdida:
- Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
- Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
- В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
- В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
- Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
- В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
- Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.
Sors: opennet.ru