Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Kata သည် အများသုံး Linux kernel ကိုအသုံးပြုပြီး namespaces နှင့် cgroups များကို သီးခြားခွဲထုတ်ထားသည့် ရိုးရာကွန်တိန်နာများကို အသုံးပြုမည့်အစား hypervisor အပြည့်အစုံကို အသုံးပြု၍ အလုပ်လုပ်သည့် ကျစ်လစ်သော virtual machines များကို ဖန်တီးနိုင်စေမည့် Runtime ကို အခြေခံထားသည်။ virtual machines များကိုအသုံးပြုခြင်းသည် Linux kernel ရှိ အားနည်းချက်များကို အသုံးချခြင်းကြောင့် ဖြစ်ပေါ်လာသော တိုက်ခိုက်မှုများကို ကာကွယ်ပေးသည့် ပိုမိုမြင့်မားသော လုံခြုံရေးအဆင့်ကို ရရှိစေမည်ဖြစ်သည်။
Kata Containers သည် ရိုးရာကွန်တိန်နာများ၏ အကာအကွယ်ကို မြှင့်တင်ရန် အလားတူ virtual machines များကို အသုံးပြုနိုင်သည့် လက်ရှိ ကွန်တိန်နာ အထီးကျန်အခြေခံအဆောက်အအုံများအတွင်းသို့ ပေါင်းစည်းခြင်းအပေါ် အာရုံစိုက်ထားသည်။ ပရောဂျက်သည် အမျိုးမျိုးသော ကွန်တိန်နာအထီးကျန်အခြေခံအဆောက်အအုံများ၊ ကွန်တိန်နာစုစည်းမှုပလပ်ဖောင်းများနှင့် OCI (Open Container Initiative)၊ CRI (Container Runtime Interface) နှင့် CNI (Container Networking Interface) ကဲ့သို့သော ပေါ့ပါးသော virtual machines များကို လိုက်ဖက်မှုရှိစေရန်အတွက် ယန္တရားများကို ပံ့ပိုးပေးပါသည်။ ကိရိယာများကို Docker၊ Kubernetes၊ QEMU နှင့် OpenStack တို့နှင့် ပေါင်းစည်းရန်အတွက် ရနိုင်ပါသည်။
ကွန်တိန်နာစီမံခန့်ခွဲမှုစနစ်များနှင့် ပေါင်းစည်းခြင်းအား gRPC မျက်နှာပြင်နှင့် အထူးပရောက်စီမှတဆင့် virtual machine အတွင်းရှိ စီမံခန့်ခွဲမှုအေးဂျင့်ကို ဝင်ရောက်သည့် ကွန်တိန်နာစီမံခန့်ခွဲမှုကို အတုယူသည့် အလွှာကို အသုံးပြု၍ အောင်မြင်သည်။ hypervisor မှစတင်သည့် virtual ဝန်းကျင်အတွင်းတွင်၊ လိုအပ်သောစွမ်းရည်အနိမ့်ဆုံးအစုများသာပါရှိသော အထူးကောင်းမွန်သော Linux kernel ကိုအသုံးပြုထားသည်။
hypervisor အနေဖြင့် QEMU ကိရိယာအစုံ၊ Firecracker နှင့် Cloud Hypervisor တို့နှင့်အတူ Dragonball Sandbox (ကွန်တိန်နာများအတွက် အကောင်းဆုံးဖြစ်အောင်ပြုလုပ်ထားသော KVM ထုတ်ဝေမှု) ကို ပံ့ပိုးပေးပါသည်။ စနစ်ပတ်ဝန်းကျင်တွင် ကနဦးလုပ်ဆောင်မှု daemon နှင့် အေးဂျင့်တစ်ခုပါဝင်သည်။ အေးဂျင့်သည် Kubernetes အတွက် Docker နှင့် CRI အတွက် OCI ဖော်မတ်တွင် အသုံးပြုသူသတ်မှတ်ထားသော ကွန်တိန်နာပုံများကို လုပ်ဆောင်ပေးပါသည်။ Docker နှင့် တွဲဖက်အသုံးပြုသောအခါ၊ ကွန်တိန်နာတစ်ခုစီအတွက် သီးခြား virtual machine တစ်ခုကို ဖန်တီးထားသည်၊ ဆိုလိုသည်မှာ၊ hypervisor ထိပ်တွင် လည်ပတ်နေသော ပတ်ဝန်းကျင်ကို ကွန်တိန်နာများ အသိုက်အမြုံ လွှင့်တင်ရန်အတွက် အသုံးပြုသည်။
မမ်မိုရီသုံးစွဲမှုကို လျှော့ချရန်အတွက် DAX ယန္တရားအား (ဖိုင်စနစ်သို့ တိုက်ရိုက်ဝင်ရောက်ခွင့်၊ ပိတ်ဆို့ကိရိယာအဆင့်ကို အသုံးမပြုဘဲ စာမျက်နှာ ကက်ရှ်ကို ကျော်ဖြတ်ခြင်း) နှင့် ထပ်တူထပ်တူမှတ်ဉာဏ်ဧရိယာများကို ပွားရန်အတွက် KSM (Kernel Samepage Merging) နည်းပညာကို အသုံးပြုသည်၊ လက်ခံသူစနစ်ရင်းမြစ်များ မျှဝေခြင်းကို စုစည်းရန်နှင့် မတူညီသော ဧည့်သည်စနစ်များသို့ ချိတ်ဆက်ရန် ဘုံစနစ်ပတ်ဝန်းကျင် နမူနာပုံစံကို မျှဝေပါ။
ဗားရှင်းအသစ်တွင်-
- Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
- Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
- В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
- В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
- Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
- В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
- Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.
source: opennet.ru