virtualization-based isolation ဖြင့် Kata Containers 3.2 ကို ဖြန့်ချိသည်။

ပြည့်စုံသော virtualization ယန္တရားများကို အခြေခံ၍ သီးခြားခွဲထုတ်ခြင်းကို အသုံးပြု၍ ကွန်တိန်နာလုပ်ဆောင်မှုကို စုစည်းရန်အတွက် အစုအဝေးတစ်ခုကို ဖော်ဆောင်သည့် Kata Containers 3.2 ကို ထုတ်ဝေလိုက်ပါပြီ။ ပရောဂျက်ကို Intel နှင့် Hyper တို့က Clear Containers နှင့် runV နည်းပညာများ ပေါင်းစပ်ခြင်းဖြင့် ဖန်တီးခဲ့ခြင်းဖြစ်သည်။ ပရောဂျက်ကုဒ်ကို Go and Rust ဖြင့် ရေးသားထားပြီး Apache 2.0 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။ Canonical၊ China Mobile၊ Dell/EMC၊ EasyStack၊ Google၊ Huawei၊ NetApp၊ Red Hat၊ SUSE နှင့် ZTE ကဲ့သို့သော ကုမ္ပဏီများမှ ပါဝင်မှုဖြင့် လွတ်လပ်သော OpenStack ဖောင်ဒေးရှင်း၏ ပံ့ပိုးကူညီမှုဖြင့် ဖန်တီးထားသော လုပ်ငန်းအဖွဲ့မှ စီမံကိန်းဖွံ့ဖြိုးတိုးတက်ရေးကို ကြီးကြပ်ပါသည်။

Kata သည် kernel တစ်ခုတည်းကို အသုံးပြုသည့် ရိုးရာ containers များကို အသုံးမပြုဘဲ full-fledged hypervisor ပေါ်တွင် လည်ပတ်နေသော compact virtual machine များ ဖန်တီးနိုင်စေမည့် runtime ပေါ်တွင် အခြေခံထားသည်။ Linux နှင့် namespace များနှင့် cgroup များကို အသုံးပြု၍ သီးခြားခွဲထုတ်ထားသည်။ virtual စက်များ kernel အားနည်းချက်များကို အသုံးချခြင်းကြောင့် ဖြစ်ပေါ်လာသော တိုက်ခိုက်မှုများမှ ကာကွယ်ပေးသည့် ပိုမိုမြင့်မားသော လုံခြုံရေးအဆင့်ကို ခွင့်ပြုသည် Linux.

Kata Containers သည် ရိုးရာကွန်တိန်နာများ၏ အကာအကွယ်ကို မြှင့်တင်ရန် အလားတူ virtual machines များကို အသုံးပြုနိုင်သည့် လက်ရှိ ကွန်တိန်နာ အထီးကျန်အခြေခံအဆောက်အအုံများအတွင်းသို့ ပေါင်းစည်းခြင်းအပေါ် အာရုံစိုက်ထားသည်။ ပရောဂျက်သည် အမျိုးမျိုးသော ကွန်တိန်နာအထီးကျန်အခြေခံအဆောက်အအုံများ၊ ကွန်တိန်နာစုစည်းမှုပလပ်ဖောင်းများနှင့် OCI (Open Container Initiative)၊ CRI (Container Runtime Interface) နှင့် CNI (Container Networking Interface) ကဲ့သို့သော ပေါ့ပါးသော virtual machines များကို လိုက်ဖက်မှုရှိစေရန်အတွက် ယန္တရားများကို ပံ့ပိုးပေးပါသည်။ ကိရိယာများကို Docker၊ Kubernetes၊ QEMU နှင့် OpenStack တို့နှင့် ပေါင်းစည်းရန်အတွက် ရနိုင်ပါသည်။

gRPC interface နှင့် dedicated proxy မှတစ်ဆင့် virtual machine ရှိ management agent နှင့် ဆက်သွယ်သည့် container management ကို တုပသည့် layer တစ်ခုကို အသုံးပြု၍ container management systems များနှင့် ပေါင်းစပ်ခြင်းကို ရရှိသည်။ virtual environment အတွင်းတွင် hypervisor မှ စတင်၍ အထူးပြုလုပ်ထားသော kernel ကို အသုံးပြုသည်။ Linuxလိုအပ်သော အနည်းဆုံးအင်္ဂါရပ်များသာ ပါဝင်သည်။

ပံ့ပိုးပေးထားသော hypervisor မှာ QEMU ပါရှိသော Dragonball Sandbox (container-optimized KVM edition) အပြင် Firecracker နှင့် Cloud Hypervisor တို့ဖြစ်သည်။ system environment တွင် init daemon နှင့် agent တစ်ခု ပါဝင်သည်။ agent သည် Docker အတွက် OCI format နှင့် Kubernetes အတွက် CRI format ဖြင့် user-defined container image များကို execute လုပ်နိုင်သည်။ Docker နှင့် တွဲဖက်အသုံးပြုသောအခါ container တစ်ခုစီအတွက် သီးခြား instance တစ်ခုကို ဖန်တီးပေးသည်။ virtual machine၊ ဆိုလိုသည်မှာ hypervisor ၏ထိပ်တွင် လည်ပတ်နေသောပတ်ဝန်းကျင်ကို containers များ၏ nested launch အတွက်အသုံးပြုသည်။

မမ်မိုရီသုံးစွဲမှုကို လျှော့ချရန်အတွက် DAX ယန္တရားအား (ဖိုင်စနစ်သို့ တိုက်ရိုက်ဝင်ရောက်ခွင့်၊ ပိတ်ဆို့ကိရိယာအဆင့်ကို အသုံးမပြုဘဲ စာမျက်နှာ ကက်ရှ်ကို ကျော်ဖြတ်ခြင်း) နှင့် ထပ်တူထပ်တူမှတ်ဉာဏ်ဧရိယာများကို ပွားရန်အတွက် KSM (Kernel Samepage Merging) နည်းပညာကို အသုံးပြုသည်၊ လက်ခံသူစနစ်ရင်းမြစ်များ မျှဝေခြင်းကို စုစည်းရန်နှင့် မတူညီသော ဧည့်သည်စနစ်များသို့ ချိတ်ဆက်ရန် ဘုံစနစ်ပတ်ဝန်းကျင် နမူနာပုံစံကို မျှဝေပါ။

ဗားရှင်းအသစ်တွင်-

• AMD64 (x86_64) ဗိသုကာအတွက် ပံ့ပိုးမှုအပြင်၊ ARM64 (Aarch64) နှင့် s390 (IBM Z) ဗိသုကာများအတွက် ထုတ်ဝေမှုများကို ယခု ပံ့ပိုးပေးထားပါသည်။ ppc64le (IBM Power) ဗိသုကာလက်ရာအတွက် အထောက်အပံ့ကို ဖော်ဆောင်နေဆဲဖြစ်သည်။
• Nydus 2.2.0 ဖိုင်စနစ်သည် ကွန်တိန်နာပုံများကို ဝင်ရောက်ကြည့်ရှုနိုင်ရန် စုစည်းရန် အသုံးပြုပါသည်။ ၎င်းသည် စံပုံများနှင့် ထိရောက်သော ပူးပေါင်းဆောင်ရွက်မှုအတွက် အကြောင်းအရာအခြေခံလိပ်စာကို အသုံးပြုသည်။ Nydus သည် on-the-fly image loading ကို ပံ့ပိုးပေးသည် (လိုအပ်မှသာ တင်ပေးသည်)၊ မိတ္တူပွားနေသော ဒေတာကို ဖြတ်တောက်ပေးကာ အမှန်တကယ် သိုလှောင်မှုအတွက် မတူညီသော backend များကို အသုံးပြုနိုင်ပါသည်။ POSIX လိုက်ဖက်ညီမှုအား ပံ့ပိုးပေးသည် (Composefs နှင့်ဆင်တူသည်၊ Nydus အကောင်အထည်ဖော်မှုသည် OverlayFS နှင့် EROFS သို့မဟုတ် FUSE မော်ဂျူးနှင့်ပေါင်းစပ်သည်)။
• Dragonball virtual machine manager ကို core Kata Containers ပရောဂျက်တွင် ပေါင်းစည်းထားပြီး ယခုအခါ မျှဝေထားသော သိုလှောင်ရုံတစ်ခုတွင် ဖွံ့ဖြိုးတိုးတက်လာမည်ဖြစ်သည်။
• host ပတ်ဝန်းကျင်မှ virtual machine သို့ချိတ်ဆက်ရန်အတွက် အမှားရှာပြင်ခြင်းလုပ်ဆောင်ချက်ကို kata-ctl utility တွင် ထည့်သွင်းထားသည်။
• GPU စီမံခန့်ခွဲမှုစွမ်းရည်များကို ချဲ့ထွင်ပြီး host သို့မဟုတ် hypervisor အပေးအယူလုပ်ခြင်းမှ ကာကွယ်ရန် ဒေတာ၊ မှတ်ဉာဏ်နှင့် ကုဒ်ဝှက်ခြင်းတို့ကို ပံ့ပိုးပေးသည့် လျှို့ဝှက်ကွန်တိန်နာများအတွင်းသို့ GPU များပေးပို့ခြင်းအတွက် ပံ့ပိုးမှုထည့်သွင်းထားပါသည်။
• ယခု Runtime-rs တွင် ကွန်တိန်နာများနှင့် sandbox ပတ်ဝန်းကျင်များအတွက် စက်ပစ္စည်းစီမံခန့်ခွဲမှုခွဲစနစ်တစ်ခု ပါဝင်သည်။ VFIO၊ ပိတ်ဆို့ခြင်း၊ ကွန်ရက်နှင့် အခြားစက်ပစ္စည်းအမျိုးအစားများအတွက် ပံ့ပိုးမှု ယခုရရှိနိုင်ပါပြီ။
• OCI Runtime 1.0.2 နှင့် Kubernetes 1.23.1 တို့နှင့် လိုက်ဖက်မှုရှိသည်ကို အာမခံပါသည်။
• အဓိကအချက်အနေနဲ့ Linux patch များနှင့်အတူ 6.1.38 ဗားရှင်းကို အသုံးပြုရန် အကြံပြုအပ်ပါသည်။
• ဖွံ့ဖြိုးတိုးတက်မှုကို Jenkins စဉ်ဆက်မပြတ်ပေါင်းစည်းမှုစနစ်မှ GitHub လုပ်ဆောင်ချက်များသို့ ရွှေ့ပြောင်းထားသည်။

source: opennet.ru