De release van het Kata Containers 3.2-project is gepubliceerd, waarin een stapel wordt ontwikkeld voor het organiseren van de uitvoering van containers met behulp van isolatie op basis van volwaardige virtualisatiemechanismen. Het project is gemaakt door Intel en Hyper door Clear Containers en runV-technologieën te combineren. De projectcode is geschreven in Go en Rust en wordt gedistribueerd onder de Apache 2.0-licentie. De ontwikkeling van het project staat onder toezicht van een werkgroep die is opgericht onder auspiciën van de onafhankelijke organisatie OpenStack Foundation, waarin bedrijven als Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE en ZTE zitting hebben. .
Kata is gebaseerd op runtime, waardoor je compacte virtuele machines kunt maken die draaien met een volledige hypervisor, in plaats van traditionele containers te gebruiken die een gewone Linux-kernel gebruiken en geïsoleerd zijn met behulp van naamruimten en cgroups. Door het gebruik van virtuele machines kunt u een hoger beveiligingsniveau bereiken dat bescherming biedt tegen aanvallen veroorzaakt door misbruik van kwetsbaarheden in de Linux-kernel.
Kata Containers is gericht op integratie in bestaande containerisolatie-infrastructuren met de mogelijkheid om vergelijkbare virtuele machines te gebruiken om de bescherming van traditionele containers te verbeteren. Het project biedt mechanismen om de compatibiliteit van lichtgewicht virtuele machines met verschillende containerisolatie-infrastructuren, containerorkestratieplatforms en specificaties zoals OCI (Open Container Initiative), CRI (Container Runtime Interface) en CNI (Container Networking Interface) te garanderen. Er zijn tools beschikbaar voor integratie met Docker, Kubernetes, QEMU en OpenStack.
Integratie met containerbeheersystemen wordt bereikt met behulp van een laag die containerbeheer simuleert, die toegang krijgt tot de beherende agent in de virtuele machine via de gRPC-interface en een speciale proxy. Binnen de virtuele omgeving, die wordt gelanceerd door de hypervisor, wordt een speciaal geoptimaliseerde Linux-kernel gebruikt, die slechts de minimale set noodzakelijke mogelijkheden bevat.
Als hypervisor ondersteunt het het gebruik van Dragonball Sandbox (een editie van KVM geoptimaliseerd voor containers) met de QEMU-toolkit, evenals Firecracker en Cloud Hypervisor. De systeemomgeving omvat een initialisatiedaemon en een agent. De agent zorgt voor de uitvoering van door de gebruiker gedefinieerde containerimages in OCI-indeling voor Docker en CRI voor Kubernetes. Bij gebruik in combinatie met Docker wordt voor elke container een aparte virtuele machine gemaakt, d.w.z. De omgeving die bovenop de hypervisor draait, wordt gebruikt voor het genest starten van containers.
Om het geheugengebruik te verminderen, wordt het DAX-mechanisme gebruikt (directe toegang tot het bestandssysteem, het omzeilen van de paginacache zonder gebruik te maken van het blokapparaatniveau) en om identieke geheugengebieden te ontdubbelen, wordt KSM-technologie (Kernel Samepage Merging) gebruikt, waarmee u om het delen van hostsysteembronnen te organiseren en verbinding te maken met verschillende gastsystemen, deel een gemeenschappelijke systeemomgevingssjabloon.
In de nieuwe versie:
- Naast ondersteuning voor de AMD64 (x86_64) architectuur, zijn er releases beschikbaar voor de ARM64 (Aarch64) en s390 (IBM Z) architecturen. Ondersteuning voor de ppc64le-architectuur (IBM Power) is in ontwikkeling.
- Om de toegang tot containerimages te organiseren, wordt het Nydus 2.2.0-bestandssysteem gebruikt, dat gebruik maakt van contentadressering voor efficiënte samenwerking met standaardimages. Nydus ondersteunt het on-the-fly laden van afbeeldingen (downloadt alleen wanneer dat nodig is), biedt deduplicatie van dubbele gegevens en kan verschillende backends gebruiken voor daadwerkelijke opslag. Er is POSIX-compatibiliteit geboden (vergelijkbaar met Composefs combineert de Nydus-implementatie de mogelijkheden van OverlayFS met de EROFS- of FUSE-module).
- De Dragonball virtuele machinemanager is geïntegreerd in de hoofdstructuur van het Kata Containers-project, dat nu in een gemeenschappelijke repository zal worden ontwikkeld.
- Er is een foutopsporingsfunctie toegevoegd aan het hulpprogramma kata-ctl om verbinding te maken met een virtuele machine vanuit de hostomgeving.
- De GPU-beheermogelijkheden zijn uitgebreid en er is ondersteuning toegevoegd voor het doorsturen van GPU's naar containers voor vertrouwelijk computergebruik (Confidential Container), die zorgt voor versleuteling van gegevens, geheugen en uitvoeringsstatus ter bescherming in het geval van een compromittering van de hostomgeving of hypervisor.
- Aan Runtime-rs is een subsysteem toegevoegd voor het beheren van apparaten die worden gebruikt in containers of sandbox-omgevingen. Ondersteunt het werken met vfio, block, netwerk en andere soorten apparaten.
- Compatibiliteit met OCI Runtime 1.0.2 en Kubernetes 1.23.1 is aanwezig.
- Het wordt aanbevolen om release 6.1.38 met patches te gebruiken als de Linux-kernel.
- De ontwikkeling is overgedragen van het gebruik van het continue integratiesysteem van Jenkins naar GitHub Actions.
Bron: opennet.ru