После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
Ката Цонтаинерс је фокусиран на интеграцију у постојеће инфраструктуре за изолацију контејнера са могућношћу коришћења сличних виртуелних машина за побољшање заштите традиционалних контејнера. Пројекат обезбеђује механизме за обезбеђивање компатибилности лаких виртуелних машина са различитим инфраструктурама за изолацију контејнера, платформама за оркестрацију контејнера и спецификацијама као што су ОЦИ (Опен Цонтаинер Инитиативе), ЦРИ (Цонтаинер Рунтиме Интерфаце) и ЦНИ (Цонтаинер Нетворкинг Интерфаце). Алати су доступни за интеграцију са Доцкер, Кубернетес, КЕМУ и ОпенСтацк.
Интеграција са системима за управљање контејнерима се постиже коришћењем слоја који симулира управљање контејнерима, који приступа агенту за управљање у виртуелној машини преко гРПЦ интерфејса и специјалног проксија. Унутар виртуелног окружења, које покреће хипервизор, користи се посебно оптимизовано језгро Линука, које садржи само минимални скуп неопходних могућности.
Као хипервизор, подржава употребу Драгонбалл Сандбок-а (издање КВМ-а оптимизованог за контејнере) са КЕМУ комплетом алата, као и Фирецрацкер и Цлоуд Хипервисор. Системско окружење укључује иницијализациони демон и агент. Агент обезбеђује извршавање кориснички дефинисаних слика контејнера у ОЦИ формату за Доцкер и ЦРИ за Кубернетес. Када се користи заједно са Доцкер-ом, за сваки контејнер се креира посебна виртуелна машина, тј. Окружење које ради на врху хипервизора се користи за угнежђено покретање контејнера.
Да би се смањила потрошња меморије користи се ДАКС механизам (директан приступ систему датотека, заобилазећи кеш странице без коришћења нивоа блок уређаја), а за уклањање дупликата идентичних меморијских области користи се КСМ (Кернел Самепаге Мергинг) технологија, која вам омогућава за организовање дељења ресурса хост система и повезивање са различитим гостујућим системима деле заједнички шаблон системског окружења.
У новој верзији:
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
Извор: опеннет.ру