Pelepasan proyék Kata Containers 3.2 parantos diterbitkeun, anu ngembangkeun tumpukan pikeun ngatur palaksanaan wadah nganggo isolasi dumasar kana mékanisme virtualisasi pinuh. Proyék ieu diciptakeun ku Intel sareng Hyper ku ngagabungkeun Clear Containers sareng téknologi runV. Kodeu proyék ditulis dina Go jeung Rust, sarta disebarkeun dina lisénsi Apache 2.0. Ngembangkeun proyék ieu diawaskeun ku grup kerja anu didamel dina naungan organisasi independen OpenStack Foundation, anu kalebet perusahaan sapertos Canonical, China Mobile, Dell / EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE sareng ZTE. .
Kata dumasar kana runtime, nu ngidinan Anjeun pikeun nyieun mesin virtual kompak nu ngajalankeun maké hypervisor pinuh, tinimbang ngagunakeun wadahna tradisional nu make kernel Linux Ubuntu umum tur diisolasi maké namespaces na cgroups. Pamakéan mesin virtual ngamungkinkeun anjeun pikeun ngahontal tingkat kaamanan anu langkung luhur anu ngajagaan tina serangan anu disababkeun ku eksploitasi kerentanan dina kernel Linux.
Kata Containers museurkeun kana integrasi kana infrastruktur isolasi wadah anu tos aya kalayan kamampuan ngagunakeun mesin virtual anu sami pikeun ningkatkeun panyalindungan wadah tradisional. Proyék nyadiakeun mékanisme pikeun mastikeun kasaluyuan mesin virtual lightweight jeung sagala rupa infrastruktur isolasi wadahna, platform orchestration wadahna jeung spésifikasi kayaning OCI (Open Container Initiative), CRI (Container Runtime Interface) jeung CNI (Container Networking Interface). Parabot sayogi pikeun integrasi sareng Docker, Kubernetes, QEMU sareng OpenStack.
Integrasi jeung sistem manajemen wadahna kahontal ngagunakeun lapisan nu simulates manajemén wadahna, nu ngakses agén menata dina mesin virtual ngaliwatan panganteur gRPC sarta proxy husus. Di jero lingkungan maya, anu diluncurkeun ku hypervisor, kernel Linux anu dioptimalkeun khusus dianggo, ngan ngandung set minimum kamampuan anu diperyogikeun.
Salaku hypervisor a, ngarojong pamakéan Dragonball Sandbox (édisi KVM dioptimalkeun pikeun wadahna) kalawan toolkit QEMU, kitu ogé Firecracker na Cloud Hypervisor. Lingkungan sistem kalebet daemon inisialisasi sareng agén. Agén nyayogikeun palaksanaan gambar wadahna anu ditetepkeun ku pangguna dina format OCI pikeun Docker sareng CRI pikeun Kubernetes. Lamun dipaké ditéang jeung Docker, dijieun mesin virtual misah pikeun tiap wadahna, i.e. Lingkungan ngajalankeun on luhureun hypervisor dipaké pikeun nested peluncuran wadahna.
Pikeun ngirangan pamakean mémori, mékanisme DAX dianggo (aksés langsung kana sistem file, ngalangkungan cache halaman tanpa nganggo tingkat alat blok), sareng pikeun nga-deduplicate daérah mémori anu sami, téknologi KSM (Kernel Samepage Merging), anu ngamungkinkeun anjeun pikeun ngirangan konsumsi mémori. pikeun ngatur babagi sumberdaya sistem host tur sambungkeun ka sistem tamu béda babagi template lingkungan sistem umum.
Dina versi anyar:
- Salian ngadukung arsitéktur AMD64 (x86_64), sékrési disayogikeun pikeun arsitéktur ARM64 (Aarch64) sareng s390 (IBM Z). Rojongan pikeun arsitéktur ppc64le (IBM Power) nuju dikembangkeun.
- Pikeun ngatur aksés ka gambar wadahna, sistem file Nydus 2.2.0 dipaké, anu ngagunakeun alamat eusi pikeun kolaborasi efisien jeung gambar baku. Nydus ngarojong loading on-the-fly gambar (undeur ngan lamun diperlukeun), nyadiakeun deduplication data duplikat, sarta bisa ngagunakeun backends béda pikeun neundeun sabenerna. Kasaluyuan POSIX disayogikeun (sarupa sareng Composefs, palaksanaan Nydus ngagabungkeun kamampuan OverlayFS sareng modul EROFS atanapi FUSE).
- Manajer mesin virtual Dragonball parantos diintegrasikeun kana struktur utama proyék Kata Containers, anu ayeuna bakal dikembangkeun dina gudang umum.
- A fungsi debugging geus ditambahkeun kana utilitas kata-ctl pikeun nyambungkeun ka mesin virtual tina lingkungan host.
- kamampuhan manajemén GPU geus dimekarkeun sarta rojongan geus ditambahkeun pikeun diteruskeun GPUs kana wadahna pikeun komputasi rahasia (Wadahna Rahasia), nu nyadiakeun enkripsi data, memori jeung kaayaan palaksanaan pikeun panangtayungan dina acara kompromi lingkungan host atanapi hypervisor.
- Subsistem pikeun ngatur alat-alat anu dianggo dina wadah atanapi lingkungan kotak pasir parantos ditambah kana Runtime-rs. Ngarojong damel sareng vfio, blok, jaringan sareng jinis alat anu sanés.
- Kasaluyuan jeung OCI Runtime 1.0.2 sarta Kubernetes 1.23.1 disadiakeun.
- Disarankeun make release 6.1.38 kalawan patch sakumaha kernel Linux Ubuntu.
- Pangwangunan parantos dialihkeun tina ngagunakeun sistem integrasi kontinyu Jenkins ka GitHub Actions.
sumber: opennet.ru