После двух лет разработки опубликован выпуск проекта Kata Containers 3.0, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, предоставляющий возможность создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
பாரம்பரிய கொள்கலன்களின் பாதுகாப்பை மேம்படுத்த, ஒத்த மெய்நிகர் இயந்திரங்களைப் பயன்படுத்தும் திறனுடன், தற்போதுள்ள கொள்கலன் தனிமைப்படுத்தப்பட்ட உள்கட்டமைப்புகளுடன் ஒருங்கிணைப்பதில் Kata கொள்கலன்கள் கவனம் செலுத்துகின்றன. பல்வேறு கொள்கலன் தனிமைப்படுத்தல் உள்கட்டமைப்புகள், கொள்கலன் ஆர்கெஸ்ட்ரேஷன் தளங்கள் மற்றும் OCI (திறந்த கொள்கலன் முன்முயற்சி), CRI (கண்டெய்னர் இயக்க நேர இடைமுகம்) மற்றும் CNI (கண்டெய்னர் நெட்வொர்க்கிங் இன்டர்ஃபேஸ்) போன்ற விவரக்குறிப்புகளுடன் இலகுரக மெய்நிகர் இயந்திரங்களின் இணக்கத்தன்மையை உறுதி செய்வதற்கான வழிமுறைகளை இந்தத் திட்டம் வழங்குகிறது. Docker, Kubernetes, QEMU மற்றும் OpenStack உடன் ஒருங்கிணைப்பதற்கான கருவிகள் உள்ளன.
கொள்கலன் மேலாண்மை அமைப்புகளுடன் ஒருங்கிணைப்பு கொள்கலன் நிர்வாகத்தை உருவகப்படுத்தும் ஒரு அடுக்கைப் பயன்படுத்தி அடையப்படுகிறது, இது gRPC இடைமுகம் மற்றும் ஒரு சிறப்பு ப்ராக்ஸி மூலம் மெய்நிகர் கணினியில் நிர்வாக முகவரை அணுகுகிறது. ஹைப்பர்வைசரால் தொடங்கப்பட்ட மெய்நிகர் சூழலின் உள்ளே, சிறப்பாக மேம்படுத்தப்பட்ட லினக்ஸ் கர்னல் பயன்படுத்தப்படுகிறது, தேவையான திறன்களின் குறைந்தபட்ச தொகுப்பு மட்டுமே உள்ளது.
ஹைப்பர்வைசராக, இது QEMU கருவித்தொகுப்புடன் டிராகன்பால் சாண்ட்பாக்ஸ் (கன்டெய்னர்களுக்கு உகந்த KVM இன் பதிப்பு) மற்றும் ஃபாயர்கிராக்கர் மற்றும் கிளவுட் ஹைப்பர்வைசர் ஆகியவற்றை ஆதரிக்கிறது. கணினி சூழலில் ஒரு துவக்க டீமான் மற்றும் ஒரு முகவர் அடங்கும். டோக்கருக்கான OCI வடிவத்திலும் குபெர்னெட்டஸுக்கு CRIயிலும் பயனர் வரையறுத்த கண்டெய்னர் படங்களின் செயலாக்கத்தை முகவர் வழங்குகிறது. டோக்கருடன் இணைந்து பயன்படுத்தும்போது, ஒவ்வொரு கொள்கலனுக்கும் ஒரு தனி மெய்நிகர் இயந்திரம் உருவாக்கப்படுகிறது, அதாவது. ஹைப்பர்வைசரின் மேல் இயங்கும் சூழல், கொள்கலன்களின் உள்ளமை ஏவுதலுக்குப் பயன்படுத்தப்படுகிறது.
நினைவக நுகர்வு குறைக்க, DAX மெக்கானிசம் பயன்படுத்தப்படுகிறது (கோப்பு முறைமைக்கான நேரடி அணுகல், பிளாக் சாதன அளவைப் பயன்படுத்தாமல் பக்க தற்காலிக சேமிப்பைத் தவிர்ப்பது), மற்றும் ஒரே மாதிரியான நினைவக பகுதிகளை குறைக்க, KSM (கர்னல் சேம்பேஜ் மெர்ஜிங்) தொழில்நுட்பம் பயன்படுத்தப்படுகிறது, இது உங்களை அனுமதிக்கிறது. ஹோஸ்ட் சிஸ்டம் ஆதாரங்களின் பகிர்வை ஒழுங்கமைக்கவும் வெவ்வேறு விருந்தினர் அமைப்புகளுடன் இணைக்கவும் ஒரு பொதுவான கணினி சூழல் டெம்ப்ளேட்டைப் பகிரவும்.
புதிய பதிப்பில்:
- Предложен альтернативный runtime (runtime-rs), формирующий начинку контейнеров, написанный на языке Rust (ранее поставляемый runtime написан на языке Go). Runtime совместим с OCI, CRI-O и Containerd, что позволяет использовать его с Docker и Kubernetes.
- Предложен новый гипервизор dragonball, основанный на KVM и rust-vmm.
- Добавлена поддержка проброса доступа к GPU, используя VFIO.
- Добавлена поддержка cgroup v2.
- Реализована поддержка подмены настроек без изменения основного файла конфигурации через замену блоков в отдельных файлах, размещаемых в каталоге «config.d/».
- В компонентах на языке Rust задействована новая библиотека для безопасной работы с файловыми путями.
- Компонент virtiofsd (написан на Си) заменён на virtiofsd-rs (написан на Rust).
- Добавлена поддержка sandbox-изоляции компонентов QEMU.
- В QEMU для асинхронного ввода/вывода задействован API io_uring.
- Для QEMU и Cloud-hypervisor реализована поддержка расширений Intel TDX (Trusted Domain Extensions).
- Обновлены компоненты: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, ядро Linux 5.19.2.
ஆதாரம்: opennet.ru