Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Kata என்பது இயக்க நேரத்தை அடிப்படையாகக் கொண்டது, இது பொதுவான லினக்ஸ் கர்னலைப் பயன்படுத்தும் பாரம்பரிய கொள்கலன்களைப் பயன்படுத்துவதற்குப் பதிலாக முழு ஹைப்பர்வைசரைப் பயன்படுத்தி இயங்கும் சிறிய மெய்நிகர் இயந்திரங்களை உருவாக்க உங்களை அனுமதிக்கிறது மற்றும் பெயர்வெளிகள் மற்றும் cgroups ஐப் பயன்படுத்தி தனிமைப்படுத்தப்படுகிறது. மெய்நிகர் இயந்திரங்களின் பயன்பாடு, லினக்ஸ் கர்னலில் உள்ள பாதிப்புகளை சுரண்டுவதால் ஏற்படும் தாக்குதல்களில் இருந்து பாதுகாக்கும் உயர் மட்ட பாதுகாப்பை அடைய உங்களை அனுமதிக்கிறது.
பாரம்பரிய கொள்கலன்களின் பாதுகாப்பை மேம்படுத்த, ஒத்த மெய்நிகர் இயந்திரங்களைப் பயன்படுத்தும் திறனுடன், தற்போதுள்ள கொள்கலன் தனிமைப்படுத்தப்பட்ட உள்கட்டமைப்புகளுடன் ஒருங்கிணைப்பதில் Kata கொள்கலன்கள் கவனம் செலுத்துகின்றன. பல்வேறு கொள்கலன் தனிமைப்படுத்தல் உள்கட்டமைப்புகள், கொள்கலன் ஆர்கெஸ்ட்ரேஷன் தளங்கள் மற்றும் OCI (திறந்த கொள்கலன் முன்முயற்சி), CRI (கண்டெய்னர் இயக்க நேர இடைமுகம்) மற்றும் CNI (கண்டெய்னர் நெட்வொர்க்கிங் இன்டர்ஃபேஸ்) போன்ற விவரக்குறிப்புகளுடன் இலகுரக மெய்நிகர் இயந்திரங்களின் இணக்கத்தன்மையை உறுதி செய்வதற்கான வழிமுறைகளை இந்தத் திட்டம் வழங்குகிறது. Docker, Kubernetes, QEMU மற்றும் OpenStack உடன் ஒருங்கிணைப்பதற்கான கருவிகள் உள்ளன.
கொள்கலன் மேலாண்மை அமைப்புகளுடன் ஒருங்கிணைப்பு கொள்கலன் நிர்வாகத்தை உருவகப்படுத்தும் ஒரு அடுக்கைப் பயன்படுத்தி அடையப்படுகிறது, இது gRPC இடைமுகம் மற்றும் ஒரு சிறப்பு ப்ராக்ஸி மூலம் மெய்நிகர் கணினியில் நிர்வாக முகவரை அணுகுகிறது. ஹைப்பர்வைசரால் தொடங்கப்பட்ட மெய்நிகர் சூழலின் உள்ளே, சிறப்பாக மேம்படுத்தப்பட்ட லினக்ஸ் கர்னல் பயன்படுத்தப்படுகிறது, தேவையான திறன்களின் குறைந்தபட்ச தொகுப்பு மட்டுமே உள்ளது.
ஹைப்பர்வைசராக, இது QEMU கருவித்தொகுப்புடன் டிராகன்பால் சாண்ட்பாக்ஸ் (கன்டெய்னர்களுக்கு உகந்த KVM இன் பதிப்பு) மற்றும் ஃபாயர்கிராக்கர் மற்றும் கிளவுட் ஹைப்பர்வைசர் ஆகியவற்றை ஆதரிக்கிறது. கணினி சூழலில் ஒரு துவக்க டீமான் மற்றும் ஒரு முகவர் அடங்கும். டோக்கருக்கான OCI வடிவத்திலும் குபெர்னெட்டஸுக்கு CRIயிலும் பயனர் வரையறுத்த கண்டெய்னர் படங்களின் செயலாக்கத்தை முகவர் வழங்குகிறது. டோக்கருடன் இணைந்து பயன்படுத்தும்போது, ஒவ்வொரு கொள்கலனுக்கும் ஒரு தனி மெய்நிகர் இயந்திரம் உருவாக்கப்படுகிறது, அதாவது. ஹைப்பர்வைசரின் மேல் இயங்கும் சூழல், கொள்கலன்களின் உள்ளமை ஏவுதலுக்குப் பயன்படுத்தப்படுகிறது.
நினைவக நுகர்வு குறைக்க, DAX மெக்கானிசம் பயன்படுத்தப்படுகிறது (கோப்பு முறைமைக்கான நேரடி அணுகல், பிளாக் சாதன அளவைப் பயன்படுத்தாமல் பக்க தற்காலிக சேமிப்பைத் தவிர்ப்பது), மற்றும் ஒரே மாதிரியான நினைவக பகுதிகளை குறைக்க, KSM (கர்னல் சேம்பேஜ் மெர்ஜிங்) தொழில்நுட்பம் பயன்படுத்தப்படுகிறது, இது உங்களை அனுமதிக்கிறது. ஹோஸ்ட் சிஸ்டம் ஆதாரங்களின் பகிர்வை ஒழுங்கமைக்கவும் வெவ்வேறு விருந்தினர் அமைப்புகளுடன் இணைக்கவும் ஒரு பொதுவான கணினி சூழல் டெம்ப்ளேட்டைப் பகிரவும்.
புதிய பதிப்பில்:
- Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
- Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
- В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
- В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
- Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
- В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
- Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.
ஆதாரம்: opennet.ru