Kata Containers 3.2 loyihasining chiqarilishi e'lon qilindi, u to'liq virtualizatsiya mexanizmlari asosida izolyatsiyadan foydalangan holda konteynerlarning bajarilishini tashkil qilish uchun stek ishlab chiqdi. Loyiha Intel va Hyper tomonidan Clear Containers va runV texnologiyalarini birlashtirib yaratilgan. Loyiha kodi Go va Rust-da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi. Loyihaning rivojlanishi OpenStack Foundation mustaqil tashkiloti homiyligida tuzilgan ishchi guruh tomonidan nazorat qilinadi, uning tarkibiga Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE va ZTE kabi kompaniyalar kiradi. .
Kata umumiy Linux yadrosidan foydalanadigan va nomlar boʻshliqlari va guruhlardan foydalangan holda ajratilgan anʼanaviy konteynerlardan foydalanish oʻrniga toʻliq gipervisor yordamida ishlaydigan ixcham virtual mashinalarni yaratish imkonini beruvchi ish vaqtiga asoslangan. Virtual mashinalardan foydalanish Linux yadrosidagi zaifliklardan foydalanish natijasida yuzaga keladigan hujumlardan himoya qiluvchi yuqori darajadagi xavfsizlikka erishish imkonini beradi.
Kata Konteynerlari an'anaviy konteynerlarning himoyasini kuchaytirish uchun shunga o'xshash virtual mashinalardan foydalanish qobiliyati bilan mavjud konteyner izolyatsiyasi infratuzilmalariga integratsiyaga qaratilgan. Loyiha engil virtual mashinalarning turli xil konteyner izolyatsiyasi infratuzilmalari, konteynerlarni orkestrlash platformalari va OCI (Ochiq konteyner tashabbusi), CRI (Container Runtime Interface) va CNI (Container Networking Interface) kabi spetsifikatsiyalar bilan muvofiqligini ta'minlash mexanizmlarini taqdim etadi. Asboblar Docker, Kubernetes, QEMU va OpenStack bilan integratsiya uchun mavjud.
Konteynerlarni boshqarish tizimlari bilan integratsiyaga gRPC interfeysi va maxsus proksi-server orqali virtual mashinadagi boshqaruvchi agentga kiradigan konteyner boshqaruvini simulyatsiya qiluvchi qatlam yordamida erishiladi. Gipervisor tomonidan ishga tushirilgan virtual muhit ichida faqat minimal zarur imkoniyatlar to'plamini o'z ichiga olgan maxsus optimallashtirilgan Linux yadrosi ishlatiladi.
Gipervisor sifatida u Dragonball Sandbox-dan (konteynerlar uchun optimallashtirilgan KVM nashri), shuningdek, Firecracker va Cloud Hypervisor-dan QEMU asboblar to'plami bilan foydalanishni qo'llab-quvvatlaydi. Tizim muhiti ishga tushirish demoni va agentni o'z ichiga oladi. Agent Docker uchun OCI va Kubernetes uchun CRI formatida foydalanuvchi tomonidan belgilangan konteyner tasvirlarini bajarishni ta'minlaydi. Docker bilan birgalikda foydalanilganda, har bir konteyner uchun alohida virtual mashina yaratiladi, ya'ni. Gipervizorning tepasida ishlaydigan muhit konteynerlarni ichki ishga tushirish uchun ishlatiladi.
Xotira sarfini kamaytirish uchun DAX mexanizmi (fayl tizimiga to'g'ridan-to'g'ri kirish, bloklangan qurilma darajasidan foydalanmasdan sahifa keshini chetlab o'tish) va bir xil xotira maydonlarini takrorlash uchun KSM (Kernel Samepage Merging) texnologiyasi qo'llaniladi, bu sizga yordam beradi. xost tizimi resurslarini almashishni tashkil qilish va turli mehmon tizimlariga ulanish uchun umumiy tizim muhiti shablonini almashish.
Yangi versiyada:
- AMD64 (x86_64) arxitekturasini qo'llab-quvvatlashdan tashqari, relizlar ARM64 (Aarch64) va s390 (IBM Z) arxitekturalari uchun taqdim etiladi. ppc64le arxitekturasini qo‘llab-quvvatlash (IBM Power) ishlab chiqilmoqda.
- Konteyner tasvirlariga kirishni tashkil qilish uchun Nydus 2.2.0 fayl tizimi qo'llaniladi, u standart tasvirlar bilan samarali hamkorlik qilish uchun kontentni manzillashdan foydalanadi. Nydus tasvirlarni tezda yuklashni qo'llab-quvvatlaydi (faqat kerak bo'lganda yuklab olinadi), ikki nusxadagi ma'lumotlarni nusxalashni ta'minlaydi va haqiqiy saqlash uchun turli xil backendlardan foydalanishi mumkin. POSIX muvofiqligi ta'minlangan (Composefs-ga o'xshash, Nydus ilovasi OverlayFS imkoniyatlarini EROFS yoki FUSE moduli bilan birlashtiradi).
- Dragonball virtual mashinasi menejeri Kata Containers loyihasining asosiy tuzilmasi bilan birlashtirildi, endi u umumiy omborda ishlab chiqiladi.
- Xost muhitidan virtual mashinaga ulanish uchun kata-ctl yordam dasturiga disk raskadrovka funksiyasi qo'shildi.
- GPU boshqaruv imkoniyatlari kengaytirildi va GPU-larni maxfiy hisoblash uchun konteynerlarga (Confidential Container) yo‘naltirish uchun qo‘llab-quvvatlash qo‘shildi, bu esa xost muhiti yoki gipervisor buzilgan taqdirda himoya qilish uchun ma’lumotlar, xotira va bajarilish holatini shifrlashni ta’minlaydi.
- Runtime-rs dasturiga konteynerlar yoki sandbox muhitlarida ishlatiladigan qurilmalarni boshqarish uchun quyi tizim qo'shildi. Vfio, blok, tarmoq va boshqa turdagi qurilmalar bilan ishlashni qo'llab-quvvatlaydi.
- OCI Runtime 1.0.2 va Kubernetes 1.23.1 bilan moslik taqdim etiladi.
- Linux yadrosi sifatida yamoqlari bilan 6.1.38 versiyasidan foydalanish tavsiya etiladi.
- Rivojlanish Jenkins uzluksiz integratsiya tizimidan GitHub Actions-ga o'tkazildi.
Manba: opennet.ru