Sau hai năm phát triển, việc phát hành dự án Kata Containers 3.0 đã được xuất bản, phát triển một ngăn xếp để tổ chức thực thi các container bằng cách sử dụng cách ly dựa trên các cơ chế ảo hóa chính thức. Dự án được Intel và Hyper tạo ra bằng cách kết hợp công nghệ Clear Containers và runV. Mã dự án được viết bằng Go và Rust và được phân phối theo giấy phép Apache 2.0. Sự phát triển của dự án được giám sát bởi một nhóm làm việc được thành lập dưới sự bảo trợ của tổ chức độc lập OpenStack Foundation, bao gồm các công ty như Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE và ZTE .
Kata được xây dựng dựa trên một môi trường chạy cho phép tạo ra các máy ảo nhỏ gọn chạy trên một hypervisor đầy đủ chức năng, thay vì sử dụng các container truyền thống sử dụng cùng một nhân hệ điều hành. Linux và được phân lập bằng cách sử dụng namespace và cgroup. Ứng dụng máy ảo Điều này cho phép mức độ bảo mật cao hơn, bảo vệ chống lại các cuộc tấn công do khai thác lỗ hổng nhân hệ điều hành gây ra. Linux.
Kata Container tập trung vào việc tích hợp vào cơ sở hạ tầng cách ly container hiện có với khả năng sử dụng các máy ảo tương tự để tăng cường bảo vệ các container truyền thống. Dự án cung cấp các cơ chế để đảm bảo khả năng tương thích của các máy ảo hạng nhẹ với nhiều cơ sở hạ tầng cách ly vùng chứa, nền tảng điều phối vùng chứa và thông số kỹ thuật như OCI (Sáng kiến vùng chứa mở), CRI (Giao diện thời gian chạy vùng chứa) và CNI (Giao diện mạng vùng chứa). Các công cụ có sẵn để tích hợp với Docker, Kubernetes, QEMU và OpenStack.
Việc tích hợp với các hệ thống quản lý container được thực hiện bằng cách sử dụng một lớp quản lý container giao tiếp với tác nhân quản lý trong máy ảo thông qua giao diện gRPC và một proxy chuyên dụng. Một nhân hệ điều hành được tối ưu hóa đặc biệt được sử dụng trong môi trường ảo, được khởi chạy bởi hypervisor. LinuxChỉ bao gồm tập hợp tối thiểu các tính năng cần thiết.
Hệ thống ảo hóa được hỗ trợ bao gồm Dragonball Sandbox (một phiên bản KVM được tối ưu hóa cho container) với QEMU, cũng như Firecracker và Cloud Hypervisor. Môi trường hệ thống bao gồm một init daemon và một agent. Agent cho phép thực thi các ảnh container do người dùng định nghĩa ở định dạng OCI cho Docker và định dạng CRI cho Kubernetes. Khi được sử dụng kết hợp với Docker, một instance riêng biệt sẽ được tạo cho mỗi container. máy ảoTức là, môi trường chạy trên nền tảng ảo hóa được sử dụng để khởi chạy các container lồng nhau.
Để giảm mức tiêu thụ bộ nhớ, cơ chế DAX được sử dụng (truy cập trực tiếp vào hệ thống tệp, bỏ qua bộ đệm trang mà không sử dụng cấp thiết bị khối) và để loại bỏ các vùng bộ nhớ giống hệt nhau, công nghệ KSM (Kernel Samepage Merging) được sử dụng, cho phép bạn tổ chức chia sẻ tài nguyên hệ thống máy chủ và kết nối với các hệ thống khách khác nhau chia sẻ một mẫu môi trường hệ thống chung.
Trong phiên bản mới:
- Một thời gian chạy thay thế (runtime-rs) được đề xuất, tạo thành việc lấp đầy các vùng chứa, được viết bằng ngôn ngữ Rust (thời gian chạy được cung cấp trước đó được viết bằng ngôn ngữ Go). Runtime tương thích với OCI, CRI-O và Containerd, cho phép sử dụng nó với Docker và Kubernetes.
- Một trình ảo hóa dragonball mới dựa trên KVM và Rust-vmm đã được đề xuất.
- Đã thêm hỗ trợ chuyển tiếp quyền truy cập vào GPU bằng VFIO.
- Đã thêm hỗ trợ cho cgroup v2.
- Hỗ trợ thay đổi cài đặt mà không thay đổi tệp cấu hình chính đã được triển khai bằng cách thay thế các khối trong các tệp riêng biệt nằm trong thư mục “config.d/”.
- Các thành phần Rust bao gồm một thư viện mới để làm việc an toàn với đường dẫn tệp.
- Thành phần virtiofsd (viết bằng C) đã được thay thế bằng virtiofsd-rs (viết bằng Rust).
- Đã thêm hỗ trợ cho các thành phần QEMU hộp cát.
- QEMU sử dụng API io_uring cho I/O không đồng bộ.
- Hỗ trợ cho các tiện ích mở rộng Intel TDX (Tiện ích mở rộng miền đáng tin cậy) đã được triển khai cho QEMU và Cloud-hypervisor.
- Các thành phần được cập nhật: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, kernel Linux 5.19.2.
Nguồn: opennet.ru
