Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Kata dựa trên thời gian chạy, cho phép bạn tạo các máy ảo nhỏ gọn chạy bằng bộ ảo hóa đầy đủ, thay vì sử dụng các bộ chứa truyền thống sử dụng nhân Linux thông thường và được cách ly bằng cách sử dụng không gian tên và nhóm. Việc sử dụng máy ảo cho phép bạn đạt được mức độ bảo mật cao hơn nhằm bảo vệ khỏi các cuộc tấn công do khai thác lỗ hổng trong nhân Linux.
Kata Container tập trung vào việc tích hợp vào cơ sở hạ tầng cách ly container hiện có với khả năng sử dụng các máy ảo tương tự để tăng cường bảo vệ các container truyền thống. Dự án cung cấp các cơ chế để đảm bảo khả năng tương thích của các máy ảo hạng nhẹ với nhiều cơ sở hạ tầng cách ly vùng chứa, nền tảng điều phối vùng chứa và thông số kỹ thuật như OCI (Sáng kiến vùng chứa mở), CRI (Giao diện thời gian chạy vùng chứa) và CNI (Giao diện mạng vùng chứa). Các công cụ có sẵn để tích hợp với Docker, Kubernetes, QEMU và OpenStack.
Việc tích hợp với hệ thống quản lý vùng chứa đạt được bằng cách sử dụng lớp mô phỏng quản lý vùng chứa, lớp này truy cập tác nhân quản lý trong máy ảo thông qua giao diện gRPC và proxy đặc biệt. Bên trong môi trường ảo do trình ảo hóa khởi chạy, một nhân Linux được tối ưu hóa đặc biệt sẽ được sử dụng, chỉ chứa bộ khả năng cần thiết tối thiểu.
Với tư cách là một trình ảo hóa, nó hỗ trợ sử dụng Dragonball Sandbox (một phiên bản KVM được tối ưu hóa cho các vùng chứa) với bộ công cụ QEMU, cũng như Firecracker và Cloud Hypervisor. Môi trường hệ thống bao gồm một daemon khởi tạo và một tác nhân. Tác nhân cung cấp khả năng thực thi các hình ảnh vùng chứa do người dùng xác định ở định dạng OCI cho Docker và CRI cho Kubernetes. Khi được sử dụng cùng với Docker, một máy ảo riêng biệt sẽ được tạo cho mỗi vùng chứa, tức là. Môi trường chạy trên bộ ảo hóa được sử dụng để khởi chạy các vùng chứa lồng nhau.
Để giảm mức tiêu thụ bộ nhớ, cơ chế DAX được sử dụng (truy cập trực tiếp vào hệ thống tệp, bỏ qua bộ đệm trang mà không sử dụng cấp thiết bị khối) và để loại bỏ các vùng bộ nhớ giống hệt nhau, công nghệ KSM (Kernel Samepage Merging) được sử dụng, cho phép bạn tổ chức chia sẻ tài nguyên hệ thống máy chủ và kết nối với các hệ thống khách khác nhau chia sẻ một mẫu môi trường hệ thống chung.
Trong phiên bản mới:
- Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
- Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
- В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
- В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
- Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
- В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
- Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.
Nguồn: opennet.ru