מעלדונג פון קאַטאַ קאַנטיינערז 3.0 מיט ווירטואַליזאַטיאָן-באזירט אפגעזונדערטקייט

נאָך צוויי יאָר פון אַנטוויקלונג, די מעלדונג פון די Kata Containers 3.0 פּרויעקט איז ארויס, דעוועלאָפּינג אַ אָנלייגן פֿאַר אָרגאַנייזינג די דורכפירונג פון קאַנטיינערז ניצן אפגעזונדערטקייט באזירט אויף פול-פלעדזשד ווירטואַליזאַטיאָן מעקאַניזאַמז. די פּרויעקט איז געווען באשאפן דורך ינטעל און היפּער דורך קאַמביינינג קלאָר קאַנטיינערז און רונוו טעקנאַלאַדזשיז. די פּרויעקט קאָד איז געשריבן אין גיין און רוסט, און איז פונאנדערגעטיילט אונטער די Apache 2.0 דערלויבעניש. די אַנטוויקלונג פון די פּרויעקט איז אָוווערסי דורך אַ אַרבעט גרופּע באשאפן אונטער די אָוספּיסיז פון די פרייַ אָרגאַניזאַציע OpenStack Foundation, וואָס ינקלודז קאָמפּאַניעס אַזאַ ווי קאַנאָניקאַל, טשיינאַ מאָביל, Dell / EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE און ZTE .

אין די האַרץ פון קאַטאַ איז די רונטימע, וואָס גיט די פיייקייט צו שאַפֿן סאָליד ווירטואַל מאשינען וואָס לויפן מיט אַ פול כייפּערווייזער, אַנשטאָט פון ניצן טראדיציאנעלן קאַנטיינערז וואָס נוצן אַ פּראָסט לינוקס קערן און זענען אפגעזונדערט מיט נאַמעספּאַסעס און קגרופּס. די נוצן פון ווירטואַל מאשינען אַלאַוז איר צו דערגרייכן אַ העכער מדרגה פון זיכערהייט וואָס פּראַטעקץ קעגן אנפאלן געפֿירט דורך עקספּלויטיישאַן פון וואַלנעראַביליטיז אין די לינוקס קערן.

Kata Containers איז פאָוקיסט אויף ינאַגריישאַן אין יגזיסטינג קאַנטיינער אפגעזונדערטקייט ינפראַסטראַקטשער מיט די פיייקייט צו נוצן ענלעך ווירטואַל מאשינען צו פאַרבעסערן די שוץ פון טראדיציאנעלן קאַנטיינערז. די פּרויעקט גיט מעקאַניזאַמז צו ענשור קאַמפּאַטאַבילאַטי פון לייטווייט ווירטואַל מאשינען מיט פאַרשידן קאַנטיינער אפגעזונדערטקייט ינפראַסטראַקטשער, קאַנטיינער אָרקעסטראַטיאָן פּלאַטפאָרמס און ספּעסאַפאַקיישאַנז אַזאַ ווי OCI (Open Container Initiative), CRI (Container Runtime Interface) און CNI (Container Networking Interface). מכשירים זענען בארעכטיגט פֿאַר ינאַגריישאַן מיט Docker, Kubernetes, QEMU און OpenStack.

ינטעגראַטיאָן מיט קאַנטיינער פאַרוואַלטונג סיסטעמען איז אַטשיווד מיט אַ שיכטע וואָס סימיאַלייץ קאַנטיינער פאַרוואַלטונג, וואָס אַקסעס די אָנפירונג אַגענט אין די ווירטואַל מאַשין דורך די gRPC צובינד און אַ ספּעציעל פּראַקסי. ין די ווירטואַל סוויווע, וואָס איז לאָנטשט דורך די כייפּערווייזער, אַ ספּעציעל אָפּטימיזעד לינוקס קערן איז געניצט, מיט בלויז די מינימום גאַנג פון נייטיק קייפּאַבילאַטיז.

ווי אַ כייפּערווייזער, עס שטיצט די נוצן פון דראַגאָנבאַלל סאַנדבאָקס (אַן אַדישאַן פון KVM אָפּטימיזעד פֿאַר קאַנטיינערז) ​​מיט די QEMU טאָאָלקיט, ווי געזונט ווי Firecracker און Cloud Hypervisor. די סיסטעם סוויווע כולל אַן יניטיאַליזאַטיאָן דעמאָן און אַן אַגענט. דער אַגענט גיט דורכפירונג פון באַניצער-דיפיינד קאַנטיינער בילדער אין OCI פֿאָרמאַט פֿאַר Docker און CRI פֿאַר Kubernetes. ווען געוויינט אין קאַנדזשאַנגקשאַן מיט דאָקער, אַ באַזונדער ווירטואַל מאַשין איז באשאפן פֿאַר יעדער קאַנטיינער, ד"ה. די סוויווע פליסנדיק אויף שפּיץ פון די כייפּערווייזער איז געניצט פֿאַר נעסטעד קאַטער פון קאַנטיינערז.

צו רעדוצירן זיקאָרן קאַנסאַמשאַן, די DAX מעקאַניזאַם איז געניצט (דירעקט אַקסעס צו די טעקע סיסטעם, בייפּאַסינג די בלאַט קאַש אָן ניצן די בלאָק מיטל מדרגה), און צו דעדופּליקאַט יידעניקאַל זכּרון געביטן, KSM (Kernel Samepage Merging) טעכנאָלאָגיע איז געניצט, וואָס אַלאַוז איר צו אָרגאַניזירן די ייַנטיילונג פון באַלעבאָס סיסטעם רעסורסן און פאַרבינדן צו פאַרשידענע גאַסט סיסטעמען טיילן אַ פּראָסט סיסטעם סוויווע טעמפּלאַטע.

אין די נייַע ווערסיע:

• אַן אָלטערנאַטיוו רונטימע (רונטימע-רס) איז פארגעלייגט, וואָס פארמען די פילונג פון קאַנטיינערז, געשריבן אין די רוסט שפּראַך (די ביז אַהער סאַפּלייד רונטימע איז געווען געשריבן אין די גיין שפּראַך). רונטימע איז קאַמפּאַטאַבאַל מיט OCI, CRI-O און Containerd, אַלאַוינג עס צו זיין געוויינט מיט Docker און Kubernetes.
• א נייַע דראַגאָנבאַלל כייפּערווייזער באזירט אויף KVM און זשאַווער-וומם איז פארגעלייגט.
• צוגעלייגט שטיצן פֿאַר פאָרווערדינג אַקסעס צו די גפּו ניצן VFIO.
• צוגעגעבן שטיצן פֿאַר cgroup v2.
• שטיצן פֿאַר טשאַנגינג סעטטינגס אָן טשאַנגינג די הויפּט קאַנפיגיעריישאַן טעקע איז ימפּלאַמענאַד דורך ריפּלייסינג בלאַקס אין באַזונדער טעקעס אין די "config.d/" וועגווייַזער.
• זשאַווער קאַמפּאָונאַנץ אַרייַננעמען אַ נייַע ביבליאָטעק פֿאַר סיקיורלי ארבעטן מיט טעקע פּאַטס.
• די ווירטיאָפסד קאָמפּאָנענט (געשריבן אין C) איז ריפּלייסט מיט virtiofsd-rs (געשריבן אין רוסט).
• צוגעגעבן שטיצן פֿאַר זאַמדבאָקסינג QEMU קאַמפּאָונאַנץ.
• QEMU ניצט די io_uring API פֿאַר ייסינגקראַנאַס I/O.
• שטיצן פֿאַר ינטעל TDX (טראַסטעד דאָמאַין עקסטענסיאָנס) יקסטענשאַנז איז ימפּלאַמענאַד פֿאַר QEMU און Cloud-Hypervisor.
• דערהייַנטיקט קאַמפּאָונאַנץ: QEMU 6.2.0, Cloud-Hypervisor 26.0, Firecracker 1.1.0, Linux Kernel 5.19.2.

מקור: opennet.ru