Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Основу Kata составляет runtime, позволяющий создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.
Awọn apoti Kata ti wa ni idojukọ lori isọpọ sinu awọn amayederun ipinya eiyan ti o wa pẹlu agbara lati lo awọn ẹrọ foju kanna lati jẹki aabo ti awọn apoti ibile. Ise agbese na n pese awọn ọna ṣiṣe lati rii daju ibamu ti awọn ẹrọ foju iwuwo fẹẹrẹ pẹlu ọpọlọpọ awọn amayederun ipinya eiyan, awọn iru ẹrọ orchestration eiyan ati awọn pato gẹgẹbi OCI (Ipilẹṣẹ Apoti Ṣii), CRI (Asopọmọra Agbese Apoti) ati CNI (Asopọmọra Nẹtiwọọki Apoti). Awọn irinṣẹ wa fun isọpọ pẹlu Docker, Kubernetes, QEMU ati OpenStack.
Iṣepọ pẹlu awọn eto iṣakoso eiyan jẹ aṣeyọri nipa lilo ipele kan ti o ṣe adaṣe iṣakoso eiyan, eyiti o wọle si aṣoju iṣakoso ninu ẹrọ foju nipasẹ wiwo gRPC ati aṣoju pataki kan. Ninu agbegbe foju, eyiti o ṣe ifilọlẹ nipasẹ hypervisor, ekuro Linux iṣapeye pataki kan ni a lo, ti o ni eto to kere julọ ti awọn agbara pataki.
Gẹgẹbi hypervisor, o ṣe atilẹyin lilo Dragonball Sandbox (ẹda ti KVM iṣapeye fun awọn apoti) pẹlu ohun elo irinṣẹ QEMU, ati Firecracker ati Hypervisor Cloud. Ayika eto pẹlu daemon ipilẹṣẹ ati aṣoju kan. Aṣoju n pese ipaniyan ti awọn aworan eiyan asọye olumulo ni ọna kika OCI fun Docker ati CRI fun Kubernetes. Nigba lilo ni apapo pẹlu Docker, a ṣẹda ẹrọ foju ọtọtọ fun eiyan kọọkan, i.e. Ayika ti n ṣiṣẹ lori oke hypervisor ni a lo fun ifilọlẹ itẹ-ẹiyẹ ti awọn apoti.
Lati dinku agbara iranti, ẹrọ DAX ti lo (wiwọle taara si eto faili, yiyọ kaṣe oju-iwe laisi lilo ipele ẹrọ idinamọ), ati lati yọkuro awọn agbegbe iranti kanna, imọ-ẹrọ KSM (Kernel Samepage Merging) ti lo, eyiti o fun ọ laaye lati ṣeto awọn pinpin ti ogun eto oro ki o si sopọ si yatọ si alejo awọn ọna šiše pin a wọpọ eto ayika awoṣe.
Ninu ẹya tuntun:
- Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
- Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
- В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
- В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
- Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
- В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
- Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
- В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
- Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.
orisun: opennet.ru