توفر حاويات كاتا وقت تشغيل آمن للحاويات مع أجهزة افتراضية خفيفة الوزن
بعد عامين من التطوير ، تم نشر إصدار مشروع Kata Containers 3.0 ، الذي يتطور كومة لتنظيم الحاويات الجارية باستخدام العزل على أساس آليات المحاكاة الافتراضية الكاملة.
في قلب Kata يوجد وقت التشغيل ، والذي يوفر القدرة على إنشاء أجهزة افتراضية مضغوطة تعمل باستخدام برنامج Hypervisor كامل ، بدلاً من استخدام الحاويات التقليدية التي تستخدم نواة Linux الشائعة والمعزولة باستخدام مساحات الأسماء والمجموعات.
يسمح استخدام الأجهزة الافتراضية بتحقيق مستوى أعلى من الأمان الذي يحمي من الهجمات الناتجة عن استغلال الثغرات الأمنية في نواة Linux.
عن حاويات كاتا
حاويات كاتا يركز على الاندماج في البنى التحتية للعزل من الحاويات الموجودة مع إمكانية استخدام هذه الأجهزة الافتراضية لتحسين حماية الحاويات التقليدية.
المشروع يوفر آليات لجعل الأجهزة الافتراضية خفيفة الوزن متوافقة مع أطر العزل المختلفة الحاويات ومنصات تنظيم الحاويات والمواصفات مثل OCI و CRI و CNI. تتوفر عمليات تكامل مع Docker و Kubernetes و QEMU و OpenStack.
التكامل مع أنظمة إدارة الحاوياتe يتحقق من خلال طبقة تحاكي إدارة الحاويات، والتي ، من خلال واجهة gRPC ووكيل خاص ، تصل إلى عامل التحكم على الجهاز الظاهري. بصفتك برنامج مراقبة ، يتم دعم استخدام Dragonball Sandbox (إصدار KVM مُحسَّن للحاوية) مع QEMU ، بالإضافة إلى Firecracker و Cloud Hypervisor. تتضمن بيئة النظام البرنامج الخفي للتمهيد والوكيل.
العميل يدير صور حاوية معرّفة من قبل المستخدم بتنسيق OCI لـ Docker و CRI لـ Kubernetes. لتقليل استهلاك الذاكرة ، يتم استخدام آلية DAX ويتم استخدام تقنية KSM لإزالة تكرار مناطق الذاكرة المتطابقة ، مما يسمح بمشاركة موارد النظام المضيف وأنظمة الضيف المختلفة للاتصال بقالب بيئة نظام مشترك.
أحدث المستجدات في حاويات كاتا 3.0
في الإصدار الجديد تم اقتراح وقت تشغيل بديل (runtime-rs) ، التي تشكل حشوة الغلاف ، مكتوبة بلغة Rust (وقت التشغيل المذكور أعلاه مكتوب بلغة Go). مدة العرض يدعم OCI و CRI-O و Containerd ، مما يجعلها متوافقة مع Docker و Kubernetes.
تغيير آخر يبرز في هذا الإصدار الجديد من Kata Containers 3.0 هو ذلك الآن لديه أيضًا دعم GPU. هذا يتضمن دعم الوظيفة الافتراضية I / O (VFIO)، والتي تمكن أجهزة PCIe الآمنة وغير المتميزة ووحدات التحكم في مساحة المستخدم.
كما تم تسليط الضوء على ذلك نفذ الدعم لتغيير الإعدادات دون تغيير ملف التكوين الرئيسي عن طريق استبدال الكتل في ملفات منفصلة موجودة في دليل "config.d /". تستخدم مكونات الصدأ مكتبة جديدة للعمل مع مسارات الملفات بأمان.
وبالإضافة إلى ذلك، ظهر مشروع حاويات كاتا جديد. إنه Confidential Containers ، وهو مشروع مفتوح المصدر لمؤسسة Cloud-Native Computing Foundation (CNCF). نتيجة عزل الحاوية لحاويات كاتا تدمج البنية التحتية لبيئات التنفيذ الموثوقة (TEE).
من تغييرات أخرى التي تبرز:
- تم اقتراح أداة مراقبة دراجون بول جديدة تعتمد على KVM و rust-vmm.
- تمت إضافة دعم لـ cgroup v2.
- مكون Virtiofsd (مكتوب في C) تم استبداله بـ Virtiofsd-rs (مكتوب في Rust).
- دعم إضافي لعزل آلية تحديد الوصول لمكونات QEMU.
- يستخدم QEMU واجهة برمجة تطبيقات io_uring لعمليات الإدخال / الإخراج غير المتزامنة.
- تم تنفيذ دعم Intel TDX (امتدادات المجال الموثوق بها) لـ QEMU و Cloud-Hypervisor.
- المكونات المحدثة: QEMU 6.2.0 ، Cloud-hypervisor 26.0 ، Firecracker 1.1.0 ، Linux 5.19.2.
أخيرا لأولئك المهتمين بالمشروع، يجب أن تعلم أنه تم إنشاؤه بواسطة Intel و Hyper بدمج حاويات واضحة وتقنيات runV.
تمت كتابة كود المشروع بلغة Go and Rust وتم إصداره بموجب ترخيص Apache 2.0. يشرف على تطوير المشروع مجموعة عمل تم إنشاؤها تحت رعاية مؤسسة OpenStack Foundation المستقلة.
يمكنك معرفة المزيد عنها في الرابط التالي.