Kata Containers pruža sigurno radno vrijeme kontejnera s laganim virtuelnim mašinama
Nakon dvije godine razvoja, objavljeno je izdanje projekta Kata Containers 3.0, koji se razvija stog za organiziranje tekućih kontejnera korišćenjem izolacije baziran na kompletnim mehanizmima virtuelizacije.
U srcu Kata je runtime, koje pruža mogućnost stvaranja kompaktnih virtuelnih mašina koje se pokreću koristeći potpuni hipervizor, umjesto da koriste tradicionalne kontejnere koji koriste uobičajeno jezgro Linuxa i izolirani su korištenjem prostora imena i cgroup-a.
Upotreba virtuelnih mašina omogućava postizanje višeg nivoa sigurnosti koji štiti od napada uzrokovanih iskorištavanjem ranjivosti u Linux kernelu.
O Kata Containers
Kata Containers fokusira se na integraciju u izolacione infrastrukture postojećih kontejnera sa mogućnošću korišćenja ovih virtuelnih mašina za poboljšanje zaštite tradicionalnih kontejnera.
Projekat pruža mehanizme da lagane virtuelne mašine učine kompatibilnim sa različitim izolacionim okvirima kontejnere, platforme za orkestraciju kontejnera i specifikacije kao što su OCI, CRI i CNI. Dostupne su integracije sa Docker, Kubernetes, QEMU i OpenStack.
Integracija sa sistemima za upravljanje kontejnerimaOvo se postiže slojem koji simulira upravljanje kontejnerima, koji preko gRPC interfejsa i posebnog proxyja pristupa kontrolnom agentu na virtuelnoj mašini. Kao hipervizor, podržano je korištenje Dragonball Sandboxa (KVM izdanje optimizovano za kontejner) sa QEMU, kao i Firecracker i Cloud Hypervisor. Sistemsko okruženje uključuje pokretački demon i agent.
Agent pokreće korisnički definirane slike spremnika u OCI formatu za Docker i CRI za Kubernetes. Da bi se smanjila potrošnja memorije, koristi se DAX mehanizam i KSM tehnologija se koristi za uklanjanje duplikata identičnih memorijskih područja, omogućavajući dijeljenje resursa host sistema i povezivanje različitih gostujućih sistema sa zajedničkim šablonom sistemskog okruženja.
Glavne novine Kata Containers 3.0
U novoj verziji predloženo je alternativno vrijeme izvođenja (runtime-rs), koji formira dopunu omotača, napisan u Rust jeziku (gore navedeno vrijeme izvođenja je napisano u Go jeziku). vrijeme izvođenja podržava OCI, CRI-O i Containerd, što ga čini kompatibilnim sa Dockerom i Kubernetesom.
Još jedna promjena koja se ističe u ovoj novoj verziji Kata Containers 3.0 je to sada ima i GPU podršku. Ovo uključuje podršku za virtuelne funkcije I/O (VFIO), koji omogućava siguran, neprivilegovan PCIe uređaj i kontrolere korisničkog prostora.
Takođe je istaknuto da implementirana podrška za promjenu postavki bez promjene glavne konfiguracijske datoteke zamjenom blokova u zasebnim datotekama koje se nalaze u direktoriju "config.d/". Rust komponente koriste novu biblioteku za siguran rad sa putanjama datoteka.
Takođe, Pojavio se novi projekat Kata Containers. Riječ je o Confidential Containers, projektu Cloud-Native Computing Foundation (CNCF) otvorenog koda. Ova posljedica izolacije kontejnera Kata Containers-a integrira infrastrukturu pouzdanih okruženja za izvršavanje (TEE).
Of the druge promjene koji se ističu:
- Predložen je novi hipervizor Dragonball baziran na KVM i rust-vmm.
- Dodata podrška za cgroup v2.
- virtiofsd komponenta (napisana u C) zamijenjena virtiofsd-rs (napisana u Rustu).
- Dodata podrška za sandbox izolaciju QEMU komponenti.
- QEMU koristi io_uring API za asinhroni I/O.
- Implementirana je podrška za Intel TDX (Trusted Domain Extensions) za QEMU i Cloud-hypervisor.
- Ažurirane komponente: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Konačno za one koji su zainteresirani za projekat, trebali biste znati da su ga kreirali Intel i Hyper kombinujući Clear Containers i runV tehnologije.
Kod projekta je napisan u Go i Rust i objavljen je pod licencom Apache 2.0. Razvoj projekta nadgleda radna grupa stvorena pod okriljem nezavisne organizacije OpenStack Foundation.
Više o tome možete saznati na sljedeći link.