Kata Containers poskytuje bezpečný kontejnerový běh s odlehčenými virtuálními stroji
Po dvou letech vývoje byla zveřejněna verze projektu Kata Containers 3.0, který se vyvíjí stoh pro uspořádání běžících kontejnerů pomocí izolace založené na kompletních virtualizačních mechanismech.
Srdcem Kata je běhové prostředí, které poskytuje možnost vytvářet kompaktní virtuální stroje, které běží pomocí plného hypervizoru, spíše než pomocí tradičních kontejnerů, které používají společné linuxové jádro a jsou izolované pomocí jmenných prostorů a cgroups.
Použití virtuálních strojů umožňuje dosáhnout vyšší úrovně zabezpečení, která chrání před útoky způsobenými zneužitím zranitelností v jádře Linuxu.
O kontejnerech Kata
Kontejnery Kata se zaměřuje na integraci do izolačních infrastruktur existujících kontejnerů s možností používat tyto virtuální stroje ke zlepšení ochrany tradičních kontejnerů.
El Proyecto poskytuje mechanismy pro zajištění kompatibility lehkých virtuálních strojů s různými izolačními frameworky kontejnery, platformy pro orchestraci kontejnerů a specifikace jako OCI, CRI a CNI. K dispozici jsou integrace s Docker, Kubernetes, QEMU a OpenStack.
Integrace se systémy pro správu kontejnerůToho je dosaženo prostřednictvím vrstvy, která simuluje správu kontejnerů, který prostřednictvím rozhraní gRPC a speciálního proxy přistupuje k řídicímu agentovi na virtuálním počítači. Jako hypervizor je podporováno použití Dragonball Sandbox (edice KVM optimalizovaná pro kontejnery) s QEMU, stejně jako Firecracker a Cloud Hypervisor. Systémové prostředí zahrnuje spouštěcího démona a agenta.
Agent spouští uživatelem definované obrazy kontejnerů ve formátu OCI pro Docker a CRI pro Kubernetes. Pro snížení spotřeby paměti se používá mechanismus DAX a technologie KSM se používá k deduplikaci identických oblastí paměti, což umožňuje sdílení zdrojů hostitelského systému a připojení různých hostujících systémů pomocí společné šablony systémového prostředí.
Hlavní novinky Kata Containers 3.0
V nové verzi je navržena alternativní doba běhu (runtime-rs), který tvoří obalovou výplň, napsaný v jazyce Rust (výše uvedený runtime je napsán v jazyce Go). doba běhu podporuje OCI, CRI-O a Containerd, díky čemuž je kompatibilní s Dockerem a Kubernetes.
Další změnou, která vyniká v této nové verzi Kata Containers 3.0, je ta nyní má také podporu GPU. Tento zahrnuje podporu pro virtuální funkce I/O (VFIO), který umožňuje bezpečné, neprivilegované PCIe zařízení a řadiče uživatelského prostoru.
To je také zdůrazněno implementována podpora pro změnu nastavení bez změny hlavního konfiguračního souboru nahrazením bloků v samostatných souborech umístěných v adresáři "config.d/". Komponenty Rust používají novou knihovnu pro bezpečnou práci s cestami k souborům.
Navíc, Vznikl nový projekt Kata Containers. Jde o Confidential Containers, open source sandboxový projekt Cloud-Native Computing Foundation (CNCF). Tento důsledek izolace kontejnerů Kata Containers integruje infrastrukturu Trusted Execution Environments (TEE).
Z další změny které vynikají:
- Byl navržen nový hypervizor dragonball založený na KVM a rust-vmm.
- Přidána podpora pro cgroup v2.
- složka virtiofsd (napsaná v C) nahrazena virtiofsd-rs (napsaná v Rustu).
- Přidána podpora pro izolovanou sandbox komponent QEMU.
- QEMU používá io_uring API pro asynchronní I/O.
- Byla implementována podpora pro Intel TDX (Trusted Domain Extensions) pro QEMU a Cloud-hypervisor.
- Aktualizované komponenty: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Konečně pro zájemce o projekt, měli byste vědět, že jej vytvořily společnosti Intel a Hyper a kombinují technologie Clear Containers a runV.
Kód projektu je napsán v Go and Rust a je vydán pod licencí Apache 2.0. Na vývoj projektu dohlíží pracovní skupina vytvořená pod záštitou nezávislé organizace OpenStack Foundation.
Více se o tom můžete dozvědět na následující odkaz.