Kata Containers 3.0 inkluderer GPU-understøttelse, Linux 5.19.2, QEMU 6.2.0 og mere

Kata containere

Kata Containers giver en sikker container-runtime med lette virtuelle maskiner

Efter to års udvikling, Kata Containers 3.0-projektudgivelsen er blevet offentliggjort, der udvikler sig en stak til at organisere kørende containere ved hjælp af isolering baseret på komplette virtualiseringsmekanismer.

I hjertet af Kata er runtime, som giver mulighed for at skabe kompakte virtuelle maskiner, der kører ved hjælp af en fuld hypervisor, i stedet for at bruge traditionelle containere, der bruger en fælles Linux-kerne og er isoleret ved hjælp af navnerum og cgroups.

Brugen af ​​virtuelle maskiner gør det muligt at opnå et højere sikkerhedsniveau, der beskytter mod angreb forårsaget af udnyttelse af sårbarheder i Linux-kernen.

Om Kata Containers

Kata containere fokuserer på integration i isolationsinfrastrukturer af eksisterende containere med mulighed for at bruge disse virtuelle maskiner til at forbedre beskyttelsen af ​​traditionelle containere.

Projektet leverer mekanismer til at gøre lette virtuelle maskiner kompatible med forskellige isolationsrammer containere, containerorkestreringsplatforme og specifikationer såsom OCI, CRI og CNI. Integrationer med Docker, Kubernetes, QEMU og OpenStack er tilgængelige.

Integrationen med containerstyringssystemere opnået gennem et lag, der simulerer containerstyring, som via gRPC-grænsefladen og en speciel proxy får adgang til kontrolagenten på den virtuelle maskine. Som hypervisor understøttes brugen af ​​Dragonball Sandbox (en containeroptimeret KVM-udgave) med QEMU, samt Firecracker og Cloud Hypervisor. Systemmiljøet inkluderer boot-dæmonen og agenten.

Agenten kører brugerdefinerede containerbilleder i OCI-format for Docker og CRI for Kubernetes. For at reducere hukommelsesforbruget bruges DAX-mekanismen og KSM-teknologi bruges til at deduplicere identiske hukommelsesområder, hvilket tillader værtssystemressourcer at blive delt og forskellige gæstesystemer at forbinde med en fælles systemmiljøskabelon.

Vigtigste nyheder i Kata Containers 3.0

I den nye version der foreslås en alternativ køretid (runtime-rs), som danner indpakningen, skrevet på Rust-sproget (runtime angivet ovenfor er skrevet på Go-sproget). køretid understøtter OCI, CRI-O og Containerd, hvilket gør den kompatibel med Docker og Kubernetes.

En anden ændring, der skiller sig ud i denne nye version af Kata Containers 3.0, er det har nu også GPU-understøttelse. Dette inkluderer understøttelse af Virtual Function I/O (VFIO), som muliggør sikre, ikke-privilegerede PCIe-enheds- og brugerrumscontrollere.

Det fremhæves også, at implementeret understøttelse for at ændre indstillinger uden at ændre hovedkonfigurationsfilen ved at erstatte blokke i separate filer placeret i "config.d/"-mappen. Rustkomponenter bruger et nyt bibliotek til at arbejde sikkert med filstier.

Derudover Et nyt Kata Containers-projekt er dukket op. Det er Confidential Containers, et open source Cloud-Native Computing Foundation (CNCF) sandkasseprojekt. Denne containerisoleringskonsekvens af Kata Containers integrerer Trusted Execution Environments (TEE)-infrastrukturen.

Af andre ændringer der skiller sig ud:

  • En ny dragonball hypervisor baseret på KVM og rust-vmm er blevet foreslået.
  • Tilføjet understøttelse af cgroup v2.
  • virtiofsd-komponent (skrevet i C) erstattet af virtiofsd-rs (skrevet i Rust).
  • Tilføjet understøttelse af sandkasseisolering af QEMU-komponenter.
  • QEMU bruger io_uring API til asynkron I/O.
  • Understøttelse af Intel TDX (Trusted Domain Extensions) til QEMU og Cloud-hypervisor er blevet implementeret.
  • Opdaterede komponenter: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Endelig for dem der er interesserede i projektet, skal du vide, at det blev skabt af Intel og Hyper, der kombinerede Clear Containers og runV-teknologier.

Projektkoden er skrevet i Go and Rust og udgives under Apache 2.0-licensen. Udviklingen af ​​projektet overvåges af en arbejdsgruppe oprettet i regi af den uafhængige organisation OpenStack Foundation.

Du kan få mere at vide om det på følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.