Kata Containers 3.0 umfasst GPU-Unterstützung, Linux 5.19.2, QEMU 6.2.0 und mehr

Darkcrizt

4 Minuten

Kata-Container

Kata Containers bietet eine sichere Containerlaufzeit mit schlanken virtuellen Maschinen

Nach zweijähriger Entwicklungszeit die Projektveröffentlichung Kata Containers 3.0 wurde veröffentlicht, das entwickelt sich ein Stapel, um laufende Container zu organisieren Isolierung verwenden basierend auf vollständigen Virtualisierungsmechanismen.

Das Herzstück von Kata ist die Laufzeit, die die Möglichkeit bietet, kompakte virtuelle Maschinen zu erstellen, die mit einem vollständigen Hypervisor ausgeführt werden, anstatt herkömmliche Container zu verwenden, die einen gemeinsamen Linux-Kernel verwenden und mithilfe von Namespaces und Cgroups isoliert sind.

Durch den Einsatz virtueller Maschinen kann ein höheres Sicherheitsniveau erreicht werden, das vor Angriffen schützt, die durch die Ausnutzung von Schwachstellen im Linux-Kernel verursacht werden.

Über Kata-Container

Kata-Container konzentriert sich auf die Integration in isolierte Infrastrukturen bestehender Container mit der Möglichkeit, diese virtuellen Maschinen zu verwenden, um den Schutz herkömmlicher Container zu verbessern.

Das Projekt stellt Mechanismen bereit, um schlanke virtuelle Maschinen mit verschiedenen Isolationsframeworks kompatibel zu machen Container, Container-Orchestrierungsplattformen und Spezifikationen wie OCI, CRI und CNI. Integrationen mit Docker, Kubernetes, QEMU und OpenStack sind verfügbar.

Die Integration mit BehältermanagementsystemenDies wird durch eine Schicht erreicht, die das Containermanagement simuliert, die über die gRPC-Schnittstelle und einen speziellen Proxy auf den Steuerungsagenten auf der virtuellen Maschine zugreift. Als Hypervisor wird die Verwendung von Dragonball Sandbox unterstützt (eine containeroptimierte KVM-Edition) mit QEMU sowie Firecracker und Cloud Hypervisor. Die Systemumgebung umfasst den Boot-Daemon und den Agenten.

Der Agent führt benutzerdefinierte Container-Images im OCI-Format aus für Docker und CRI für Kubernetes. Um den Speicherverbrauch zu reduzieren, wird der DAX-Mechanismus verwendet und die KSM-Technologie wird verwendet, um identische Speicherbereiche zu deduplizieren, sodass Hostsystemressourcen gemeinsam genutzt und verschiedene Gastsysteme mit einer gemeinsamen Systemumgebungsvorlage verbunden werden können.

Hauptneuheiten von Kata Containers 3.0

In der neuen Version eine alternative Laufzeit wird vorgeschlagen (runtime-rs), die das Wrapper-Padding bildet, geschrieben in der Sprache Rust (die oben bereitgestellte Laufzeitumgebung ist in der Sprache Go geschrieben). Laufzeit unterstützt OCI, CRI-O und Containerd, wodurch es mit Docker und Kubernetes kompatibel ist.

Eine weitere Änderung, die in dieser neuen Version von Kata Containers 3.0 auffällt, ist die hat jetzt auch GPU-Unterstützung. Dies beinhaltet Unterstützung für Virtual Function I/O (VFIO), das sichere, nicht privilegierte PCIe-Geräte- und User-Space-Controller ermöglicht.

Es wird auch hervorgehoben, dass Unterstützung für das Ändern von Einstellungen implementiert, ohne die Hauptkonfigurationsdatei zu ändern durch Ersetzen von Blöcken in separaten Dateien, die sich im Verzeichnis "config.d/" befinden. Rust-Komponenten verwenden eine neue Bibliothek, um sicher mit Dateipfaden zu arbeiten.

Zusätzlich Ein neues Kata-Container-Projekt ist entstanden. Es handelt sich um Confidential Containers, ein Open-Source-Sandbox-Projekt der Cloud-Native Computing Foundation (CNCF). Diese Konsequenz der Container-Isolation von Kata Containers integriert die Infrastruktur von Trusted Execution Environments (TEE).

Der andere Änderungen das fällt auf:

  • Ein neuer Dragonball-Hypervisor auf Basis von KVM und Rust-VMM wurde vorgeschlagen.
  • Unterstützung für cgroup v2 hinzugefügt.
  • virtiofsd-Komponente (geschrieben in C) ersetzt durch virtiofsd-rs (geschrieben in Rust).
  • Unterstützung für die Sandbox-Isolation von QEMU-Komponenten hinzugefügt.
  • QEMU verwendet die io_uring-API für asynchrone I/O.
  • Unterstützung für Intel TDX (Trusted Domain Extensions) für QEMU und Cloud-Hypervisor wurde implementiert.
  • Aktualisierte Komponenten: QEMU 6.2.0, Cloud-Hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Schließlich für diejenigen, die an dem Projekt interessiert sind, sollten Sie wissen, dass es von Intel und Hyper erstellt wurde, die Clear Containers und runV-Technologien kombinieren.

Der Projektcode ist in Go und Rust geschrieben und wird unter der Apache 2.0-Lizenz veröffentlicht. Die Entwicklung des Projekts wird von einer Arbeitsgruppe überwacht, die unter der Schirmherrschaft der unabhängigen Organisation OpenStack Foundation gegründet wurde.

Mehr darüber erfahren Sie unter folgenden Link


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.