Το Kata Containers παρέχει έναν ασφαλή χρόνο εκτέλεσης κοντέινερ με ελαφριές εικονικές μηχανές
Μετά από δύο χρόνια ανάπτυξης, η κυκλοφορία του έργου Kata Containers 3.0 έχει δημοσιευτεί, που αναπτύσσεται μια στοίβα για την οργάνωση κοντέινερ που τρέχουν χρησιμοποιώντας μόνωση βασίζεται σε πλήρεις μηχανισμούς εικονικοποίησης.
Στο επίκεντρο του Kata βρίσκεται ο χρόνος εκτέλεσης, ο οποίος παρέχει τη δυνατότητα δημιουργίας συμπαγών εικονικών μηχανών που τρέχουν χρησιμοποιώντας έναν πλήρη hypervisor, αντί να χρησιμοποιούν παραδοσιακά κοντέινερ που χρησιμοποιούν έναν κοινό πυρήνα Linux και είναι απομονωμένα χρησιμοποιώντας χώρους ονομάτων και cgroups.
Η χρήση εικονικών μηχανών επιτρέπει την επίτευξη υψηλότερου επιπέδου ασφάλειας που προστατεύει από επιθέσεις που προκαλούνται από την εκμετάλλευση τρωτών σημείων στον πυρήνα του Linux.
Σχετικά με τα δοχεία Kata
Εμπορευματοκιβώτια Kata επικεντρώνεται στην ενσωμάτωση σε υποδομές απομόνωσης υφιστάμενων κοντέινερ με δυνατότητα χρήσης αυτών των εικονικών μηχανών για τη βελτίωση της προστασίας των παραδοσιακών κοντέινερ.
Το έργο παρέχει μηχανισμούς για να γίνουν οι ελαφριές εικονικές μηχανές συμβατές με διάφορα πλαίσια απομόνωσης κοντέινερ, πλατφόρμες ενορχήστρωσης κοντέινερ και προδιαγραφές όπως OCI, CRI και CNI. Διατίθενται ενσωματώσεις με Docker, Kubernetes, QEMU και OpenStack.
Η ολοκλήρωση με συστήματα διαχείρισης εμπορευματοκιβωτίωνΑυτό επιτυγχάνεται μέσω ενός στρώματος που προσομοιώνει τη διαχείριση κοντέινερ, το οποίο, μέσω της διεπαφής gRPC και ενός ειδικού διακομιστή μεσολάβησης, έχει πρόσβαση στον παράγοντα ελέγχου στην εικονική μηχανή. Ως hypervisor, υποστηρίζεται η χρήση του Dragonball Sandbox (μια έκδοση KVM βελτιστοποιημένη για κοντέινερ) με QEMU, καθώς και Firecracker και Cloud Hypervisor. Το περιβάλλον συστήματος περιλαμβάνει τον δαίμονα εκκίνησης και τον πράκτορα.
Ο πράκτορας εκτελεί εικόνες κοντέινερ που ορίζονται από το χρήστη σε μορφή OCI για το Docker και το CRI για την Kubernetes. Για τη μείωση της κατανάλωσης μνήμης, χρησιμοποιείται ο μηχανισμός DAX και η τεχνολογία KSM χρησιμοποιείται για την κατάργηση των ίδιων περιοχών μνήμης, επιτρέποντας την κοινή χρήση πόρων του συστήματος κεντρικού υπολογιστή και τη σύνδεση διαφορετικών φιλοξενούμενων συστημάτων με ένα κοινό πρότυπο περιβάλλοντος συστήματος.
Οι κύριες καινοτομίες του Kata Containers 3.0
Στη νέα έκδοση προτείνεται ένας εναλλακτικός χρόνος εκτέλεσης (runtime-rs), το οποίο σχηματίζει το padding wrapper, γραμμένο στη γλώσσα Rust (ο χρόνος εκτέλεσης που παρέχεται παραπάνω είναι γραμμένος στη γλώσσα Go). χρόνο εκτέλεσης υποστηρίζει OCI, CRI-O και Containerd, γεγονός που το καθιστά συμβατό με το Docker και το Kubernetes.
Μια άλλη αλλαγή που ξεχωρίζει σε αυτή τη νέα έκδοση του Kata Containers 3.0 είναι αυτή τώρα έχει και υποστήριξη GPU. Αυτό περιλαμβάνει υποστήριξη για Virtual Function I/O (VFIO), το οποίο επιτρέπει ασφαλείς, μη προνομιούχους ελεγκτές συσκευών PCIe και χώρου χρήστη.
Τονίζεται επίσης ότι Εφαρμόζεται υποστήριξη για αλλαγή ρυθμίσεων χωρίς αλλαγή του κύριου αρχείου διαμόρφωσης αντικαθιστώντας μπλοκ σε ξεχωριστά αρχεία που βρίσκονται στον κατάλογο "config.d/". Τα στοιχεία Rust χρησιμοποιούν μια νέα βιβλιοθήκη για την ασφαλή εργασία με τις διαδρομές αρχείων.
Επιπλέον, Ένα νέο έργο Kata Containers εμφανίστηκε. Είναι το Confidential Containers, ένα έργο ανοιχτού κώδικα Cloud-Native Computing Foundation (CNCF) sandbox. Αυτή η συνέπεια απομόνωσης κοντέινερ των Kata Containers ενσωματώνει την υποδομή Trusted Execution Environments (TEE).
Του άλλες αλλαγές που ξεχωρίζουν:
- Έχει προταθεί ένας νέος hypervisor dragonball βασισμένος σε KVM και rust-vmm.
- Προστέθηκε υποστήριξη για cgroup v2.
- συστατικό virtiofsd (γραμμένο σε C) αντικαταστάθηκε από virtiofsd-rs (γραμμένο σε Rust).
- Προστέθηκε υποστήριξη για απομόνωση sandbox των στοιχείων QEMU.
- Το QEMU χρησιμοποιεί το io_uring API για ασύγχρονη I/O.
- Έχει υλοποιηθεί υποστήριξη για Intel TDX (Trusted Domain Extensions) για QEMU και Cloud-hypervisor.
- Ενημερωμένα στοιχεία: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Τελικά για όσους ενδιαφέρονται για το έργο, θα πρέπει να γνωρίζετε ότι δημιουργήθηκε από την Intel και Hyper συνδυάζοντας Clear Containers και τεχνολογίες runV.
Ο κώδικας του έργου είναι γραμμένος στο Go and Rust και κυκλοφορεί με την άδεια Apache 2.0. Η ανάπτυξη του έργου επιβλέπεται από μια ομάδα εργασίας που δημιουργήθηκε υπό την αιγίδα του ανεξάρτητου οργανισμού OpenStack Foundation.
Μπορείτε να μάθετε περισσότερα για αυτό στο παρακάτω σύνδεσμο.