Kata Containers pakub kergete virtuaalmasinatega turvalist konteineri tööaega
Pärast kahte aastat arengut projekti Kata Containers 3.0 väljalase on avaldatud, mis arendab virn jooksvate konteinerite korraldamiseks isolatsiooni kasutamine põhineb täielikel virtualiseerimismehhanismidel.
Kata keskmes on käitusaeg, mis annab võimaluse luua kompaktseid virtuaalmasinaid, mis töötavad täishüperviisoriga, selle asemel, et kasutada tavalisi konteinereid, mis kasutavad tavalist Linuxi tuuma ja on isoleeritud nimeruumide ja c-rühmade abil.
Virtuaalsete masinate kasutamine võimaldab saavutada kõrgemat turbetaset, mis kaitseb rünnakute eest, mis on põhjustatud Linuxi kerneli haavatavuste ärakasutamisest.
Kata konteinerite kohta
Kata konteinerid keskendub isolatsiooni infrastruktuuridesse integreerimisele olemasolevaid konteinereid, mis võimaldavad neid virtuaalmasinaid kasutada traditsiooniliste konteinerite kaitse parandamiseks.
El proyecto pakub mehhanisme kergete virtuaalmasinate erinevate isoleerimisraamistikega ühilduvaks muutmiseks konteinerid, konteinerite orkestreerimisplatvormid ja spetsifikatsioonid, nagu OCI, CRI ja CNI. Saadaval on integratsioonid Dockeri, Kubernetese, QEMU ja OpenStackiga.
Integreerimine konteinerihaldussüsteemidegaSee saavutatakse konteineri haldamist simuleeriva kihi kaudu, mis pääseb gRPC liidese ja spetsiaalse puhverserveri kaudu juurde virtuaalmasina juhtagendile. Hüperviisorina toetatakse Dragonball Sandboxi kasutamist (konteineri jaoks optimeeritud KVM-väljaanne) koos QEMU-ga, samuti Firecrackeri ja Cloud Hypervisoriga. Süsteemikeskkond sisaldab alglaadimisdeemonit ja agenti.
Agent käitab kasutaja määratud konteineri kujutisi OCI-vormingus Dockerile ja CRI Kubernetesele. Mälutarbimise vähendamiseks kasutatakse DAX-mehhanismi ja KSM-tehnoloogiat kasutatakse identsete mälualade dubleerimiseks, võimaldades hostisüsteemi ressursse jagada ja erinevatel külalissüsteemidel ühenduda ühise süsteemikeskkonna malliga.
Kata Containers 3.0 peamised uuendused
Uues versioonis pakutakse välja alternatiivne käitusaeg (runtime-rs), mis moodustab ümbrise täidise, kirjutatud Rust keeles (ülal toodud käitusaeg on kirjutatud Go keeles). tööaeg toetab OCI-d, CRI-O-d ja konteinereid, mis muudab selle ühilduvaks Dockeri ja Kubernetesega.
Teine muudatus, mis selles Kata Containers 3.0 uues versioonis silma paistab, on see nüüd on ka GPU tugi. See sisaldab virtuaalfunktsiooni I/O (VFIO) tuge, mis võimaldab turvalisi, mitteprivilegeeritud PCIe-seadmeid ja kasutajaruumi kontrollereid.
Samuti tuuakse seda esile juurutatud tugi seadete muutmiseks ilma peamist konfiguratsioonifaili muutmata asendades plokid eraldi failides, mis asuvad kataloogis "config.d/". Roostekomponendid kasutavad failiteedega turvaliseks töötamiseks uut teeki.
Lisaks Ilmunud on uus Kata Containers projekt. See on Confidential Containers, avatud lähtekoodiga Cloud-Native Computing Foundation (CNCF) liivakastiprojekt. Kata Containersi konteineri isoleerimise tagajärg integreerib usaldusväärse täitmiskeskkonna (TEE) infrastruktuuri.
Kohta muud muudatused mis paistavad silma:
- Välja on pakutud uus KVM-il ja rust-vmm-il põhinev Dragonballi hüperviisor.
- Lisatud tugi cgroup v2-le.
- virtiofsd komponent (kirjutatud C-s) asendatakse virtiofsd-rs-ga (kirjutatud Rust).
- Lisatud tugi QEMU komponentide liivakasti eraldamiseks.
- QEMU kasutab asünkroonse I/O jaoks io_uring API-t.
- Rakendatud on Intel TDX (usaldusväärse domeenilaiendite) tugi QEMU ja Cloud-hypervisori jaoks.
- Värskendatud komponendid: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Lõpuks neile, kes on projektist huvitatud, peaksite teadma, et selle lõid Intel ja Hyper, ühendades Clear Containers ja runV tehnoloogiad.
Projekti kood on kirjutatud Go and Rust'is ning see on välja antud Apache 2.0 litsentsi all. Projekti arendamist juhendab sõltumatu organisatsiooni OpenStack Foundation egiidi all loodud töörühm.
Selle kohta saate lisateavet aadressil järgmine link.