Kata Containers 3.0 inclut le support GPU, Linux 5.19.2, QEMU 6.2.0 et plus

Darkcrizt

Minutes 4

Conteneurs Kata

Kata Containers fournit un runtime de conteneur sécurisé avec des machines virtuelles légères

Après deux ans de développement, la version du projet Kata Containers 3.0 a été publiée, qui se développe une pile pour organiser les conteneurs en cours d'exécution utiliser l'isolant basés sur des mécanismes de virtualisation complets.

Au cœur de Kata se trouve le runtime, qui offre la possibilité de créer des machines virtuelles compactes qui s'exécutent à l'aide d'un hyperviseur complet, plutôt que d'utiliser des conteneurs traditionnels qui utilisent un noyau Linux commun et sont isolés à l'aide d'espaces de noms et de cgroups.

L'utilisation de machines virtuelles permet d'atteindre un niveau de sécurité plus élevé qui protège contre les attaques causées par l'exploitation des vulnérabilités du noyau Linux.

À propos des conteneurs Kata

Conteneurs Kata se concentre sur l'intégration dans les infrastructures d'isolement des conteneurs existants avec la possibilité d'utiliser ces machines virtuelles pour améliorer la protection des conteneurs traditionnels.

Le projet fournit des mécanismes pour rendre les machines virtuelles légères compatibles avec divers cadres d'isolation conteneurs, plates-formes d'orchestration de conteneurs et spécifications telles que OCI, CRI et CNI. Des intégrations avec Docker, Kubernetes, QEMU et OpenStack sont disponibles.

L'intégration avec des systèmes de gestion de conteneursCeci est réalisé grâce à une couche qui simule la gestion des conteneurs, qui, via l'interface gRPC et un proxy spécial, accède à l'agent de contrôle sur la machine virtuelle. En tant qu'hyperviseur, l'utilisation de Dragonball Sandbox est prise en charge (une édition KVM optimisée pour les conteneurs) avec QEMU, ainsi que Firecracker et Cloud Hypervisor. L'environnement système comprend le démon de démarrage et l'agent.

L'agent exécute des images de conteneur définies par l'utilisateur au format OCI pour Docker et CRI pour Kubernetes. Pour réduire la consommation de mémoire, le mécanisme DAX est utilisé et la technologie KSM est utilisée pour dédupliquer des zones de mémoire identiques, permettant aux ressources du système hôte d'être partagées et à différents systèmes invités de se connecter avec un modèle d'environnement système commun.

Principales nouveautés de Kata Containers 3.0

Dans la nouvelle version un runtime alternatif est proposé (runtime-rs), qui forme le remplissage du wrapper, écrit en langage Rust (le runtime fourni ci-dessus est écrit en langage Go). Durée prend en charge OCI, CRI-O et Containerd, ce qui le rend compatible avec Docker et Kubernetes.

Un autre changement qui se démarque dans cette nouvelle version de Kata Containers 3.0 est que prend désormais également en charge le GPU. Cette inclut la prise en charge des E/S de fonction virtuelle (VFIO), qui active les périphériques PCIe sécurisés et non privilégiés et les contrôleurs d'espace utilisateur.

Il est également souligné que prise en charge implémentée pour modifier les paramètres sans modifier le fichier de configuration principal en remplaçant les blocs dans des fichiers séparés situés dans le répertoire "config.d/". Les composants Rust utilisent une nouvelle bibliothèque pour travailler avec les chemins de fichiers en toute sécurité.

En outre, Un nouveau projet Kata Containers a vu le jour. Il s'agit de Confidential Containers, un projet sandbox open source de la Cloud-Native Computing Foundation (CNCF). Cette conséquence de l'isolation des conteneurs de Kata Containers intègre l'infrastructure Trusted Execution Environments (TEE).

De l' autres changements qui se démarquent:

  • Un nouvel hyperviseur dragonball basé sur KVM et rust-vmm a été proposé.
  • Ajout de la prise en charge de cgroup v2.
  • Composant virtiofsd (écrit en C) remplacé par virtiofsd-rs (écrit en Rust).
  • Ajout de la prise en charge de l'isolation sandbox des composants QEMU.
  • QEMU utilise l'API io_uring pour les E/S asynchrones.
  • La prise en charge d'Intel TDX (Trusted Domain Extensions) pour QEMU et Cloud-hypervisor a été implémentée.
  • Composants mis à jour : QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Enfin pour ceux qui sont intéressés par le projet, il faut savoir qu'il a été créé par Intel et Hyper combinant les technologies Clear Containers et runV.

Le code du projet est écrit en Go et Rust et est publié sous la licence Apache 2.0. Le développement du projet est supervisé par un groupe de travail créé sous les auspices de l'organisation indépendante OpenStack Foundation.

Vous pouvez en savoir plus sur lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.