Kata Containers pruža sigurno vrijeme izvođenja spremnika s laganim virtualnim strojevima
Nakon dvije godine razvoja, izdanje projekta Kata Containers 3.0 je objavljeno, koji se razvija stog za organiziranje tekućih spremnika pomoću izolacije temeljeno na kompletnim mehanizmima virtualizacije.
U srcu Kata je runtime, koji pruža mogućnost stvaranja kompaktnih virtualnih strojeva koji se pokreću pomoću potpunog hipervizora, umjesto da koriste tradicionalne spremnike koji koriste zajednički Linux kernel i izolirani su pomoću prostora imena i cgrupa.
Korištenje virtualnih strojeva omogućuje postizanje više razine sigurnosti koja štiti od napada uzrokovanih iskorištavanjem ranjivosti u Linux kernelu.
O Kata kontejnerima
Kata kontejneri fokusira se na integraciju u izolacijske infrastrukture postojećih spremnika s mogućnošću korištenja ovih virtualnih strojeva za poboljšanje zaštite tradicionalnih spremnika.
Projekt pruža mehanizme za izradu laganih virtualnih strojeva kompatibilnih s različitim izolacijskim okvirima spremnike, platforme za orkestraciju spremnika i specifikacije kao što su OCI, CRI i CNI. Dostupne su integracije s Dockerom, Kubernetesom, QEMU i OpenStackom.
Integracija sa sustavima upravljanja kontejnerimaTo se postiže kroz sloj koji simulira upravljanje spremnikom, koji preko gRPC sučelja i posebnog proxyja pristupa kontrolnom agentu na virtualnom računalu. Kao hipervizor, podržana je upotreba Dragonball Sandboxa (KVM izdanje optimizirano za spremnik) s QEMU, kao i Firecracker i Cloud Hypervisor. Okruženje sustava uključuje demona za pokretanje i agenta.
agent pokreće korisnički definirane slike spremnika u OCI formatu za Docker i CRI za Kubernetes. Za smanjenje potrošnje memorije koristi se DAX mehanizam a KSM tehnologija koristi se za dedupliciranje identičnih memorijskih područja, dopuštajući dijeljenje resursa glavnog sustava i povezivanje različitih gostujućih sustava sa zajedničkim predloškom okruženja sustava.
Glavni noviteti Kata Containers 3.0
U novoj verziji predlaže se alternativno vrijeme izvođenja (runtime-rs), koji čini oblogu omotača, napisan u jeziku Rust (gore navedeno vrijeme izvođenja napisano je u jeziku Go). vrijeme izvođenja podržava OCI, CRI-O i Containerd, što ga čini kompatibilnim s Dockerom i Kubernetesom.
Još jedna promjena koja se ističe u ovoj novoj verziji Kata Containers 3.0 je ta sada također ima GPU podršku. Ovaj uključuje podršku za virtualni I/O (VFIO), koji omogućuje sigurne, neprivilegirane kontrolere PCIe uređaja i korisničkog prostora.
Također je istaknuto da implementirana podrška za promjenu postavki bez promjene glavne konfiguracijske datoteke zamjenom blokova u zasebnim datotekama koje se nalaze u direktoriju "config.d/". Komponente Rusta koriste novu biblioteku za siguran rad s putovima datoteka.
Osim toga, Pojavio se novi projekt Kata Containers. To je Confidential Containers, projekt sandboxa otvorenog koda Cloud-Native Computing Foundation (CNCF). Ova posljedica izolacije spremnika Kata Containers integrira infrastrukturu Trusted Execution Environments (TEE).
Od ostale promjene koji se ističu:
- Predložen je novi hipervizor zmajeve kugle temeljen na KVM-u i rust-vmm-u.
- Dodana podrška za cgroup v2.
- komponenta virtiofsd (napisana u C-u) zamijenjena s virtiofsd-rs (napisana u Rustu).
- Dodana podrška za izolaciju QEMU komponenti u sandboxu.
- QEMU koristi io_uring API za asinkroni I/O.
- Implementirana je podrška za Intel TDX (Trusted Domain Extensions) za QEMU i Cloud-hypervisor.
- Ažurirane komponente: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Konačno za one koji su zainteresirani za projekt, trebali biste znati da su ga stvorili Intel i Hyper kombinirajući Clear Containers i runV tehnologije.
Kôd projekta napisan je u Go i Rustu i objavljen je pod licencom Apache 2.0. Razvoj projekta nadzire radna skupina stvorena pod okriljem neovisne organizacije OpenStack Foundation.
Više o tome možete saznati na sljedeći link.