A Kata Containers biztonságos konténer-futási időt biztosít könnyű virtuális gépekkel
Két év fejlesztés után Megjelent a Kata Containers 3.0 projekt kiadása, hogy kialakul egy verem a futó konténerek rendszerezéséhez szigetelés segítségével teljes virtualizációs mechanizmusokon alapul.
A Kata középpontjában a futási környezet áll, amely lehetővé teszi olyan kompakt virtuális gépek létrehozását, amelyek teljes hypervisor használatával futnak, nem pedig hagyományos, közös Linux-kernelt használó, névterekkel és cgroupokkal elkülönített konténerek használatával.
A virtuális gépek használata lehetővé teszi a magasabb szintű biztonság elérését, amely megvéd a Linux kernel sebezhetőségeinek kihasználása által okozott támadásoktól.
Kata Containersről
Kata Konténerek az elszigetelt infrastruktúrákba való integrálódásra összpontosít meglévő tárolók, amelyek képesek ezeknek a virtuális gépeknek a használatával javítani a hagyományos tárolók védelmét.
A projekt mechanizmusokat biztosít a könnyű virtuális gépek kompatibilissé tételéhez a különböző elkülönítési keretrendszerekkel konténerek, konténer hangszerelési platformok és olyan specifikációk, mint az OCI, CRI és CNI. Elérhető a Docker, a Kubernetes, a QEMU és az OpenStack integrációja.
Az integráció konténerkezelő rendszerekkelEz a konténerkezelést szimuláló rétegen keresztül érhető el, amely a gRPC felületen és egy speciális proxyn keresztül hozzáfér a virtuális gép vezérlőügynökéhez. Hipervizorként a Dragonball Sandbox használata támogatott (konténer-optimalizált KVM-kiadás) QEMU-val, valamint Firecracker és Cloud Hypervisor. A rendszerkörnyezet tartalmazza a rendszerindító démont és az ügynököt.
Az ügynök felhasználó által definiált konténerképeket futtat OCI formátumban a Docker és a CRI a Kubernetes számára. A memóriafelhasználás csökkentése érdekében a DAX mechanizmust használják és a KSM technológia az azonos memóriaterületek duplikációjának megszüntetésére szolgál, lehetővé téve a gazdagép rendszer erőforrásainak megosztását, és a különböző vendégrendszerek csatlakozását egy közös rendszerkörnyezeti sablonhoz.
A Kata Containers 3.0 főbb újdonságai
Az új verzióban alternatív futási idő javasolt (runtime-rs), amely a burkoló paddingot képezi, Rust nyelven írva (a fent megadott futási idő Go nyelven íródott). futási idő támogatja az OCI-t, a CRI-O-t és a Container-t, ami kompatibilissé teszi a Dockerrel és a Kubernetes-szel.
Egy másik változás, amely kiemelkedik a Kata Containers 3.0 új verziójában, az most már GPU támogatással is rendelkezik. Ez támogatja a Virtual Function I/O (VFIO) funkciót, amely biztonságos, nem privilegizált PCIe eszköz- és felhasználói területvezérlőket tesz lehetővé.
Azt is kiemelik megvalósított támogatás a beállítások módosításához a fő konfigurációs fájl módosítása nélkül a blokkok lecserélésével a "config.d/" könyvtárban található külön fájlokban. A Rust összetevők egy új könyvtárat használnak a fájlútvonalak biztonságos kezeléséhez.
Ezen túlmenően, Új Kata Containers projekt jelent meg. Ez a Confidential Containers, egy nyílt forráskódú Cloud-Native Computing Foundation (CNCF) sandbox projekt. A Kata Containers konténer-izolációs következménye integrálja a Trusted Execution Environments (TEE) infrastruktúrát.
A egyéb változások amelyek kiemelkednek:
- Javasoltak egy új, KVM és rust-vmm alapú Dragonball hypervisort.
- Hozzáadott támogatás a cgroup v2-hez.
- virtiofsd komponens (C-ben írva) helyére virtiofsd-rs (Rust nyelven írva).
- Hozzáadott támogatás a QEMU komponensek sandbox elkülönítéséhez.
- A QEMU az io_uring API-t használja az aszinkron I/O-hoz.
- Megvalósult az Intel TDX (Trusted Domain Extensions) támogatása a QEMU és a Cloud-hypervisor számára.
- Frissített összetevők: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Végül azok számára, akik érdeklődnek a projekt iránt, tudnia kell, hogy az Intel és a Hyper hozta létre a Clear Containers és a runV technológiák kombinálásával.
A projekt kódja Go and Rust nyelven íródott, és az Apache 2.0 licenc alatt kerül kiadásra. A projekt fejlesztését az OpenStack Foundation független szervezet égisze alatt létrehozott munkacsoport felügyeli.
Erről többet megtudhat a címen következő link.