Kata Containers menyediakan runtime container yang aman dengan mesin virtual yang ringan
Setelah dua tahun pembangunan, rilis proyek Kata Containers 3.0 telah diterbitkan, yang berkembang tumpukan untuk mengatur wadah yang sedang berjalan menggunakan isolasi berdasarkan mekanisme virtualisasi lengkap.
Inti dari Kata adalah runtime, yang menyediakan kemampuan untuk membuat mesin virtual kompak yang berjalan menggunakan hypervisor penuh, daripada menggunakan container tradisional yang menggunakan kernel Linux umum dan diisolasi menggunakan namespace dan cgroup.
Penggunaan mesin virtual memungkinkan untuk mencapai tingkat keamanan yang lebih tinggi yang melindungi terhadap serangan yang disebabkan oleh eksploitasi kerentanan di kernel Linux.
Tentang Kontainer Kata
Kontainer Kata berfokus pada integrasi ke dalam infrastruktur isolasi wadah yang ada dengan kemampuan untuk menggunakan mesin virtual ini untuk meningkatkan perlindungan wadah tradisional.
Proyek menyediakan mekanisme untuk membuat mesin virtual ringan kompatibel dengan berbagai kerangka kerja isolasi container, platform orkestrasi container, dan spesifikasi seperti OCI, CRI, dan CNI. Integrasi dengan Docker, Kubernetes, QEMU dan OpenStack tersedia.
Integrasi dengan sistem manajemen kontainere dicapai melalui lapisan yang mensimulasikan manajemen kontainer, yang, melalui antarmuka gRPC dan proxy khusus, mengakses agen kontrol di mesin virtual. Sebagai hypervisor, penggunaan Dragonball Sandbox didukung (edisi KVM yang dioptimalkan untuk container) dengan QEMU, serta Firecracker dan Cloud Hypervisor. Lingkungan sistem mencakup daemon boot dan agen.
Agen menjalankan gambar kontainer yang ditentukan pengguna dalam format OCI untuk Docker dan CRI untuk Kubernetes. Untuk mengurangi konsumsi memori, mekanisme DAX digunakan dan teknologi KSM digunakan untuk menghilangkan duplikasi area memori yang identik, memungkinkan sumber daya sistem host untuk dibagikan dan sistem tamu yang berbeda terhubung dengan template lingkungan sistem umum.
Hal baru utama dari Kata Containers 3.0
Di versi baru runtime alternatif diusulkan (runtime-rs), yang membentuk padding pembungkus, ditulis dalam bahasa Rust (runtime yang disediakan di atas ditulis dalam bahasa Go). waktu tayang mendukung OCI, CRI-O dan Containerd, yang membuatnya kompatibel dengan Docker dan Kubernetes.
Perubahan lain yang menonjol dalam versi baru Kata Containers 3.0 ini adalah sekarang juga memiliki dukungan GPU. Ini termasuk dukungan untuk Fungsi Virtual I/O (VFIO), yang memungkinkan perangkat PCIe yang aman dan tidak memiliki hak istimewa dan pengontrol ruang pengguna.
Itu juga disorot itu menerapkan dukungan untuk mengubah pengaturan tanpa mengubah file konfigurasi utama dengan mengganti blok di file terpisah yang terletak di direktori "config.d/". Komponen Rust menggunakan pustaka baru untuk bekerja dengan jalur file dengan aman.
Selain itu, Sebuah proyek Kata Containers baru telah muncul. Ini adalah Confidential Containers, proyek sandbox Cloud-Native Computing Foundation (CNCF) open source. Konsekuensi isolasi container dari Kata Containers ini mengintegrasikan infrastruktur Trusted Execution Environments (TEE).
dari perubahan lainnya yang menonjol:
- Hypervisor dragonball baru berdasarkan KVM dan rust-vmm telah diusulkan.
- Menambahkan dukungan untuk cgroup v2.
- komponen virtiofsd (ditulis dalam C) digantikan oleh virtiofsd-rs (ditulis dalam Rust).
- Dukungan tambahan untuk isolasi sandbox komponen QEMU.
- QEMU menggunakan io_uring API untuk I/O asinkron.
- Dukungan untuk Intel TDX (Ekstensi Domain Tepercaya) untuk QEMU dan Cloud-hypervisor telah diterapkan.
- Komponen yang diperbarui: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Akhirnya bagi mereka yang tertarik dengan proyek tersebut, Anda harus tahu bahwa itu dibuat oleh Intel dan Hyper yang menggabungkan Clear Containers dan teknologi runV.
Kode proyek ditulis dalam Go dan Rust dan dirilis di bawah lisensi Apache 2.0. Pengembangan proyek diawasi oleh kelompok kerja yang dibuat di bawah naungan organisasi independen OpenStack Foundation.
Anda dapat mengetahuinya lebih lanjut di link berikut.