Kata Containers 3.0 include supporto GPU, Linux 5.19.2, QEMU 6.2.0 e altro

Darkcrizt

minuti 4

Contenitori di Kata

Kata Containers fornisce un runtime di container sicuro con macchine virtuali leggere

Dopo due anni di sviluppo, è stata pubblicata la versione del progetto Kata Containers 3.0, che si sviluppa uno stack per organizzare i contenitori in esecuzione usando l'isolamento basato su meccanismi di virtualizzazione completi.

Il fulcro di Kata è il runtime, che offre la possibilità di creare macchine virtuali compatte che funzionano utilizzando un hypervisor completo, anziché utilizzare contenitori tradizionali che utilizzano un kernel Linux comune e sono isolati utilizzando namespace e cgroup.

L'uso di macchine virtuali consente di raggiungere un livello di sicurezza più elevato che protegge dagli attacchi causati dallo sfruttamento delle vulnerabilità nel kernel Linux.

Informazioni sui contenitori Kata

Contenitori di Kata si concentra sull'integrazione nelle infrastrutture di isolamento dei container esistenti con la possibilità di utilizzare queste macchine virtuali per migliorare la protezione dei container tradizionali.

El proyecto fornisce meccanismi per rendere le macchine virtuali leggere compatibili con vari framework di isolamento container, piattaforme di orchestrazione di container e specifiche come OCI, CRI e CNI. Sono disponibili integrazioni con Docker, Kubernetes, QEMU e OpenStack.

L'integrazione con sistemi di gestione dei containerCiò si ottiene attraverso un livello che simula la gestione dei container, che, tramite l'interfaccia gRPC e un apposito proxy, accede all'agente di controllo sulla macchina virtuale. Come hypervisor, è supportato l'uso di Dragonball Sandbox (un'edizione KVM ottimizzata per i container) con QEMU, nonché Firecracker e Cloud Hypervisor. L'ambiente di sistema include il demone di avvio e l'agente.

L'agente esegue immagini contenitore definite dall'utente in formato OCI per Docker e CRI per Kubernetes. Per ridurre il consumo di memoria, viene utilizzato il meccanismo DAX e la tecnologia KSM viene utilizzata per deduplicare aree di memoria identiche, consentendo la condivisione delle risorse del sistema host e la connessione di diversi sistemi guest con un modello di ambiente di sistema comune.

Principali novità di Kata Containers 3.0

Nella nuova versione viene proposto un runtime alternativo (runtime-rs), che forma il riempimento del wrapper, scritto nel linguaggio Rust (il runtime fornito sopra è scritto nel linguaggio Go). tempo di esecuzione supporta OCI, CRI-O e Containerd, che lo rende compatibile con Docker e Kubernetes.

Un altro cambiamento che spicca in questa nuova versione di Kata Containers 3.0 è quello ora ha anche il supporto per la GPU. questo include il supporto per Virtual Function I/O (VFIO), che abilita dispositivi PCIe sicuri e senza privilegi e controller spazio utente.

Si evidenzia anche questo supporto implementato per la modifica delle impostazioni senza modificare il file di configurazione principale sostituendo i blocchi in file separati che si trovano nella directory "config.d/". I componenti Rust utilizzano una nuova libreria per lavorare con i percorsi dei file in modo sicuro.

Inoltre, È emerso un nuovo progetto Kata Containers. Si tratta di Confidential Containers, un progetto sandbox open source Cloud-Native Computing Foundation (CNCF). Questa conseguenza dell'isolamento dei container di Kata Containers integra l'infrastruttura TEE (Trusted Execution Environments).

Del altre modifiche che risaltano:

  • È stato proposto un nuovo hypervisor dragonball basato su KVM e rust-vmm.
  • Aggiunto supporto per cgroup v2.
  • componente virtiofsd (scritto in C) sostituito da virtiofsd-rs (scritto in Rust).
  • Aggiunto supporto per l'isolamento sandbox dei componenti QEMU.
  • QEMU utilizza l'API io_uring per l'I/O asincrono.
  • È stato implementato il supporto per Intel TDX (Trusted Domain Extensions) per QEMU e Cloud-hypervisor.
  • Componenti aggiornati: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Infine per chi è interessato al progetto, dovresti sapere che è stato creato da Intel e Hyper combinando Clear Containers e tecnologie runV.

Il codice del progetto è scritto in Go and Rust ed è rilasciato sotto la licenza Apache 2.0. Lo sviluppo del progetto è supervisionato da un gruppo di lavoro creato sotto gli auspici dell'organizzazione indipendente OpenStack Foundation.

Puoi saperne di più su seguente link


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.