Kata Containers מספק זמן ריצה מאובטח של מיכל עם מכונות וירטואליות קלות משקל
לאחר שנתיים של פיתוח, מהדורת פרויקט Kata Containers 3.0 פורסמה, שמתפתח ערימה לארגון מכולות פועלות באמצעות בידוד מבוסס על מנגנוני וירטואליזציה מלאים.
בליבה של Kata הוא זמן הריצה, המספק את היכולת ליצור מכונות וירטואליות קומפקטיות הפועלות באמצעות היפרוויזר מלא, במקום שימוש בקונטיינרים מסורתיים המשתמשים בליבת לינוקס נפוצה ומבודדים באמצעות מרחבי שמות ו-cgroups.
השימוש במכונות וירטואליות מאפשר להגיע לרמת אבטחה גבוהה יותר המגנה מפני התקפות הנגרמות מניצול נקודות תורפה בליבת לינוקס.
על קאטה קונטיינרים
מכולות קאטה מתמקדת בשילוב בתשתיות בידוד של קונטיינרים קיימים עם יכולת להשתמש במכונות וירטואליות אלו כדי לשפר את ההגנה על קונטיינרים מסורתיים.
proyecto אל מספק מנגנונים להפיכת מכונות וירטואליות קלות משקל לתואמות למסגרות בידוד שונות מכולות, פלטפורמות תזמור מכולות ומפרטים כגון OCI, CRI ו-CNI. זמינות אינטגרציות עם Docker, Kubernetes, QEMU ו-OpenStack.
האינטגרציה עם מערכות ניהול מכולותזה מושג באמצעות שכבה המדמה ניהול קונטיינרים, אשר באמצעות ממשק gRPC ופרוקסי מיוחד, ניגש לסוכן הבקרה במחשב הוירטואלי. בתור היפרוויזר, השימוש ב-Dragonball Sandbox נתמך (מהדורת KVM מותאמת למיכל) עם QEMU, כמו גם Firecracker ו-Cloud Hypervisor. סביבת המערכת כוללת את דמון האתחול ואת הסוכן.
הסוכן מריץ תמונות מיכל המוגדרות על ידי המשתמש בפורמט OCI עבור Docker ו-CRI עבור Kubernetes. כדי להפחית את צריכת הזיכרון, נעשה שימוש במנגנון DAX וטכנולוגיית KSM משמשת לביטול שכפול של אזורי זיכרון זהים, המאפשרת לחלוק משאבי מערכת מארח ולהתחבר למערכות אורחות שונות עם תבנית סביבת מערכת משותפת.
החידושים העיקריים של Kata Containers 3.0
בגרסה החדשה מוצע זמן ריצה חלופי (runtime-rs), היוצר את ריפוד העטיפה, כתוב בשפת Rust (זמן הריצה שסופק לעיל נכתב בשפת Go). זמן ריצה תומך ב-OCI, CRI-O ו-Containerd, מה שהופך אותו לתואם עם Docker ו- Kubernetes.
שינוי נוסף שבולט בגרסה החדשה הזו של Kata Containers 3.0 הוא זה כעת יש גם תמיכה ב-GPU. זֶה כולל תמיכה ב-Virtual Function I/O (VFIO), המאפשר בקרי מכשירי PCIe ומרחב משתמש מאובטחים ללא הרשאות.
זה גם מודגש הטמיעה תמיכה בשינוי הגדרות מבלי לשנות את קובץ התצורה הראשי על ידי החלפת בלוקים בקבצים נפרדים הממוקמים בספריית "config.d/". רכיבי חלודה משתמשים בספרייה חדשה כדי לעבוד עם נתיבי קבצים בבטחה.
בנוסף, פרויקט חדש של Kata Containers צמח. מדובר ב-Confidential Containers, פרויקט ארגז חול בקוד פתוח של Cloud-Native Computing Foundation (CNCF). תוצאה זו של בידוד מכולות של Kata Containers משלבת את תשתית Trusted Execution Environments (TEE).
של שינויים אחרים הבולטים:
- הוצע hypervisor חדש של Dragonball המבוסס על KVM ו-rust-vmm.
- נוספה תמיכה עבור cgroup v2.
- רכיב virtiofsd (כתוב ב-C) הוחלף ב-virtiofsd-rs (כתוב ב-Rust).
- נוספה תמיכה בבידוד ארגז חול של רכיבי QEMU.
- QEMU משתמש בממשק ה-API של io_uring עבור I/O אסינכרוני.
- הוטמעה תמיכה עבור Intel TDX (הרחבות דומיין מהימנות) עבור QEMU ו-Cloud-hypervisor.
- רכיבים מעודכנים: QEMU 6.2.0, Cloud-Hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
בסופו של דבר למתעניינים בפרויקט, עליך לדעת שהוא נוצר על ידי Intel ו-Hyper בשילוב Clear Containers וטכנולוגיות runV.
קוד הפרויקט כתוב ב-Go and Rust ומשוחרר תחת רישיון Apache 2.0. פיתוח הפרויקט מפוקח על ידי קבוצת עבודה שנוצרה בחסות הארגון העצמאי OpenStack Foundation.
תוכל לברר על כך עוד בכתובת הקישור הבא.