Kata Containers 3.0에는 GPU 지원, Linux 5.19.2, QEMU 6.2.0 등이 포함됩니다.

Darkcrizt

4 분

카타 컨테이너

Kata Containers는 경량 가상 머신으로 안전한 컨테이너 런타임을 제공합니다.

XNUMX 년의 개발 끝에 Kata Containers 3.0 프로젝트 릴리스가 게시되었습니다. 그 발전 실행 중인 컨테이너를 구성하는 스택 단열재 사용 완전한 가상화 메커니즘을 기반으로 합니다.

Kata의 핵심에는 공통 Linux 커널을 사용하고 네임스페이스 및 cgroup을 사용하여 격리된 기존 컨테이너를 사용하는 대신 전체 하이퍼바이저를 사용하여 실행되는 소형 가상 머신을 생성하는 기능을 제공하는 런타임이 있습니다.

가상 머신을 사용하면 Linux 커널의 취약점을 악용하여 발생하는 공격으로부터 보호하는 더 높은 수준의 보안을 달성할 수 있습니다.

카타 컨테이너 정보

카타 컨테이너 격리 인프라에 통합하는 데 중점을 둡니다. 기존 컨테이너의 보호를 개선하기 위해 이러한 가상 머신을 사용할 수 있는 기존 컨테이너의

프로젝트 다양한 격리 프레임워크와 호환되는 경량 가상 머신을 만드는 메커니즘을 제공합니다. 컨테이너, 컨테이너 오케스트레이션 플랫폼 및 OCI, CRI 및 CNI와 같은 사양. Docker, Kubernetes, QEMU 및 OpenStack과의 통합이 가능합니다.

통합 컨테이너 관리 시스템으로이는 컨테이너 관리를 시뮬레이션하는 레이어를 통해 달성됩니다., gRPC 인터페이스와 특수 프록시를 통해 가상 머신의 제어 에이전트에 액세스합니다. 하이퍼바이저로 드래곤볼 샌드박스 사용 지원 (컨테이너 최적화 KVM 에디션) QEMU, Firecracker 및 Cloud Hypervisor 포함. 시스템 환경에는 부트 데몬과 에이전트가 포함됩니다.

에이전트 사용자 정의 컨테이너 이미지를 OCI 형식으로 실행 Kubernetes용 Docker 및 CRI용. 메모리 소비를 줄이기 위해 DAX 메커니즘이 사용됩니다. KSM 기술을 사용하여 동일한 메모리 영역을 중복 제거하여 호스트 시스템 리소스를 공유하고 다른 게스트 시스템을 공통 시스템 환경 템플릿과 연결할 수 있습니다.

Kata Containers 3.0의 주요 참신함

새 버전에서 대체 런타임이 제안됨 (runtime-rs)는 래퍼 패딩을 형성하며 Rust 언어로 작성되었습니다(위에 제공된 런타임은 Go 언어로 작성됨). 실행 시간 OCI, CRI-O 및 Containerd 지원, Docker 및 Kubernetes와 호환됩니다.

이 새 버전의 Kata Containers 3.0에서 눈에 띄는 또 다른 변경 사항은 이제 GPU도 지원합니다.. 이 가상 기능 I/O(VFIO) 지원 포함, 권한이 없는 안전한 PCIe 장치 및 사용자 공간 컨트롤러를 활성화합니다.

또한 기본 구성 파일을 변경하지 않고 설정 변경 지원 구현 "config.d/" 디렉토리에 있는 별도의 파일에서 블록을 교체합니다. Rust 구성 요소는 파일 경로를 안전하게 작업하기 위해 새 라이브러리를 사용합니다.

또한, 새로운 Kata Containers 프로젝트가 등장했습니다. 오픈 소스 CNCF(Cloud-Native Computing Foundation) 샌드박스 프로젝트인 Confidential Containers입니다. Kata Containers의 이러한 컨테이너 격리 결과는 TEE(신뢰할 수 있는 실행 환경) 인프라를 통합합니다.

다른 변화 눈에 띄는 :

  • KVM 및 rust-vmm 기반의 새로운 드래곤볼 하이퍼바이저가 제안되었습니다.
  • cgroup v2에 대한 지원이 추가되었습니다.
  • virtiofsd 구성 요소(C로 작성)가 virtiofsd-rs(Rust로 작성)로 대체되었습니다.
  • QEMU 구성 요소의 샌드박스 격리에 대한 지원이 추가되었습니다.
  • QEMU는 비동기 I/O를 위해 io_uring API를 사용합니다.
  • QEMU 및 클라우드 하이퍼바이저용 Intel TDX(Trusted Domain Extensions) 지원이 구현되었습니다.
  • 업데이트된 구성 요소: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

최종적으로 프로젝트에 관심이있는 사람들을 위해, Intel과 Hyper가 Clear Containers와 runV 기술을 결합하여 만든 것임을 알아야 합니다.

프로젝트 코드는 Go와 Rust로 작성되었으며 Apache 2.0 라이선스로 배포됩니다. 프로젝트 개발은 독립 조직인 OpenStack Foundation의 후원 하에 생성된 작업 그룹에서 감독합니다.

자세한 내용은 에서 확인할 수 있습니다. 다음 링크.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.