„Kata Containers“ suteikia saugų konteinerio vykdymo laiką su lengvomis virtualiomis mašinomis
Po dvejų metų plėtros buvo paskelbtas Kata Containers 3.0 projekto leidimas, kad vystosi rietuvė važiuojantiems konteineriams organizuoti naudojant izoliaciją paremtas pilnais virtualizacijos mechanizmais.
Kata esmė yra vykdymo laikas, suteikiantis galimybę kurti kompaktiškas virtualias mašinas, veikiančias naudojant pilną hipervizorių, o ne naudojant tradicinius konteinerius, naudojančius bendrą Linux branduolį ir atskirtus naudojant vardų sritis ir cgrupes.
Virtualių mašinų naudojimas leidžia pasiekti aukštesnį saugumo lygį, kuris apsaugo nuo atakų, kurias sukelia Linux branduolio pažeidžiamumų išnaudojimas.
Apie Kata konteinerius
Kata konteineriai daugiausia dėmesio skiriama integravimui į izoliacines infrastruktūras esamų konteinerių su galimybe naudoti šias virtualias mašinas, siekiant pagerinti tradicinių konteinerių apsaugą.
El proyecto pateikia mechanizmus, leidžiančius lengvai virtualias mašinas suderinti su įvairiomis izoliavimo sistemomis konteineriai, konteinerių orkestravimo platformos ir specifikacijos, pvz., OCI, CRI ir CNI. Galimos integracijos su Docker, Kubernetes, QEMU ir OpenStack.
Integracija su konteinerių valdymo sistemomisTai pasiekiama naudojant sluoksnį, kuris imituoja konteinerių valdymą, kuri per gRPC sąsają ir specialų tarpinį serverį pasiekia valdymo agentą virtualioje mašinoje. Kaip hipervizorius palaikomas Dragonball Sandbox naudojimas (konteineriui optimizuotas KVM leidimas) su QEMU, taip pat Firecracker ir Cloud Hypervisor. Sistemos aplinka apima įkrovos demoną ir agentą.
Agentas paleidžia vartotojo apibrėžtus konteinerio vaizdus OCI formatu Docker ir CRI Kubernetes. Norint sumažinti atminties suvartojimą, naudojamas DAX mechanizmas ir KSM technologija naudojama identiškoms atminties sritims panaikinti, leidžiančią bendrinti pagrindinio kompiuterio išteklius, o skirtingoms svečių sistemoms prisijungti prie bendro sistemos aplinkos šablono.
Pagrindinės Kata Containers 3.0 naujovės
Naujoje versijoje siūlomas alternatyvus vykdymo laikas (runtime-rs), kuris sudaro paketo užpildą, parašyta Rust kalba (aukščiau pateikta vykdymo laikas yra parašyta Go kalba). veikimo laikas palaiko OCI, CRI-O ir konteinerį, todėl jis suderinamas su „Docker“ ir „Kubernetes“.
Kitas pakeitimas, kuris išsiskiria šioje naujoje „Kata Containers 3.0“ versijoje, yra tas dabar taip pat turi GPU palaikymą. Tai apima virtualios funkcijos įvesties / išvesties (VFIO) palaikymą, kuri įgalina saugius, neprivilegijuotus PCIe įrenginius ir vartotojo erdvės valdiklius.
Taip pat pabrėžiama įdiegtas palaikymas keisti nustatymus nekeičiant pagrindinio konfigūracijos failo pakeičiant blokus atskiruose failuose, esančiuose „config.d/“ kataloge. Rūdžių komponentai naudoja naują biblioteką, kad galėtų saugiai dirbti su failų keliais.
Be to, Atsirado naujas „Kata Containers“ projektas. Tai Confidential Containers, atvirojo kodo debesies vietinio skaičiavimo fondo (CNCF) smėlio dėžės projektas. Ši „Kata Containers“ konteinerio izoliavimo pasekmė integruoja patikimos vykdymo aplinkos (TEE) infrastruktūrą.
iš kiti pokyčiai kad išsiskiria:
- Buvo pasiūlytas naujas Dragonball hipervizorius, pagrįstas KVM ir rust-vmm.
- Pridėtas cgroup v2 palaikymas.
- virtiofsd komponentas (parašytas C) pakeistas virtiofsd-rs (parašytas Rust).
- Pridėtas QEMU komponentų izoliavimo smėlio dėžėje palaikymas.
- QEMU naudoja io_uring API asinchroniniam I/O.
- Įdiegtas „Intel TDX“ (patikimų domenų plėtinių), skirtų QEMU ir „Cloud-hypervisor“, palaikymas.
- Atnaujinti komponentai: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Pagaliau besidomintiems projektu, turėtumėte žinoti, kad jį sukūrė „Intel“ ir „Hyper“, derindami „Clear Containers“ ir „runV“ technologijas.
Projekto kodas parašytas „Go and Rust“ ir išleistas pagal „Apache 2.0“ licenciją. Projekto plėtrą prižiūri darbo grupė, sukurta prie nepriklausomos organizacijos „OpenStack Foundation“.
Daugiau apie tai galite sužinoti adresu sekanti nuoroda.