Kata Containers nodrošina drošu konteinera izpildlaiku ar vieglām virtuālajām mašīnām
Pēc divu gadu attīstības ir publicēts Kata Containers 3.0 projekta laidiens, kas attīstās kaudze, lai sakārtotu skriešanas konteinerus izmantojot izolāciju balstās uz pilnīgiem virtualizācijas mehānismiem.
Kata centrā ir izpildlaiks, kas nodrošina iespēju izveidot kompaktas virtuālās mašīnas, kas darbojas, izmantojot pilnu hipervizoru, nevis izmantojot tradicionālos konteinerus, kas izmanto kopīgu Linux kodolu un ir izolēti, izmantojot nosaukumvietas un cgroups.
Virtuālo mašīnu izmantošana ļauj sasniegt augstāku drošības līmeni, kas aizsargā pret uzbrukumiem, ko izraisa Linux kodola ievainojamību izmantošana.
Par Kata Containers
Kata konteineri koncentrējas uz integrāciju izolācijas infrastruktūrās esošajiem konteineriem ar iespēju izmantot šīs virtuālās mašīnas, lai uzlabotu tradicionālo konteineru aizsardzību.
Projekts nodrošina mehānismus, lai padarītu vieglas virtuālās mašīnas saderīgas ar dažādiem izolācijas ietvariem konteineri, konteineru orķestrēšanas platformas un specifikācijas, piemēram, OCI, CRI un CNI. Ir pieejamas integrācijas ar Docker, Kubernetes, QEMU un OpenStack.
Integrācija ar konteineru vadības sistēmāme tiek panākts, izmantojot slāni, kas simulē konteineru pārvaldību, kas, izmantojot gRPC saskarni un īpašu starpniekserveri, piekļūst vadības aģentam virtuālajā mašīnā. Kā hipervizors tiek atbalstīta Dragonball Sandbox izmantošana (konteineriem optimizēts KVM izdevums) ar QEMU, kā arī Firecracker un Cloud Hypervisor. Sistēmas vide ietver sāknēšanas dēmonu un aģentu.
Aģents palaiž lietotāja definētus konteinera attēlus OCI formātā Docker un CRI Kubernetes. Lai samazinātu atmiņas patēriņu, tiek izmantots DAX mehānisms un KSM tehnoloģija tiek izmantota identisku atmiņas apgabalu dublēšanai, ļaujot koplietot resursdatora sistēmas resursus un dažādām viesu sistēmām izveidot savienojumu ar kopēju sistēmas vides veidni.
Kata Containers 3.0 galvenie jauninājumi
Jaunajā versijā tiek piedāvāts alternatīvs izpildlaiks (runtime-rs), kas veido iesaiņojuma polsterējumu, rakstīts Rust valodā (iepriekš norādītais izpildlaiks ir rakstīts Go valodā). izpildes laiks atbalsta OCI, CRI-O un Containerd, kas padara to saderīgu ar Docker un Kubernetes.
Vēl viena izmaiņa, kas izceļas šajā jaunajā Kata Containers 3.0 versijā, ir tā tagad ir arī GPU atbalsts. Šis ietver atbalstu virtuālajai funkcijai I/O (VFIO), kas nodrošina drošus, nepriviliģētus PCIe ierīču un lietotāja vietas kontrolierus.
Tas ir arī izcelts ieviests atbalsts iestatījumu maiņai, nemainot galveno konfigurācijas failu aizstājot blokus atsevišķos failos, kas atrodas direktorijā "config.d/". Rūsas komponenti izmanto jaunu bibliotēku, lai droši strādātu ar failu ceļiem.
Turklāt, Ir parādījies jauns Kata Containers projekts. Tas ir Confidential Containers, atvērtā pirmkoda Cloud-Native Computing Foundation (CNCF) smilškastes projekts. Šīs Kata Containers konteineru izolācijas sekas integrē Trusted Execution Environments (TEE) infrastruktūru.
Gada citas izmaiņas kas izceļas:
- Ir ierosināts jauns Dragonball hipervizors, kura pamatā ir KVM un rust-vmm.
- Pievienots atbalsts cgroup v2.
- virtiofsd komponents (rakstīts C) aizstāts ar virtiofsd-rs (rakstīts Rust).
- Pievienots atbalsts smilškastes QEMU komponentu izolācijai.
- QEMU izmanto io_uring API asinhronai I/O.
- Ir ieviests atbalsts Intel TDX (Trusted Domain Extensions) QEMU un Cloud-hipervizoram.
- Atjauninātie komponenti: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Beidzot tiem, kurus interesē projekts, jums jāzina, ka to izveidoja Intel un Hyper, apvienojot Clear Containers un runV tehnoloģijas.
Projekta kods ir rakstīts Go and Rust un tiek izlaists saskaņā ar Apache 2.0 licenci. Projekta izstrādi pārrauga darba grupa, kas izveidota neatkarīgās organizācijas OpenStack Foundation paspārnē.
Vairāk par to varat uzzināt vietnē šī saite.