Kata Containers 3.0 bevat GPU-ondersteuning, Linux 5.19.2, QEMU 6.2.0 en meer

Darkcrizt

4 minuten

Kata-containers

Kata Containers biedt een veilige containerruntime met lichtgewicht virtuele machines

Na twee jaar ontwikkeling de release van het Kata Containers 3.0-project is gepubliceerd, dat ontwikkelt zich een stapel om lopende containers te organiseren isolatie gebruiken gebaseerd op volledige virtualisatiemechanismen.

De kern van Kata is de runtime, die de mogelijkheid biedt om compacte virtuele machines te maken die draaien met een volledige hypervisor, in plaats van traditionele containers te gebruiken die een gemeenschappelijke Linux-kernel gebruiken en geïsoleerd zijn met behulp van naamruimten en cgroups.

Het gebruik van virtuele machines maakt het mogelijk om een ​​hoger beveiligingsniveau te bereiken dat bescherming biedt tegen aanvallen die worden veroorzaakt door het misbruiken van kwetsbaarheden in de Linux-kernel.

Over Kata-containers

Kata-containers richt zich op integratie in isolatie-infrastructuren van bestaande containers met de mogelijkheid om deze virtuele machines te gebruiken om de bescherming van traditionele containers te verbeteren.

El proyecto biedt mechanismen om lichtgewicht virtuele machines compatibel te maken met verschillende isolatiekaders containers, containerorkestratieplatforms en specificaties zoals OCI, CRI en CNI. Integraties met Docker, Kubernetes, QEMU en OpenStack zijn beschikbaar.

De integratie met containerbeheersystemene bereikt door een laag die containerbeheer simuleert, die via de gRPC-interface en een speciale proxy toegang heeft tot de controleagent op de virtuele machine. Als hypervisor wordt het gebruik van Dragonball Sandbox ondersteund (een voor containers geoptimaliseerde KVM-editie) met QEMU, evenals Firecracker en Cloud Hypervisor. De systeemomgeving omvat de opstartdaemon en de agent.

De agent voert door de gebruiker gedefinieerde containerafbeeldingen uit in OCI-indeling voor Docker en CRI voor Kubernetes. Om het geheugenverbruik te verminderen, wordt het DAX-mechanisme gebruikt en KSM-technologie wordt gebruikt om identieke geheugengebieden te dedupliceren, waardoor hostsysteembronnen kunnen worden gedeeld en verschillende gastsystemen verbinding kunnen maken met een gemeenschappelijke systeemomgevingsjabloon.

Belangrijkste nieuwigheden van Kata Containers 3.0

In de nieuwe versie een alternatieve looptijd wordt voorgesteld (runtime-rs), die de wrapper-padding vormt, geschreven in de Rust-taal (de bovenstaande runtime is geschreven in de Go-taal). looptijd ondersteunt OCI, CRI-O en Containerd, waardoor het compatibel is met Docker en Kubernetes.

Een andere verandering die opvalt in deze nieuwe versie van Kata Containers 3.0 is dat: heeft nu ook GPU-ondersteuning. Dit bevat ondersteuning voor Virtual Function I/O (VFIO), die veilige, niet-bevoorrechte PCIe-apparaat- en gebruikersruimtecontrollers mogelijk maakt.

Dat wordt ook benadrukt ondersteuning geïmplementeerd voor het wijzigen van instellingen zonder het hoofdconfiguratiebestand te wijzigen door blokken te vervangen in afzonderlijke bestanden in de map "config.d/". Rustcomponenten gebruiken een nieuwe bibliotheek om veilig met bestandspaden te werken.

Bovendien heeft Er is een nieuw Kata Containers-project ontstaan. Het is Confidential Containers, een open source Cloud-Native Computing Foundation (CNCF) sandbox-project. Dit gevolg van containerisolatie van Kata Containers integreert de Trusted Execution Environments (TEE)-infrastructuur.

Van de andere veranderingen die opvallen:

  • Er is een nieuwe dragonball-hypervisor op basis van KVM en roest-vmm voorgesteld.
  • Ondersteuning toegevoegd voor cgroup v2.
  • virtiofsd component (geschreven in C) vervangen door virtiofsd-rs (geschreven in Rust).
  • Ondersteuning toegevoegd voor sandbox-isolatie van QEMU-componenten.
  • QEMU gebruikt de io_uring API voor asynchrone I/O.
  • Ondersteuning voor Intel TDX (Trusted Domain Extensions) voor QEMU en Cloud-hypervisor is geïmplementeerd.
  • Bijgewerkte componenten: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Eindelijk voor degenen die geïnteresseerd zijn in het project, moet u weten dat het is gemaakt door Intel en Hyper door Clear Containers en runV-technologieën te combineren.

De projectcode is geschreven in Go en Rust en wordt vrijgegeven onder de Apache 2.0-licentie. De ontwikkeling van het project wordt begeleid door een werkgroep die is opgericht onder auspiciën van de onafhankelijke organisatie OpenStack Foundation.

Je vindt er meer over op volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.