Kata Containers gir en sikker containerkjøring med lette virtuelle maskiner
Etter to års utvikling, Kata Containers 3.0-prosjektutgivelsen har blitt publisert, som utvikler seg en stabel for å organisere løpende containere ved hjelp av isolasjon basert på komplette virtualiseringsmekanismer.
I hjertet av Kata er kjøretiden, som gir muligheten til å lage kompakte virtuelle maskiner som kjører ved hjelp av en full hypervisor, i stedet for å bruke tradisjonelle beholdere som bruker en felles Linux-kjerne og er isolert ved hjelp av navnerom og cgroups.
Bruken av virtuelle maskiner gjør det mulig å oppnå et høyere sikkerhetsnivå som beskytter mot angrep forårsaket av utnyttelse av sårbarheter i Linux-kjernen.
Om Kata Containers
Kata containere fokuserer på integrering i isolasjonsinfrastrukturer av eksisterende containere med muligheten til å bruke disse virtuelle maskinene for å forbedre beskyttelsen av tradisjonelle containere.
Prosjektet gir mekanismer for å gjøre lette virtuelle maskiner kompatible med ulike isolasjonsrammer containere, containerorkestreringsplattformer og spesifikasjoner som OCI, CRI og CNI. Integrasjoner med Docker, Kubernetes, QEMU og OpenStack er tilgjengelige.
Integrasjonen med containerstyringssystemerDette oppnås gjennom et lag som simulerer containerhåndtering, som gjennom gRPC-grensesnittet og en spesiell proxy får tilgang til kontrollagenten på den virtuelle maskinen. Som hypervisor støttes bruken av Dragonball Sandbox (en containeroptimalisert KVM-utgave) med QEMU, samt Firecracker og Cloud Hypervisor. Systemmiljøet inkluderer oppstartsdemonen og agenten.
Agenten kjører brukerdefinerte containerbilder i OCI-format for Docker og CRI for Kubernetes. For å redusere minneforbruket brukes DAX-mekanismen og KSM-teknologi brukes til å deduplisere identiske minneområder, slik at vertssystemressurser kan deles og forskjellige gjestesystemer kobles til en felles systemmiljømal.
Hovednyhetene til Kata Containers 3.0
I den nye versjonen en alternativ kjøretid foreslås (runtime-rs), som danner innpakningspolstringen, skrevet på Rust-språket (kjøretiden gitt ovenfor er skrevet på Go-språket). kjøretid støtter OCI, CRI-O og Containerd, som gjør den kompatibel med Docker og Kubernetes.
En annen endring som skiller seg ut i denne nye versjonen av Kata Containers 3.0 er det har nå også GPU-støtte. Dette inkluderer støtte for Virtual Function I/O (VFIO), som muliggjør sikre, ikke-privilegerte PCIe-enhets- og brukerplasskontrollere.
Det er også fremhevet at implementert støtte for å endre innstillinger uten å endre hovedkonfigurasjonsfilen ved å erstatte blokker i separate filer som ligger i "config.d/"-katalogen. Rustkomponenter bruker et nytt bibliotek for å jobbe trygt med filbaner.
Videre Et nytt Kata Containers-prosjekt har dukket opp. Det er Confidential Containers, et åpen kildekode Cloud-Native Computing Foundation (CNCF) sandkasseprosjekt. Denne beholderisolasjonskonsekvensen av Kata Containers integrerer Trusted Execution Environments (TEE)-infrastrukturen.
Av andre endringer som skiller seg ut:
- En ny dragonball hypervisor basert på KVM og rust-vmm er foreslått.
- Lagt til støtte for cgroup v2.
- virtiofsd-komponent (skrevet i C) erstattet av virtiofsd-rs (skrevet i Rust).
- Lagt til støtte for sandkasseisolering av QEMU-komponenter.
- QEMU bruker io_uring API for asynkron I/O.
- Støtte for Intel TDX (Trusted Domain Extensions) for QEMU og Cloud-hypervisor er implementert.
- Oppdaterte komponenter: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Endelig for de som er interessert i prosjektet, bør du vite at den ble laget av Intel og Hyper som kombinerte Clear Containers og runV-teknologier.
Prosjektkoden er skrevet i Go and Rust og er utgitt under Apache 2.0-lisensen. Utviklingen av prosjektet blir overvåket av en arbeidsgruppe opprettet i regi av den uavhengige organisasjonen OpenStack Foundation.
Du kan finne ut mer om det på følgende lenke.