Kata Containers zapewnia bezpieczne środowisko wykonawcze kontenerów z lekkimi maszynami wirtualnymi
Po dwóch latach rozwoju, opublikowano wersję projektu Kata Containers 3.0, który się rozwija stos do organizowania biegających kontenerów za pomocą izolacji oparte na kompletnych mechanizmach wirtualizacji.
Sercem Kata jest środowisko uruchomieniowe, które zapewnia możliwość tworzenia kompaktowych maszyn wirtualnych, które działają przy użyciu pełnego hipernadzorcy, zamiast tradycyjnych kontenerów, które używają wspólnego jądra systemu Linux i są izolowane przy użyciu przestrzeni nazw i cgroups.
Wykorzystanie maszyn wirtualnych pozwala osiągnąć wyższy poziom bezpieczeństwa chroniący przed atakami spowodowanymi wykorzystaniem podatności w jądrze Linux.
O kontenerach Kata
Pojemniki Kata koncentruje się na integracji z infrastrukturą izolacyjną istniejących kontenerów z możliwością wykorzystania tych maszyn wirtualnych do poprawy ochrony tradycyjnych kontenerów.
Projekt udostępnia mechanizmy umożliwiające dostosowanie lekkich maszyn wirtualnych do różnych frameworków izolacyjnych kontenery, platformy orkiestracji kontenerów oraz specyfikacje, takie jak OCI, CRI i CNI. Dostępne są integracje z Docker, Kubernetes, QEMU i OpenStack.
Integracja z systemami zarządzania konteneramiOsiąga się to dzięki warstwie, która symuluje zarządzanie kontenerami, który za pośrednictwem interfejsu gRPC i specjalnego serwera proxy uzyskuje dostęp do agenta kontroli na maszynie wirtualnej. Jako hipernadzorca obsługiwane jest użycie Dragonball Sandbox (zoptymalizowana pod kątem kontenerów edycja KVM) z QEMU, a także Firecracker i Cloud Hypervisor. Środowisko systemowe obejmuje demona startowego i agenta.
Agent uruchamia zdefiniowane przez użytkownika obrazy kontenerów w formacie OCI dla Dockera i CRI dla Kubernetes. W celu zmniejszenia zużycia pamięci wykorzystywany jest mechanizm DAX a technologia KSM służy do deduplikacji identycznych obszarów pamięci, umożliwiając współużytkowanie zasobów systemu hosta i łączenie różnych systemów gości za pomocą wspólnego szablonu środowiska systemowego.
Główne nowości Kata Containers 3.0
W nowej wersji proponowane jest alternatywne środowisko wykonawcze (runtime-rs), który tworzy wrapper padding, napisany w języku Rust (podane powyżej środowisko uruchomieniowe jest napisane w języku Go). czas wykonywania obsługuje OCI, CRI-O i Containerd, co czyni go kompatybilnym z Dockerem i Kubernetes.
Kolejną zmianą, która wyróżnia się w nowej wersji Kata Containers 3.0, jest to, że teraz obsługuje również GPU. To zawiera wsparcie dla funkcji wirtualnych we/wy (VFIO), który umożliwia korzystanie z bezpiecznych, nieuprzywilejowanych kontrolerów urządzeń PCIe i przestrzeni użytkownika.
Podkreśla się również, że zaimplementowana obsługa zmiany ustawień bez zmiany głównego pliku konfiguracyjnego podmieniając bloki w osobnych plikach znajdujących się w katalogu "config.d/". Komponenty Rust używają nowej biblioteki do bezpiecznej pracy ze ścieżkami plików.
Ponadto, Pojawił się nowy projekt Kata Containers. Jest to Confidential Containers, projekt piaskownicy typu open source Cloud-Native Computing Foundation (CNCF). Ta konsekwencja izolacji kontenerów Kata Containers integruje infrastrukturę Trusted Execution Environments (TEE).
z inne zmiany które wyróżniają się:
- Zaproponowano nowy hiperwizor Dragonball oparty na KVM i rust-vmm.
- Dodano wsparcie dla cgroup v2.
- komponent virtiofsd (napisany w C) zastąpiony przez virtiofsd-rs (napisany w Ruście).
- Dodano obsługę izolacji sandboxowej komponentów QEMU.
- QEMU używa interfejsu API io_uring do asynchronicznych operacji we/wy.
- Zaimplementowano obsługę Intel TDX (Trusted Domain Extensions) dla QEMU i Cloud Hypervisor.
- Zaktualizowane komponenty: QEMU 6.2.0, Hypervisor w chmurze 26.0, Firecracker 1.1.0, Linux 5.19.2.
W końcu dla zainteresowanych projektem, powinieneś wiedzieć, że został stworzony przez Intela i Hypera, łącząc Clear Containers i technologie runV.
Kod projektu jest napisany w Go i Rust i jest wydany na licencji Apache 2.0. Nad rozwojem projektu czuwa grupa robocza utworzona pod auspicjami niezależnej organizacji OpenStack Foundation.
Więcej na ten temat dowiesz się na następujący link.