Kata Containers 3.0 inclui suporte a GPU, Linux 5.19.2, QEMU 6.2.0 e mais

Darkcrizt

Minutos 4

Recipientes de Kata

Kata Containers fornece um tempo de execução de contêiner seguro com máquinas virtuais leves

Após dois anos de desenvolvimento, a versão do projeto Kata Containers 3.0 foi publicada, que desenvolve uma pilha para organizar contêineres em execução usando isolamento baseado em mecanismos de virtualização completos.

No coração do Kata está o runtime, que fornece a capacidade de criar máquinas virtuais compactas que são executadas usando um hypervisor completo, em vez de usar contêineres tradicionais que usam um kernel Linux comum e são isolados usando namespaces e cgroups.

A utilização de máquinas virtuais permite alcançar um nível de segurança superior que protege contra ataques causados ​​pela exploração de vulnerabilidades no kernel Linux.

Sobre a Kata Containers

Recipientes de Kata concentra-se na integração em infraestruturas de isolamento de contêineres existentes com a capacidade de usar essas máquinas virtuais para melhorar a proteção de contêineres tradicionais.

O projeto fornece mecanismos para tornar máquinas virtuais leves compatíveis com várias estruturas de isolamento contêineres, plataformas de orquestração de contêineres e especificações como OCI, CRI e CNI. Integrações com Docker, Kubernetes, QEMU e OpenStack estão disponíveis.

A integração com sistemas de gestão de contentorese alcançado através de uma camada que simula o gerenciamento de contêineres, que, por meio da interface gRPC e de um proxy especial, acessa o agente de controle na máquina virtual. Como hypervisor, o uso do Dragonball Sandbox é suportado (uma edição KVM otimizada para contêiner) com QEMU, bem como Firecracker e Cloud Hypervisor. O ambiente do sistema inclui o daemon de inicialização e o agente.

O agente executa imagens de contêiner definidas pelo usuário no formato OCI para Docker e CRI para Kubernetes. Para reduzir o consumo de memória, o mecanismo DAX é usado e a tecnologia KSM é usada para desduplicar áreas de memória idênticas, permitindo que os recursos do sistema host sejam compartilhados e diferentes sistemas convidados se conectem a um modelo de ambiente de sistema comum.

Principais novidades do Kata Containers 3.0

Na nova versão um tempo de execução alternativo é proposto (runtime-rs), que forma o preenchimento do wrapper, escrito na linguagem Rust (o tempo de execução fornecido acima é escrito na linguagem Go). tempo de execução suporta OCI, CRI-O e Containerd, o que o torna compatível com Docker e Kubernetes.

Outra mudança que se destaca nesta nova versão do Kata Containers 3.0 é que agora também tem suporte a GPU. Isso inclui suporte para E/S de função virtual (VFIO), que permite dispositivos PCIe seguros e sem privilégios e controladores de espaço do usuário.

Destaca-se também que suporte implementado para alterar as configurações sem alterar o arquivo de configuração principal substituindo blocos em arquivos separados localizados no diretório "config.d/". Os componentes Rust usam uma nova biblioteca para trabalhar com caminhos de arquivo com segurança.

Além disso, Um novo projeto Kata Containers surgiu. É Confidential Containers, um projeto sandbox de código aberto Cloud-Native Computing Foundation (CNCF). Essa consequência do isolamento de contêineres do Kata Containers integra a infraestrutura do Trusted Execution Environments (TEE).

Do outras mudanças que se destacam:

  • Um novo hypervisor dragonball baseado em KVM e rust-vmm foi proposto.
  • Adicionado suporte para cgroup v2.
  • componente virtiofsd (escrito em C) substituído pelo virtiofsd-rs (escrito em Rust).
  • Adicionado suporte para isolamento de sandbox de componentes QEMU.
  • O QEMU usa a API io_uring para E/S assíncrona.
  • O suporte para Intel TDX (Trusted Domain Extensions) para QEMU e Cloud-hypervisor foi implementado.
  • Componentes atualizados: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Finalmente para os interessados ​​no projeto, você deve saber que ele foi criado pela Intel e Hyper combinando Clear Containers e tecnologias runV.

O código do projeto está escrito em Go e Rust e é lançado sob a licença Apache 2.0. O desenvolvimento do projeto é supervisionado por um grupo de trabalho criado sob os auspícios da organização independente OpenStack Foundation.

Você pode saber mais sobre isso em link a seguir


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.