Kata Containers oferă un timp de rulare sigur al containerului cu mașini virtuale ușoare
După doi ani de dezvoltare, versiunea de proiect Kata Containers 3.0 a fost publicată, care se dezvoltă o stivă pentru a organiza containerele care rulează folosind izolație bazate pe mecanisme complete de virtualizare.
În centrul Kata este runtime, care oferă posibilitatea de a crea mașini virtuale compacte care rulează folosind un hypervisor complet, mai degrabă decât să utilizeze containere tradiționale care folosesc un nucleu Linux comun și sunt izolate folosind spații de nume și cgroups.
Utilizarea mașinilor virtuale permite atingerea unui nivel mai ridicat de securitate care protejează împotriva atacurilor cauzate de exploatarea vulnerabilităților din nucleul Linux.
Despre Kata Containers
Containere Kata se concentrează pe integrarea în infrastructurile de izolare a containerelor existente cu capacitatea de a utiliza aceste mașini virtuale pentru a îmbunătăți protecția containerelor tradiționale.
Proiectul oferă mecanisme pentru a face mașinile virtuale ușoare compatibile cu diferite cadre de izolare containere, platforme de orchestrare a containerelor și specificații precum OCI, CRI și CNI. Sunt disponibile integrări cu Docker, Kubernetes, QEMU și OpenStack.
Integrarea cu sisteme de management al containerelorAcest lucru se realizează printr-un strat care simulează gestionarea containerelor, care, prin interfața gRPC și un proxy special, accesează agentul de control pe mașina virtuală. Ca hypervisor, este acceptată utilizarea Dragonball Sandbox (o ediție KVM optimizată pentru container) cu QEMU, precum și Firecracker și Cloud Hypervisor. Mediul de sistem include demonul de pornire și agentul.
Agentul rulează imagini container definite de utilizator în format OCI pentru Docker și CRI pentru Kubernetes. Pentru a reduce consumul de memorie, se folosește mecanismul DAX și tehnologia KSM este utilizată pentru a deduplica zone de memorie identice, permițând partajarea resurselor sistemului gazdă și a diferitelor sisteme invitate să se conecteze cu un șablon comun de mediu de sistem.
Principalele noutăți ale Kata Containers 3.0
În noua versiune este propus un timp de rulare alternativ (runtime-rs), care formează padding-ul wrapperului, scris în limbajul Rust (timpul de rulare furnizat mai sus este scris în limba Go). timpul de rulare acceptă OCI, CRI-O și Containerd, ceea ce îl face compatibil cu Docker și Kubernetes.
O altă schimbare care iese în evidență în această nouă versiune a Kata Containers 3.0 este aceea acum are și suport pentru GPU. Acest include suport pentru Virtual Function I/O (VFIO), care permite dispozitive PCIe securizate, fără privilegii și controlere pentru spațiul utilizatorului.
De asemenea, se evidențiază faptul că a implementat suport pentru modificarea setărilor fără a modifica fișierul de configurare principal prin înlocuirea blocurilor în fișiere separate situate în directorul „config.d/”. Componentele Rust folosesc o nouă bibliotecă pentru a lucra cu căile fișierelor în siguranță.
În plus, Un nou proiect Kata Containers a apărut. Este Confidential Containers, un proiect sandbox open source Cloud-Native Computing Foundation (CNCF). Această consecință a izolării containerelor Kata Containers integrează infrastructura Trusted Execution Environments (TEE).
Dintre alte schimbări care ies în evidență:
- A fost propus un nou hypervisor Dragonball bazat pe KVM și rust-vmm.
- S-a adăugat suport pentru cgroup v2.
- componenta virtiofsd (scrisă în C) înlocuită cu virtiofsd-rs (scrisă în Rust).
- S-a adăugat suport pentru izolarea sandbox a componentelor QEMU.
- QEMU utilizează API-ul io_uring pentru I/O asincron.
- A fost implementat suport pentru Intel TDX (Trusted Domain Extensions) pentru QEMU și Cloud-hypervisor.
- Componente actualizate: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
În cele din urmă pentru cei care sunt interesați de proiect, trebuie să știți că a fost creat de Intel și Hyper combinând Clear Containers și tehnologiile runV.
Codul proiectului este scris în Go și Rust și este lansat sub licența Apache 2.0. Dezvoltarea proiectului este supravegheată de un grup de lucru creat sub auspiciile organizației independente OpenStack Foundation.
Puteți afla mai multe despre el la următorul link.