Kata Containers poskytuje bezpečný kontajnerový runtime s ľahkými virtuálnymi strojmi
Po dvoch rokoch vývoja bola zverejnená verzia projektu Kata Containers 3.0, ktorý sa vyvíja stoh na usporiadanie bežiacich kontajnerov pomocou izolácie založené na kompletných virtualizačných mechanizmoch.
Srdcom Kata je runtime, ktoré poskytuje možnosť vytvárať kompaktné virtuálne stroje, ktoré bežia pomocou plného hypervízora, namiesto použitia tradičných kontajnerov, ktoré používajú spoločné jadro Linuxu a sú izolované pomocou menných priestorov a cgroups.
Použitie virtuálnych strojov umožňuje dosiahnuť vyššiu úroveň bezpečnosti, ktorá chráni pred útokmi spôsobenými zneužitím zraniteľností v jadre Linuxu.
O kontajneroch Kata
Kata kontajnery sa zameriava na integráciu do izolačných infraštruktúr existujúcich kontajnerov s možnosťou použiť tieto virtuálne stroje na zlepšenie ochrany tradičných kontajnerov.
Projekt poskytuje mechanizmy na zabezpečenie kompatibility ľahkých virtuálnych strojov s rôznymi izolačnými rámcami kontajnery, platformy na orchestráciu kontajnerov a špecifikácie ako OCI, CRI a CNI. K dispozícii sú integrácie s Docker, Kubernetes, QEMU a OpenStack.
Integrácia so systémami na správu kontajnerovTo sa dosahuje prostredníctvom vrstvy, ktorá simuluje správu kontajnerov, ktorý cez rozhranie gRPC a špeciálny proxy pristupuje k riadiacemu agentovi na virtuálnom stroji. Ako hypervízor je podporované použitie Dragonball Sandbox (edícia KVM optimalizovaná pre kontajnery) s QEMU, ako aj Firecracker a Cloud Hypervisor. Systémové prostredie zahŕňa spúšťacieho démona a agenta.
Agent spúšťa užívateľom definované obrázky kontajnerov vo formáte OCI pre Docker a CRI pre Kubernetes. Na zníženie spotreby pamäte sa používa mechanizmus DAX a technológia KSM sa používa na deduplikáciu identických oblastí pamäte, čo umožňuje zdieľanie zdrojov hostiteľského systému a pripojenie rôznych hosťujúcich systémov pomocou spoločnej šablóny systémového prostredia.
Hlavné novinky Kata kontajnerov 3.0
V novej verzii navrhuje sa alternatívne prevádzkové obdobie (runtime-rs), ktorý tvorí obalovú výplň, napísaný v jazyku Rust (vyššie uvedený runtime je napísaný v jazyku Go). beh programu podporuje OCI, CRI-O a Containerd, vďaka čomu je kompatibilný s Docker a Kubernetes.
Ďalšou zmenou, ktorá vyniká v tejto novej verzii Kata kontajnerov 3.0, je to teraz má aj podporu GPU. Toto obsahuje podporu pre virtuálne funkcie I/O (VFIO), ktorý umožňuje bezpečné, neprivilegované radiče PCIe zariadení a používateľského priestoru.
Je tiež zdôraznené, že implementovaná podpora pre zmenu nastavení bez zmeny hlavného konfiguračného súboru nahradením blokov v samostatných súboroch umiestnených v adresári "config.d/". Komponenty Rust používajú novú knižnicu na bezpečnú prácu s cestami k súborom.
Okrem toho, Vznikol nový projekt Kata kontajnerov. Ide o Confidential Containers, open source sandboxový projekt Cloud-Native Computing Foundation (CNCF). Tento dôsledok izolácie kontajnerov Kata Containers integruje infraštruktúru Trusted Execution Environments (TEE).
Z ďalšie zmeny ktoré vynikajú:
- Bol navrhnutý nový hypervízor Dragonball založený na KVM a rust-vmm.
- Pridaná podpora pre cgroup v2.
- komponent virtiofsd (napísaný v C) nahradený virtiofsd-rs (napísaný v jazyku Rust).
- Pridaná podpora pre izolovanie sandbox komponentov QEMU.
- QEMU používa io_uring API pre asynchrónne I/O.
- Bola implementovaná podpora pre Intel TDX (Trusted Domain Extensions) pre QEMU a Cloud-hypervisor.
- Aktualizované komponenty: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Konečne pre tých, ktorých projekt zaujíma, mali by ste vedieť, že bol vytvorený spoločnosťami Intel a Hyper kombinovaním technológií Clear Containers a runV.
Kód projektu je napísaný v Go and Rust a je vydaný pod licenciou Apache 2.0. Na rozvoj projektu dohliada pracovná skupina vytvorená pod záštitou nezávislej organizácie OpenStack Foundation.
Viac sa o tom dozviete na nasledujúci odkaz.