Kata Containers 3.0 përfshin mbështetje GPU, Linux 5.19.2, QEMU 6.2.0 dhe më shumë

Darkcrizt

Minuta 4

Kontejnerët Kata

Kata Containers ofron një kohë funksionimi të sigurt të kontejnerit me makina virtuale të lehta

Pas dy vitesh zhvillimi, publikimi i projektit Kata Containers 3.0 është publikuar, që zhvillohet një pirg për të organizuar kontejnerët e rrjedhshëm duke përdorur izolimin bazuar në mekanizmat e plotë të virtualizimit.

Në zemër të Kata-s është koha e ekzekutimit, e cila ofron mundësinë për të krijuar makina virtuale kompakte që funksionojnë duke përdorur një hipervizor të plotë, në vend të përdorimit të kontejnerëve tradicionalë që përdorin një kernel të përbashkët Linux dhe janë të izoluar duke përdorur hapësirat e emrave dhe cgroups.

Përdorimi i makinave virtuale mundëson arritjen e një niveli më të lartë sigurie që mbron nga sulmet e shkaktuara nga shfrytëzimi i dobësive në kernelin Linux.

Rreth Kata Containers

Kontejnerët Kata fokusohet në integrimin në infrastrukturat e izolimit të kontejnerëve ekzistues me aftësinë për të përdorur këto makina virtuale për të përmirësuar mbrojtjen e kontejnerëve tradicionalë.

El Proyecto ofron mekanizma për t'i bërë makinat virtuale të lehta të pajtueshme me korniza të ndryshme izolimi kontejnerët, platformat e orkestrimit të kontejnerëve dhe specifikimet si OCI, CRI dhe CNI. Integrimet me Docker, Kubernetes, QEMU dhe OpenStack janë të disponueshme.

Integrimi me sistemet e menaxhimit të kontejnerëvee arritur përmes një shtrese që simulon menaxhimin e kontejnerëve, i cili, përmes ndërfaqes gRPC dhe një përfaqësuesi të veçantë, akseson agjentin e kontrollit në makinën virtuale. Si hipervizor, mbështetet përdorimi i Dragonball Sandbox (një botim KVM i optimizuar për kontejnerë) me QEMU, si dhe Firecracker dhe Cloud Hypervisor. Mjedisi i sistemit përfshin demonin e nisjes dhe agjentin.

Agjenti ekzekuton imazhet e kontejnerit të përcaktuar nga përdoruesi në formatin OCI për Docker dhe CRI për Kubernetes. Për të reduktuar konsumin e memories, përdoret mekanizmi DAX dhe teknologjia KSM përdoret për të fshirë zona identike të memories, duke lejuar që burimet e sistemit pritës të ndahen dhe sisteme të ndryshme të ftuar të lidhen me një shabllon të përbashkët të mjedisit të sistemit.

Risitë kryesore të Kata Containers 3.0

Në versionin e ri propozohet një kohëzgjatje alternative (runtime-rs), i cili formon mbushjen e mbështjellësit, të shkruar në gjuhën Rust (koha e ekzekutimit e dhënë më sipër është shkruar në gjuhën Go). koha e ekzekutimit mbështet OCI, CRI-O dhe Containerd, gjë që e bën atë të pajtueshëm me Docker dhe Kubernetes.

Një tjetër ndryshim që bie në sy në këtë version të ri të Kata Containers 3.0 është ai tani ka edhe mbështetje GPU. Kjo përfshin mbështetjen për Funksionin Virtual I/O (VFIO), i cili mundëson pajisje të sigurta, jo të privilegjuara PCIe dhe kontrollues të hapësirës së përdoruesit.

Theksohet gjithashtu se implementuar mbështetje për ndryshimin e cilësimeve pa ndryshuar skedarin kryesor të konfigurimit duke zëvendësuar blloqet në skedarë të veçantë të vendosur në direktorinë "config.d/". Komponentët Rust përdorin një bibliotekë të re për të punuar me shtigjet e skedarëve në mënyrë të sigurt.

Përveç kësaj, Një projekt i ri Kata Containers është shfaqur. Është Confidential Containers, një projekt me burim të hapur Cloud-Native Computing Foundation (CNCF). Kjo pasojë e izolimit të kontejnerëve të Kata Containers integron infrastrukturën e Mjediseve të Ekzekutimit të Besuar (TEE).

ndryshime të tjera që bien në sy:

  • Është propozuar një hipervizor i ri dragonball i bazuar në KVM dhe rust-vmm.
  • Mbështetje e shtuar për cgroup v2.
  • komponenti virtiofsd (i shkruar në C) i zëvendësuar nga virtiofsd-rs (i shkruar në Rust).
  • Mbështetje e shtuar për izolimin e sandbox të komponentëve QEMU.
  • QEMU përdor API-në io_uring për hyrje/dalje asinkrone.
  • Është zbatuar mbështetja për Intel TDX (Zgjerime të Domainit të Besuar) për QEMU dhe Cloud-hypervisor.
  • Komponentët e përditësuar: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Më në fund për ata që janë të interesuar në projekt, duhet të dini se është krijuar nga Intel dhe Hyper duke kombinuar Clear Containers dhe teknologjitë runV.

Kodi i projektit është shkruar në Go and Rust dhe lëshohet nën licencën Apache 2.0. Zhvillimi i projektit mbikëqyret nga një grup pune i krijuar nën kujdesin e organizatës së pavarur OpenStack Foundation.

Mund të mësoni më shumë për të në lidhja vijuese.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.