Ката Цонтаинерс обезбеђује безбедно време рада контејнера са лаганим виртуелним машинама
После две године развоја, објављено је издање пројекта Ката Цонтаинерс 3.0, који се развија стек за организовање текућих контејнера коришћењем изолације заснован на потпуним механизмима виртуелизације.
У срцу Ката је време извођења, које пружа могућност креирања компактних виртуелних машина које се покрећу коришћењем потпуног хипервизора, уместо да користе традиционалне контејнере који користе уобичајено Линук језгро и изоловани су коришћењем простора имена и цгрупа.
Коришћење виртуелних машина омогућава постизање вишег нивоа безбедности који штити од напада изазваних искоришћавањем рањивости у језгру Линука.
О Ката контејнерима
Ката Цонтаинерс фокусира се на интеграцију у изолационе инфраструктуре постојећих контејнера са могућношћу коришћења ових виртуелних машина за побољшање заштите традиционалних контејнера.
Пројекат пружа механизме да се лагане виртуелне машине учине компатибилним са различитим изолационим оквирима контејнере, платформе за оркестрацију контејнера и спецификације као што су ОЦИ, ЦРИ и ЦНИ. Доступне су интеграције са Доцкер, Кубернетес, КЕМУ и ОпенСтацк.
Интеграција са системима за управљање контејнеримаОво се постиже слојем који симулира управљање контејнерима, који преко гРПЦ интерфејса и специјалног проксија приступа контролном агенту на виртуелној машини. Као хипервизор, подржано је коришћење Драгонбалл Сандбок-а (КВМ издање оптимизовано за контејнер) са КЕМУ, као и Фирецрацкер и Цлоуд Хипервисор. Системско окружење укључује покретачки демон и агент.
Агент покреће кориснички дефинисане слике контејнера у ОЦИ формату за Доцкер и ЦРИ за Кубернетес. Да би се смањила потрошња меморије, користи се ДАКС механизам и КСМ технологија се користи за уклањање дупликата идентичних меморијских области, омогућавајући дељење ресурса система домаћина и повезивање различитих система гостију са заједничким шаблоном системског окружења.
Главне новине Ката Цонтаинерс 3.0
У новој верзији предложено је алтернативно време рада (рунтиме-рс), који формира допуну омотача, написан у Руст језику (горе наведено време извођења је написано у Го језику). време извођења подржава ОЦИ, ЦРИ-О и Цонтаинерд, што га чини компатибилним са Доцкер-ом и Кубернетес-ом.
Још једна промена која се истиче у овој новој верзији Ката Цонтаинерс 3.0 је то сада такође има подршку за ГПУ. Ово укључује подршку за виртуелне функције И/О (ВФИО), који омогућава безбедне, непривилеговане ПЦИе уређаје и контролере корисничког простора.
Такође је истакнуто да имплементирана подршка за промену подешавања без промене главне конфигурационе датотеке заменом блокова у засебним датотекама које се налазе у директоријуму „цонфиг.д/“. Компоненте Руст-а користе нову библиотеку за сигуран рад са путањама датотека.
Поред тога, Појавио се нови пројекат Ката Цонтаинерс. То је Цонфидентиал Цонтаинерс, пројекат заштићеног окружења отвореног кода Цлоуд-Нативе Цомпутинг Фоундатион (ЦНЦФ). Ова последица изолације контејнера Ката Цонтаинерс-а интегрише инфраструктуру Трустед Екецутион Енвиронментс (ТЕЕ).
Оф тхе друге промене који се истичу:
- Предложен је нови хипервизор Драгонбалл базиран на КВМ-у и руст-вмм.
- Додата подршка за цгроуп в2.
- виртиофсд компонента (написана у Ц) замењена виртиофсд-рс (написано у Русту).
- Додата подршка за сандбок изолацију КЕМУ компоненти.
- КЕМУ користи ио_уринг АПИ за асинхрони И/О.
- Имплементирана је подршка за Интел ТДКС (Трустед Домаин Ектенсионс) за КЕМУ и Цлоуд-хипервисор.
- Ажуриране компоненте: КЕМУ 6.2.0, Цлоуд-хипервисор 26.0, Фирецрацкер 1.1.0, Линук 5.19.2.
Коначно за оне који су заинтересовани за пројекат, требало би да знате да су га креирали Интел и Хипер комбинујући Цлеар Цонтаинерс и рунВ технологије.
Код пројекта је написан на Го и Руст и објављен је под лиценцом Апацхе 2.0. Развој пројекта надгледа радна група створена под покровитељством независне организације ОпенСтацк Фоундатион.
Више о томе можете сазнати на следећи линк.