Kata Containers ger en säker containerkörning med lätta virtuella maskiner
Efter två års utveckling, Kata Containers 3.0-projektutgåvan har publicerats, som utvecklas en stack för att organisera löpande containrar använda isolering baserad på kompletta virtualiseringsmekanismer.
Hjärtat i Kata är körtiden, som ger möjligheten att skapa kompakta virtuella maskiner som körs med en fullständig hypervisor, snarare än att använda traditionella behållare som använder en gemensam Linux-kärna och är isolerade med hjälp av namnutrymmen och cgroups.
Användningen av virtuella maskiner gör det möjligt att uppnå en högre säkerhetsnivå som skyddar mot attacker orsakade av exploatering av sårbarheter i Linux-kärnan.
Om Kata Containers
Kata behållare fokuserar på att integrera i isoleringsinfrastrukturer av befintliga behållare med möjlighet att använda dessa virtuella maskiner för att förbättra skyddet av traditionella behållare.
Projektet tillhandahåller mekanismer för att göra lätta virtuella maskiner kompatibla med olika isoleringsramverk containrar, containerorkestreringsplattformar och specifikationer som OCI, CRI och CNI. Integrationer med Docker, Kubernetes, QEMU och OpenStack är tillgängliga.
Integrationen med containerhanteringssystemDetta uppnås genom ett lager som simulerar containerhantering, som via gRPC-gränssnittet och en speciell proxy får åtkomst till kontrollagenten på den virtuella maskinen. Som hypervisor stöds användningen av Dragonball Sandbox (en containeroptimerad KVM-utgåva) med QEMU, samt Firecracker och Cloud Hypervisor. Systemmiljön inkluderar startdemonen och agenten.
Agenten kör användardefinierade behållarbilder i OCI-format för Docker och CRI för Kubernetes. För att minska minnesförbrukningen används DAX-mekanismen och KSM-teknik används för att deduplicera identiska minnesområden, vilket gör att värdsystemresurser kan delas och olika gästsystem kan anslutas till en gemensam systemmiljömall.
Huvudnyheterna i Kata Containers 3.0
I den nya versionen en alternativ körtid föreslås (runtime-rs), som bildar omslagets utfyllnad, skriven på språket Rust (körtiden som anges ovan är skriven på språket Go). körning stöder OCI, CRI-O och Containerd, vilket gör den kompatibel med Docker och Kubernetes.
En annan förändring som sticker ut i den här nya versionen av Kata Containers 3.0 är det har nu även GPU-stöd. Detta inkluderar stöd för Virtual Function I/O (VFIO), som möjliggör säkra, icke-privilegierade PCIe-enhets- och användarutrymmeskontroller.
Det framhävs också att implementerat stöd för att ändra inställningar utan att ändra huvudkonfigurationsfilen genom att ersätta block i separata filer som finns i katalogen "config.d/". Rustkomponenter använder ett nytt bibliotek för att arbeta med filsökvägar på ett säkert sätt.
Dessutom, Ett nytt Kata Containers-projekt har dykt upp. Det är Confidential Containers, ett sandlådeprojekt för Cloud-Native Computing Foundation (CNCF) med öppen källkod. Denna containerisoleringskonsekvens av Kata Containers integrerar infrastrukturen för Trusted Execution Environments (TEE).
Av andra förändringar som sticker ut:
- En ny dragonball hypervisor baserad på KVM och rust-vmm har föreslagits.
- Lade till stöd för cgroup v2.
- virtiofsd-komponent (skriven i C) ersatt av virtiofsd-rs (skriven i Rust).
- Tillagt stöd för sandlådeisolering av QEMU-komponenter.
- QEMU använder io_uring API för asynkron I/O.
- Stöd för Intel TDX (Trusted Domain Extensions) för QEMU och Cloud-hypervisor har implementerats.
- Uppdaterade komponenter: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.
Slutligen för dem som är intresserade av projektet, bör du veta att det skapades av Intel och Hyper som kombinerar Clear Containers och runV-teknologier.
Projektkoden är skriven i Go and Rust och släpps under Apache 2.0-licensen. Utvecklingen av projektet övervakas av en arbetsgrupp skapad under regi av den oberoende organisationen OpenStack Foundation.
Du kan ta reda på mer om det på följande länk.