Kata Containers จัดเตรียมรันไทม์คอนเทนเนอร์ที่ปลอดภัยด้วยเครื่องเสมือนน้ำหนักเบา
หลังจากสองปีของการพัฒนา เผยแพร่โครงการ Kata Containers 3.0 แล้ว ที่พัฒนาขึ้น สแต็คเพื่อจัดระเบียบคอนเทนเนอร์ที่ทำงานอยู่ ใช้ฉนวนกันความร้อน ขึ้นอยู่กับกลไกการจำลองเสมือนที่สมบูรณ์
หัวใจสำคัญของ Kata คือรันไทม์ ซึ่งให้ความสามารถในการสร้างเครื่องเสมือนขนาดกะทัดรัดที่ทำงานโดยใช้ไฮเปอร์ไวเซอร์แบบเต็ม แทนที่จะใช้คอนเทนเนอร์แบบเดิมที่ใช้เคอร์เนล Linux ทั่วไป และถูกแยกโดยใช้เนมสเปซและ cgroups
การใช้เครื่องเสมือนช่วยให้ได้รับความปลอดภัยในระดับที่สูงขึ้นซึ่งป้องกันการโจมตีที่เกิดจากการใช้ประโยชน์จากช่องโหว่ในเคอร์เนล Linux
เกี่ยวกับกะตะคอนเทนเนอร์
กะตะคอนเทนเนอร์ เน้นการบูรณาการเข้ากับโครงสร้างพื้นฐานแบบแยกส่วน ของคอนเทนเนอร์ที่มีอยู่ด้วยความสามารถในการใช้เครื่องเสมือนเหล่านี้เพื่อปรับปรุงการป้องกันคอนเทนเนอร์แบบเดิม
โครงการ จัดเตรียมกลไกเพื่อทำให้เครื่องเสมือนน้ำหนักเบาเข้ากันได้กับเฟรมเวิร์กการแยกต่างๆ คอนเทนเนอร์ แพลตฟอร์มการจัดการคอนเทนเนอร์ และข้อกำหนด เช่น OCI, CRI และ CNI สามารถทำงานร่วมกับ Docker, Kubernetes, QEMU และ OpenStack ได้
การบูรณาการ ด้วยระบบจัดการตู้คอนเทนเนอร์สิ่งนี้ทำได้ผ่านเลเยอร์ที่จำลองการจัดการคอนเทนเนอร์ซึ่งผ่านอินเทอร์เฟซ gRPC และพร็อกซีพิเศษ เข้าถึงเอเจนต์ควบคุมบนเครื่องเสมือน ในฐานะไฮเปอร์ไวเซอร์ รองรับการใช้งาน Dragonball Sandbox (รุ่น KVM ที่ปรับให้เหมาะสมกับคอนเทนเนอร์) พร้อม QEMU รวมถึง Firecracker และ Cloud Hypervisor สภาวะแวดล้อมของระบบรวมถึง boot daemon และเอเจนต์
ตัวแทน รันอิมเมจคอนเทนเนอร์ที่ผู้ใช้กำหนดในรูปแบบ OCI สำหรับ Docker และ CRI สำหรับ Kubernetes เพื่อลดการใช้หน่วยความจำ กลไก DAX จะถูกใช้ และเทคโนโลยี KSM ใช้เพื่อขจัดพื้นที่หน่วยความจำที่เหมือนกัน ทำให้สามารถแชร์ทรัพยากรระบบโฮสต์และระบบแขกที่แตกต่างกันสามารถเชื่อมต่อกับเทมเพลตสภาพแวดล้อมระบบทั่วไปได้
ความแปลกใหม่ที่สำคัญของกะตะคอนเทนเนอร์ 3.0
ในเวอร์ชันใหม่ มีการเสนอรันไทม์ทางเลือก (runtime-rs) ซึ่งเป็นส่วนเสริมของแรปเปอร์ ซึ่งเขียนด้วยภาษา Rust (รันไทม์ที่ให้ไว้ด้านบนเขียนด้วยภาษา Go) รันไทม์ รองรับ OCI, CRI-O และ Containerd ซึ่งทำให้เข้ากันได้กับ Docker และ Kubernetes
การเปลี่ยนแปลงอีกอย่างที่โดดเด่นใน Kata Containers 3.0 เวอร์ชันใหม่นี้คือ ตอนนี้ยังรองรับ GPU. เอสโต รวมถึงการสนับสนุน Virtual Function I/O (VFIO)ซึ่งเปิดใช้งานอุปกรณ์ PCIe ที่ไม่มีสิทธิพิเศษและตัวควบคุมพื้นที่ผู้ใช้ที่ปลอดภัย
นอกจากนี้ยังมีการเน้นย้ำว่า รองรับการเปลี่ยนแปลงการตั้งค่าโดยไม่ต้องเปลี่ยนไฟล์กำหนดค่าหลัก โดยแทนที่บล็อกในไฟล์แยกกันที่อยู่ในไดเร็กทอรี "config.d/" คอมโพเนนต์ของ Rust ใช้ไลบรารีใหม่เพื่อทำงานกับเส้นทางของไฟล์อย่างปลอดภัย
นอกจากนี้ โครงการกะตะคอนเทนเนอร์ใหม่ได้เกิดขึ้นแล้ว Confidential Containers ซึ่งเป็นโครงการแซนด์บ็อกซ์ Cloud-Native Computing Foundation (CNCF) แบบโอเพนซอร์ส ผลที่ตามมาของการแยกคอนเทนเนอร์ของคอนเทนเนอร์กะตะนี้รวมโครงสร้างพื้นฐาน Trusted Execution Environments (TEE)
ของ การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่น:
- มีการเสนอไฮเปอร์ไวเซอร์ dragonball ใหม่ที่ใช้ KVM และ rust-vmm
- เพิ่มการรองรับ cgroup v2.
- องค์ประกอบ virtiofsd (เขียนด้วยภาษา C) แทนที่ด้วย virtiofsd-rs (เขียนด้วยภาษา Rust)
- เพิ่มการรองรับการแยกแซนด์บ็อกซ์ของส่วนประกอบ QEMU
- QEMU ใช้ io_uring API สำหรับ I/O แบบอะซิงโครนัส
- รองรับ Intel TDX (ส่วนขยายโดเมนที่เชื่อถือได้) สำหรับ QEMU และ Cloud-hypervisor แล้ว
- ส่วนประกอบที่อัปเดต: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2
ในที่สุด สำหรับผู้ที่สนใจโครงการคุณควรรู้ว่ามันถูกสร้างขึ้นโดย Intel และ Hyper ที่รวม Clear Containers และเทคโนโลยี runV
รหัสโครงการเขียนด้วย Go and Rust และเผยแพร่ภายใต้ใบอนุญาต Apache 2.0 การพัฒนาโครงการอยู่ภายใต้การดูแลของคณะทำงานที่สร้างขึ้นภายใต้การอุปถัมภ์ขององค์กรอิสระ OpenStack Foundation
สามารถติดตามข้อมูลเพิ่มเติมได้ที่ ลิงค์ต่อไปนี้