Kasama sa Kata Containers 3.0 ang suporta sa GPU, Linux 5.19.2, QEMU 6.2.0 at higit pa

Darkcrizt

4 Minutos

Mga Lalagyan ng Kata

Nagbibigay ang Kata Containers ng secure na runtime ng container na may magaan na virtual machine

Pagkatapos ng dalawang taong pag-unlad, ang paglabas ng proyekto ng Kata Containers 3.0 ay nai-publish, na umuunlad isang stack upang ayusin ang mga tumatakbong lalagyan gamit ang pagkakabukod batay sa kumpletong mekanismo ng virtualization.

Sa gitna ng Kata ay ang runtime, na nagbibigay ng kakayahang lumikha ng mga compact virtual machine na tumatakbo gamit ang isang buong hypervisor, sa halip na gumamit ng mga tradisyonal na container na gumagamit ng karaniwang Linux kernel at nakahiwalay gamit ang mga namespace at cgroup.

Ang paggamit ng mga virtual machine ay nagbibigay-daan upang makamit ang mas mataas na antas ng seguridad na nagpoprotekta laban sa mga pag-atake na dulot ng pagsasamantala ng mga kahinaan sa Linux kernel.

Tungkol sa Kata Containers

Mga Lalagyan ng Kata nakatutok sa pagsasama sa mga imprastraktura ng paghihiwalay ng mga umiiral na lalagyan na may kakayahang gamitin ang mga virtual machine na ito upang mapabuti ang proteksyon ng mga tradisyonal na lalagyan.

Ang proyekto nagbibigay ng mga mekanismo para gawing tugma ang magaan na virtual machine sa iba't ibang balangkas ng paghihiwalay container, container orchestration platform, at mga detalye gaya ng OCI, CRI, at CNI. Ang mga pagsasama sa Docker, Kubernetes, QEMU at OpenStack ay magagamit.

Ang pagsasama na may mga sistema ng pamamahala ng lalagyane nakamit sa pamamagitan ng isang layer na ginagaya ang pamamahala ng container, na, sa pamamagitan ng gRPC interface at isang espesyal na proxy, ay ina-access ang control agent sa virtual machine. Bilang hypervisor, sinusuportahan ang paggamit ng Dragonball Sandbox (isang container-optimized na KVM edition) na may QEMU, pati na rin ang Firecracker at Cloud Hypervisor. Kasama sa kapaligiran ng system ang boot daemon at ang ahente.

Ang ahente nagpapatakbo ng mga larawan ng container na tinukoy ng gumagamit sa format na OCI para sa Docker at CRI para sa Kubernetes. Upang bawasan ang pagkonsumo ng memorya, ginagamit ang mekanismo ng DAX at KSM teknolohiya ay ginagamit upang i-deduplicate ang magkaparehong mga lugar ng memorya, na nagpapahintulot sa mga mapagkukunan ng host system na maibahagi at iba't ibang mga guest system na kumonekta sa isang karaniwang template ng kapaligiran ng system.

Pangunahing novelties ng Kata Containers 3.0

Sa bagong bersyon isang alternatibong runtime ay iminungkahi (runtime-rs), na bumubuo sa wrapper padding, na nakasulat sa Rust language (ang runtime na ibinigay sa itaas ay nakasulat sa Go language). run-time sumusuporta sa OCI, CRI-O at Containerd, na ginagawang tugma sa Docker at Kubernetes.

Ang isa pang pagbabago na kapansin-pansin sa bagong bersyon na ito ng Kata Containers 3.0 ay iyon ngayon ay mayroon ding suporta sa GPU. Ito may kasamang suporta para sa Virtual Function I/O (VFIO), na nagbibigay-daan sa secure, hindi privileged PCIe device at user space controllers.

Na-highlight din iyon ipinatupad ang suporta para sa pagbabago ng mga setting nang hindi binabago ang pangunahing config file sa pamamagitan ng pagpapalit ng mga bloke sa magkakahiwalay na file na matatagpuan sa direktoryo ng "config.d/". Gumagamit ang mga kalawang na bahagi ng bagong library para ligtas na magtrabaho sa mga path ng file.

Bukod dito, Isang bagong proyekto ng Kata Containers ang lumitaw. Ito ay Confidential Containers, isang open source na Cloud-Native Computing Foundation (CNCF) na proyekto ng sandbox. Isinasama ng container isolation consequence ng Kata Containers ang imprastraktura ng Trusted Execution Environments (TEE).

Ng iba pang mga pagbabago matindi yan:

  • Isang bagong dragonball hypervisor batay sa KVM at rust-vmm ang iminungkahi.
  • Nagdagdag ng suporta para sa cgroup v2.
  • virtiofsd component (nakasulat sa C) na pinalitan ng virtiofsd-rs (nakasulat sa Rust).
  • Nagdagdag ng suporta para sa sandbox isolation ng mga bahagi ng QEMU.
  • Ginagamit ng QEMU ang io_uring API para sa asynchronous na I/O.
  • Naipatupad na ang suporta para sa Intel TDX (Trusted Domain Extensions) para sa QEMU at Cloud-hypervisor.
  • Mga na-update na bahagi: QEMU 6.2.0, Cloud-hypervisor 26.0, Firecracker 1.1.0, Linux 5.19.2.

Sa wakas para sa mga interesado sa proyekto, dapat mong malaman na ito ay nilikha ng Intel at Hyper na pinagsasama ang Clear Containers at runV na mga teknolohiya.

Ang code ng proyekto ay nakasulat sa Go at Rust at inilabas sa ilalim ng lisensya ng Apache 2.0. Ang pagbuo ng proyekto ay pinangangasiwaan ng isang working group na nilikha sa ilalim ng tangkilik ng independiyenteng organisasyon na OpenStack Foundation.

Maaari mong malaman ang higit pa tungkol dito sa sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.