经过两年的发展, Kata Containers 3.0 项目发布已经发布, 发展 用于组织正在运行的容器的堆栈 使用绝缘 基于完整的虚拟化机制。
Kata 的核心是运行时,它提供了创建紧凑型虚拟机的能力,这些虚拟机使用完整的管理程序运行,而不是使用使用通用 Linux 内核并使用命名空间和 cgroup 隔离的传统容器。
使用虚拟机可以实现更高级别的安全性,以防止因利用 Linux 内核中的漏洞而导致的攻击。
关于 Kata Containers
卡塔集装箱 专注于集成到隔离基础设施中 现有容器能够使用这些虚拟机来提高对传统容器的保护。
萨尔瓦多PROYECTO 提供机制使轻量级虚拟机兼容各种隔离框架 容器、容器编排平台以及 OCI、CRI 和 CNI 等规范。 可与 Docker、Kubernetes、QEMU 和 OpenStack 集成。
整合 带有容器管理系统这是通过模拟容器管理的层来实现的,它通过 gRPC 接口和一个特殊的代理访问虚拟机上的控制代理。 作为管理程序,支持使用 Dragonball Sandbox (容器优化的 KVM 版本)与 QEMU,以及 Firecracker 和 Cloud Hypervisor。 系统环境包括引导守护进程和代理。
中介 以 OCI 格式运行用户定义的容器镜像 用于 Docker 和 CRI 用于 Kubernetes。 为了减少内存消耗,使用了DAX机制 而KSM技术用于对相同的内存区域进行去重,允许主机系统资源共享,不同的来宾系统连接到一个通用的系统环境模板。
Kata Containers 3.0 的主要创新之处
在新版本中 提出了替代运行时 (runtime-rs),形成包装填充,用 Rust 语言编写(上面提供的运行时是用 Go 语言编写的)。 运行 支持 OCI、CRI-O 和 Containerd, 这使其与 Docker 和 Kubernetes 兼容。
在这个新版本的 Kata Containers 3.0 中突出的另一个变化是 现在也有GPU支持。 这个 包括对虚拟功能 I/O (VFIO) 的支持,它支持安全的、非特权的 PCIe 设备和用户空间控制器。
还强调了 实现了在不更改主配置文件的情况下更改设置的支持 通过替换位于“config.d/”目录中的单独文件中的块。 Rust 组件使用一个新库来安全地处理文件路径。
另外, 一个新的 Kata Containers 项目已经出现。 它是 Confidential Containers,一个开源云原生计算基金会 (CNCF) 沙盒项目。 Kata Containers 的这种容器隔离结果集成了可信执行环境 (TEE) 基础架构。
, 其他变化 脱颖而出:
- 已经提出了一种基于 KVM 和 rust-vmm 的新龙珠管理程序。
- 添加了对 cgroup v2 的支持。
- virtiofsd 组件(用 C 编写)替换为 virtiofsd-rs(用 Rust 编写)。
- 添加了对 QEMU 组件的沙箱隔离的支持。
- QEMU 使用 io_uring API 进行异步 I/O。
- 已实现对 QEMU 和 Cloud-hypervisor 的 Intel TDX(可信域扩展)的支持。
- 更新的组件:QEMU 6.2.0、Cloud-hypervisor 26.0、Firecracker 1.1.0、Linux 5.19.2。
最后 对于那些对项目感兴趣的人,你应该知道它是由 Intel 和 Hyper 结合 Clear Containers 和 runV 技术创建的。
项目代码是用 Go 和 Rust 编写的,并在 Apache 2.0 许可下发布。 该项目的开发由在独立组织 OpenStack Foundation 的支持下创建的工作组监督。
您可以在以下位置了解更多信息 以下链接。