Kata Containers 3.0 включает поддержку GPU, Linux 5.19.2, QEMU 6.2.0 и многое другое.

Ката Контейнеры

Kata Containers обеспечивает безопасную среду выполнения контейнеров с облегченными виртуальными машинами.

После двух лет разработки опубликован релиз проекта Kata Containers 3.0, что развивается стек для организации запущенных контейнеров использование изоляции на основе полных механизмов виртуализации.

В основе Kata лежит среда выполнения, которая предоставляет возможность создавать компактные виртуальные машины, работающие с использованием полноценного гипервизора, а не с использованием традиционных контейнеров, использующих общее ядро ​​Linux и изолированных с помощью пространств имен и контрольных групп.



Использование виртуальных машин позволяет достичь более высокого уровня безопасности, защищающего от атак, вызванных эксплуатацией уязвимостей в ядре Linux.



О контейнерах Ката

Ката Контейнеры фокусируется на интеграции в изолированные инфраструктуры существующих контейнеров с возможностью использования этих виртуальных машин для улучшения защиты традиционных контейнеров.

В рамках проекта предоставляет механизмы для обеспечения совместимости легковесных виртуальных машин с различными платформами изоляции. контейнеры, платформы оркестрации контейнеров и спецификации, такие как OCI, CRI и CNI. Доступны интеграции с Docker, Kubernetes, QEMU и OpenStack.



Интеграция с системами управления контейнерамиЭто достигается за счет слоя, имитирующего управление контейнерами., который через интерфейс gRPC и специальный прокси обращается к управляющему агенту на виртуальной машине. В качестве гипервизора поддерживается использование Dragonball Sandbox. (версия KVM, оптимизированная для контейнеров) с QEMU, а также Firecracker и Cloud Hypervisor. Системная среда включает загрузочный демон и агент.

Агент запускает пользовательские образы контейнеров в формате OCI для Docker и CRI для Kubernetes. Для уменьшения потребления памяти используется механизм DAX. а технология KSM используется для дедупликации идентичных областей памяти, что позволяет совместно использовать ресурсы хост-системы и подключать разные гостевые системы к общему шаблону системной среды.

Основные новинки Kata Containers 3.0

В новой версии предлагается альтернативная среда выполнения (runtime-rs), который формирует отступы-оболочки, написанные на языке Rust (предоставленная выше среда выполнения написана на языке Go). время выполнения поддерживает OCI, CRI-O и Containerd, что делает его совместимым с Docker и Kubernetes.



Еще одно изменение, которое выделяется в этой новой версии Kata Containers 3.0, заключается в том, что теперь также имеет поддержку графического процессора, это включает поддержку ввода-вывода виртуальных функций (VFIO), что позволяет использовать безопасные непривилегированные устройства PCIe и контроллеры пользовательского пространства.

Также подчеркивается, что реализована поддержка изменения настроек без изменения основного файла конфигурации путем замены блоков в отдельных файлах, расположенных в каталоге «config.d/». Компоненты Rust используют новую библиотеку для безопасной работы с путями к файлам.



Кроме того, Появился новый проект Kata Containers. Это Confidential Containers, проект песочницы Cloud-Native Computing Foundation (CNCF) с открытым исходным кодом. Это последствие изоляции контейнеров Kata Containers интегрирует инфраструктуру Trusted Execution Environments (TEE).

Из другие изменения которые выделяются:

  • Предложен новый гипервизор Dragonball на основе KVM и rust-vmm.

  • Добавлена ​​поддержка cgroup v2.

  • Компонент virtiofsd (написанный на C) заменен на virtiofsd-rs (написанный на Rust).

  • Добавлена ​​поддержка изоляции компонентов QEMU в песочнице.

  • QEMU использует API io_uring для асинхронного ввода-вывода.

  • Реализована поддержка Intel TDX (Trusted Domain Extensions) для QEMU и Cloud-гипервизора.

  • Обновленные компоненты: QEMU 6.2.0, Cloud-гипервизор 26.0, Firecracker 1.1.0, Linux 5.19.2.

В конце концов для тех, кому интересен проект, вы должны знать, что он был создан Intel и Hyper, объединив технологии Clear Containers и runV.

Код проекта написан на Go и Rust и выпущен под лицензией Apache 2.0. За развитием проекта следит рабочая группа, созданная под эгидой независимой организации OpenStack Foundation.

Вы можете узнать больше об этом на по следующей ссылке.




2022-10-15T08:07:03
приложений