The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Компании Intel и Hyper представили проект Kata Containers

11.12.2017 13:26

Компании Intel и Hyper представили проект Kata Containers, в рамках которого предпринята попытка объединить технологии Clear Containers и runV, нацеленные на организацию выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Развитие проекта будет курировать независимая организация OpenStack Foundation. О поддержке нового проекта уже заявили компании 99cloud, AWcloud, Canonical, China Mobile, City Network, CoreOS, Dell/EMC, EasyStack, Fiberhome, Google, Huawei, JD.com, Mirantis, NetApp, Red Hat, SUSE, Tencent, Ucloud, UnitedStack и ZTE. Код опубликован под лицензией Apache 2.0.

Как и Clear Containers новый проект позволяет создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, а не в форме запускаемого в одной ОС набора процессов, изолированного при помощи пространств имён и cgroups. Ключевым отличием нового проекта является ориентация на интеграцию в существующие инфраструктуры контейнерной изоляции c возможностью применения подобных виртуальных машин для усиления защиты традиционных контейнеров. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.

В Kata Containers предоставлены механизмы для обеспечения совместимости легковесных виртуальных машины с различными инфраструктурами контейнерной изоляции, платформами оркестровки контейнеров и спецификациями, такими как OCI (Open Container Initiative), CRI (Container Runtime Interface) и CNI (Container Networking Interface). Доступены средства для интеграции с Docker, Kubernetes, QEMU и OpenStack. Взаимодействие осуществляется через прослойку, симулирующую управление контейнером, которая через gRPC-интерфейс и специальный прокси обращается к управляющему агенту в виртуальной машине.

Внутри виртуального окружения, которое запускается гипервизором, используется специально оптимизированное ядро Linux, содержащее только минимальный набор необходимых возможностей. Системное окружение включает в себя только демон инициализации и агент (Аgent). Агент обеспечивает выполнение определённых пользователем образов контейнера в формате OCI для Docker и CRI для Kubernetes. При использовании совместно с Docker для каждого контейнера создаётся отдельная виртуальная машина, т.е. запускаемое поверх гипервизора окружение применяется для вложенного запуска контейнеров.

В условиях выполнения большого числа типовых окружений, накладные расходы на каждое последующее окружение составляет 18-20 Мб, что даёт возможность уместить 3500 виртуальных машин на сервере с 128 Гб ОЗУ. Окружение запускается менее, чем за 100ms, что позволяет использовать Kata Containers для запуска контейнера с приложениями на лету, в моменты, когда в них возникает необходимость. В качестве гипервизора по умолчанию предлагается использовать KVM в сочетании с инструментарием QEMU, но проект изначально позиционируется как не привязанный к конкретным архитектурам и способный работать с различными гипервизорами (например, Xen).

Для уменьшения потребления памяти применяется механизм DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств), а для дедупликации одинаковых областей памяти применяется технология KSM (Kernel Samepage Merging), что позволяет организовать совместное использование ресурсов хост-системы и подключить к разным гостевым системам общий шаблон системного окружения.

  1. Главная ссылка к новости (https://www.businesswire.com/n...)
  2. OpenNews: Intel представил инструментарий Clear Containers 3.0, переписанный на языке Go
  3. OpenNews: Выпуск инструментария Rocket 0.8 с поддержкой виртуальных окружений Intel Clear
  4. OpenNews: Intel представил Clear Linux с контейнерами приложений на базе виртуализации
  5. OpenNews: Компания Oracle открыла код инструментария для изолированных контейнеров
  6. OpenNews: Linux Foundation представил containerd 1.0, runtime для изолированных контейнеров
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47718-clear
Ключевые слова: clear, container, kata, virtual
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 14:22, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    Нужно больше контейнеров!
     
     
  • 2.11, pavlinux (ok), 15:49, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Minix (IntelME) всё равно дырявый.
     
     
  • 3.40, Аноним (-), 11:54, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато можно встроить пару свежих, оптимизированных бэкдоров в неведому фигню от интела. Все-равно код этой лабуды никто кроме интеоловских вассалов не будет.
     
  • 3.45, Аноним (-), 00:30, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не кати баллоны на миникс.
     
  • 2.26, Ilya Indigo (ok), 19:29, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  Нужно больше контейнеров!

    Мусорных. Всё упаковать и вывезти на Apache.

     

  • 1.2, Аноним (-), 14:23, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > JD.com

    Серьёзно? А почему других каких-нибудь мошенников не спросили?

     
     
  • 2.6, Аноним (-), 14:49, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Как же не спросили? Там длинный список.
     
  • 2.19, анон (?), 18:07, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё Huawei, JD.com, Tencent, China Mobile, как минимум.
     

  • 1.4, Аноним (-), 14:36, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux

    Ядро Linux можно легко аудитить, в отличие от процессоров Intel, и какие там "особенности реализации" внедрены в аппаратную виртуализацию - только узкому кругу интеловских инженеров ведомо.

     
     
  • 2.44, Аноним (-), 14:49, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ядро линукс можно аудитить 100 лет подряд, и все равно багов останется больше чем в микропрошивке интел.
     

  • 1.5, пох (?), 14:47, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    чорт, жалко сlear containers - идея была хорошая, и реализация понятная.
    В этой модной меганавороченной хрени никто, наверное, не разберется, включая и ее авторов.

     
     
  • 2.8, Crazy Alex (ok), 15:09, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, прототип от продакшн-решения примерно тем и отличается, что он ясно-понятный. А дальше наворачиваем то, что надо в реальной жизни... и этого "навёрнутого" оказывается процентов 80-90 кода.
     
     
  • 3.9, пох (?), 15:17, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и ты уверен что вот этот весь п-ц кому-то нада в реальной жизни?

    запустить единичный стремный контейнер с дополнительным уровнем изоляции - без всяких кубернетесов и прочих чудес, потому что такое ты точно не хочешь на автоматическом проде - это вполне понятная задача из реальной жизни.

     
     
  • 4.13, Crazy Alex (ok), 15:59, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Для "единственного контейнера" мне вообще пофигу накладные расходы, обычного KVM хватит.

    Я точно уверен, что дело идёт к тому, что в абсолютном большинстве случаев "ручные запуски" контейнеров уйдут, а останутся именно кубернетесы и прочее. Примерно как от явно выделенных процессов ушли к пулам (а потом к пулам потоков) потоков, которые создаются и убиваются какой-то автоматикой. И точно уверен, что с ростом сложности новые уровни безопасности будут нормой, и подход будет "отдетектиили подозрительную активность? Убиваем контейнер и перезапускаем где-то ещё с нуля, а потом (может быть) разбираемся", потому что диагностировать всё это в реальном времени никаких ресурсов не хватит.

     
     
  • 5.16, пох (?), 16:50, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    так идея-то была не в этом совсем. Идея была - (чужой) стандартный докеровский или еще чей образ запустить, не разбираясь с его потрохами.
    А не сетапить kvm с нуля, потом выковыривать из образа что они там наслесарили и вручную это воспроизводить.

     
     
  • 6.27, Crazy Alex (ok), 20:10, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, это у кого какая идея. У меня - что сделать надёжно изолированные друг от друга контейнеры - всё меньше шансов, а быстро поднимать/убивать их хочется. В этом плане затея как раз правильная. Если что-то подобное не предполагать то совершенно непонятно, зачем выбирать то, где "20 мб на контейнер". Для вашего случая наверняка есть какой-то другой вариант уже сейчас. Скорее всего с оверхедом по сложности и тратам ресурсов - но для "один раз что-то запустить" - не критично.
     
     
  • 7.34, . (?), 05:00, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Для вашего случая наверняка есть какой-то другой вариант уже сейчас. Скорее всего с оверхедом по сложности и тратам ресурсов - но для "один раз что-то запустить" - не критично.

    Может Vagrant тогда?

     
  • 7.35, Аноним (-), 07:04, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Быстро запускать контейнеры это к kvm, из соспенда стартует как раз за <100мс
     

  • 1.7, Аноним (-), 15:00, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Увидел в новости логотип Магенто и испугался https://duckduckgo.com/?q=magento+logo
     
  • 1.12, Аноним (-), 15:57, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Комментаторы действительно поняли о чем речь, просто прочитав текст новости?
     
  • 1.14, Аноним (-), 16:26, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нужно как-то всё систематизировать, и в одной статье разжевать. Я уже вообще не ориентируюсь в этой куче контейнеров, и не понимаю, на надо их столько?
     
     
  • 2.21, Аноним (-), 18:14, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хайп.
     
  • 2.28, EHLO (?), 20:55, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Для упрощения, почти не совру: контейнеры в Линуксе сейчас одни. Сабж к контейнерам не относится, опять почти не соврал.
    Начать можно отсюда https://lwn.net/Articles/531114/
     

  • 1.31, Аноним (-), 21:24, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот это годнота.
     
     
  • 2.32, Led (ok), 22:08, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Вот это годнота.

    | tr д в

     
     
  • 3.46, Аноним (-), 08:42, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    sed ниасилил, да? ))
     

  • 1.33, ТехнокраД (?), 22:47, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Чего только не придумают чтобы не юзать rkt, там ведь, все доступно из коробки через stages, плюс кроме этого в комплекте с SELinux получается вполне продакшен решение. Другое дело что есть некоторые огрничения при работе в связке с k8s, но это уже отдельная тема, надо активней пинать по ишам разрабо k8s и ребят из coreos.
     
     
  • 2.38, пох (?), 10:00, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чего только не придумают чтобы не юзать rkt,

    не нужно ничего придумывать, чтобы "не юзать" еще одну ненужно-ненужно обертку вокруг lxc, сделанную в режиме "зато не докер!"

    > там ведь, все доступно из коробки через stages,

    кроме самого rkt, который из коробки только в неведомой зверушке. При этом https://github.com/rkt/rkt/blob/master/Documentation/running-kvm-stage1.md
    How does it work?
    It leverages the work done by Intel with their Clear Containers system.

    это я и без rkt могу (и да, перед этим там длинный список того, что у них в таком режиме не работает) - а вот сможет ли теперь что-нибудь rkt, когда интел забьет на старый проект?

    > плюс кроме этого в комплекте с SELinux получается вполне продакшен решение.

    на продакшн обычно некогда ковыряться с audit2allow "угадай что этой твари опять надо" и негде хранить терабайты мусора недоделанного линуксного audit.log.
    К тому же контейнеры у нас такие контейнеры: https://nvd.nist.gov/vuln/detail/CVE-2015-1334
    Эту дырку закрыли - новых понаделают.

     
  • 2.41, Аноним (-), 12:57, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >k8s

    накой хрен этот вендорлочный монстр нужен?

     
     
  • 3.42, Romik (??), 13:54, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну хоть не docker swarm
     
     
  • 4.43, Аноним (-), 14:43, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так сварм, как часть докера, это наоборот красотуля, хотя с ростом проекта глюков всё больше
     
     
  • 5.47, Аноним (-), 11:36, 04/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "Во-первых, это красиво"
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру