The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Kata Containers 3.2 с изоляцией на основе виртуализации

24.10.2023 13:40

Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.

Основу Kata составляет runtime, позволяющий создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.

Kata Containers ориентирован на интеграцию в существующие инфраструктуры контейнерной изоляции c возможностью применения подобных виртуальных машин для усиления защиты традиционных контейнеров. Проектом предоставляются механизмы для обеспечения совместимости легковесных виртуальных машины с различными инфраструктурами контейнерной изоляции, платформами оркестровки контейнеров и спецификациями, такими как OCI (Open Container Initiative), CRI (Container Runtime Interface) и CNI (Container Networking Interface). Доступны средства для интеграции с Docker, Kubernetes, QEMU и OpenStack.

Интеграция с системами управления контейнерами достигается при помощи прослойки, симулирующей управление контейнером, которая через gRPC-интерфейс и специальный прокси обращается к управляющему агенту в виртуальной машине. Внутри виртуального окружения, которое запускается гипервизором, используется специально оптимизированное ядро Linux, содержащее только минимальный набор необходимых возможностей.

В качестве гипервизора поддерживается использование Dragonball Sandbox (редакция KVM, оптимизированная для контейнеров) с инструментарием QEMU, а также Firecracker и Cloud Hypervisor. Системное окружение включает в себя демон инициализации и агент (Аgent). Агент обеспечивает выполнение определённых пользователем образов контейнера в формате OCI для Docker и CRI для Kubernetes. При использовании совместно с Docker для каждого контейнера создаётся отдельная виртуальная машина, т.е. запускаемое поверх гипервизора окружение применяется для вложенного запуска контейнеров.

Для уменьшения потребления памяти применяется механизм DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств), а для дедупликации одинаковых областей памяти применяется технология KSM (Kernel Samepage Merging), что позволяет организовать совместное использование ресурсов хост-системы и подключить к разным гостевым системам общий шаблон системного окружения.

В новой версии:

  • Помимо поддержки архитектуры AMD64 (x86_64) обеспечено формирование релизов для архитектур ARM64 (Aarch64) и s390 (IBM Z). В разработке находится поддержка архитектуры ppc64le (IBM Power).
  • Для организации доступа к образам контейнеров задействована файловая система Nydus 2.2.0, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).
  • В основной состав проекта Kata Containers интегрирован менеджер виртуальных машин Dragonball, который теперь будет развиваться в общем репозитории.
  • В утилиту kata-ctl добавлена отладочная функция для подключения к виртуальной машине из хост-окружения.
  • Расширены возможности по управлению GPU и добавлена поддержка проброса GPU в контейнеры для конфиденциальных вычислений (Confidential Container), в который обеспечивается шифрование данных, памяти и состояния выполнения для защиты в случае компрометации хост-окружения или гипервизора.
  • В Runtime-rs добавлена подсистема управления устройствами, используемыми в контейнерах или sandbox-окружениях. Поддерживается работа с vfio, блочными, сетевыми и другими типами устройств.
  • Обеспечена совместимость с OCI Runtime 1.0.2 и Kubernetes 1.23.1.
  • В качестве ядра Linux рекомендовано использовать выпуск 6.1.38 с патчами.
  • Разработка переведена с использования системы непрерывной интеграции Jenkins на GitHub Actions.


  1. Главная ссылка к новости (https://github.com/kata-contai...)
  2. OpenNews: Intel развивает виртуальную прошивку TD-Shim, написанную на Rust
  3. OpenNews: Amazon открыл код легковесной платформы виртуализации Firecracker
  4. OpenNews: Google открыл gVisor, гибрид системы виртуализации и контейнеров
  5. OpenNews: Компании Intel и Hyper представили проект Kata Containers
  6. OpenNews: Intel представил Clear Linux с контейнерами приложений на базе виртуализации
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59985-kata
Ключевые слова: kata, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:03, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    >  Код проекта написан на языках Go и Rust

    Два лучших языка программирования!

    > независимой организации OpenStack Foundation, в которой участвуют ... Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.

    Сразу видно как много корпораций добра помогают улучшать опенсорс.

     
     
  • 2.46, Аноним (46), 14:51, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачётный троллинг.
     

  • 1.2, Аноним (2), 14:15, 24/10/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –5 +/
     

     ....ответы скрыты (6)

  • 1.6, Аноньимъ (ok), 14:44, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Доконтейнерезировались до ручки называется.

    Создали прослойку чтобы виртуалка выглядела как докер.

     
     
  • 2.8, Аноним (8), 15:04, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это же замечально, когда можно менять рантайм не меняя ничего в сервисе
     
     
  • 3.13, Аноньимъ (ok), 15:37, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это же замечально, когда можно менять рантайм не меняя ничего в сервисе

    Рантайм сервиса это окружение внутри контейнера\виртуалки. Нельзя менять, потому (наверное, может просто во славу Сатаны) эти контейнеры и придумали.

    Но с ними столько проблем вылилось, что пришлось их все равно в виртуалках запускать. Теперь вот наконец-то допёрло что можно виртуалку без контейнера запустить. Но управлять ею мы будем не через средства для управления виртуалками, а через прослойку эмулирующую прослойку для управления контейнерами.

    Это так бредово, что фактически является жанром треш/ужасы/авторское кино.

     
     
  • 4.16, НеАнонимЪ (?), 15:43, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот давно уже нет прослоек эмулирующих что-то там, давно есть CRI и даже докер переделали под этот api
     
     
  • 5.17, Аноньимъ (ok), 15:52, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я даже как-то не задумывался, но похоже существует теперь такая вещь как "Container Runtime".
    Господь - жги.
     
     
  • 6.27, Аноним (1), 17:44, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что я слышу?! Старичье опять разкудахталось?
    Можешь вернуться на дос (или даже раньше)) один поток, одно ядро, о̶д̶и̶н̶ ̶р̶е̶й̶х̶ одни 640кб которых хватит всем.
    Никаких виртуализаций и прочего смуззихлебства.
     
     
  • 7.30, Аноньимъ (ok), 18:22, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну у вас и буйная фантазия.

    Я же не над технологиями смеюсь, а над карго-культом который, да не смузихлёбы никакие, а свж сойбои, выстроили вокруг этих технологий.
    Всё завалено базвордами, у каждого мелкого костыля своё название и классификация. Вот по CRI статью открыл, а там в каждом абзаце девопс БУУМ! Ферст БУУМ оф контейнерс.Секонд БУУМ и так далее.

    Просто, какой же б mindset нужно иметь чтобы такую галиматью писать, и на полном серьёзе читать?

    > Никаких виртуализаций

    Мне забавно, что полоумные обезьяны от контейнеров вернулись к дедовской виртуализации.

     
     
  • 8.35, Аноним (35), 20:51, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да ладно, любителя олдовых башпортянок и я один знаю как надо видно из далека ... текст свёрнут, показать
     
  • 7.40, Аноньимъ (ok), 22:54, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы лучше расскажите где в Container Runtime собственно рантайм и каким образом он контейнер ранит.

     
     
  • 8.42, Аноним (8), 11:25, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если про обычный докер то это runc, а альтернативные это kata внутри kvm по деф... текст свёрнут, показать
     
     
  • 9.43, Аноньимъ (ok), 12:47, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Меня подробности интересуют Что этот runc ранит конкретно Что, программы из ... текст свёрнут, показать
     
     
  • 10.45, ubuntufag (?), 13:32, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так и есть, runc запускает процесс в отдельном неймспейсе ядра настраивает cgr... текст свёрнут, показать
     
  • 2.10, test (??), 15:16, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это только для отсталого формата докера, для нормального кри формата виртуалка не нужна.
     
     
  • 3.18, Аноньимъ (ok), 15:55, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да конечно, 10 раз ненужна. Волшебный формат ржавого контейнера с протухшими либами и особым девопс соусом внутри. Поэтому амазон на каждый чих aws lambda виртуалку раскручивает.
     

  • 1.7, InuYasha (??), 14:55, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Давайте изолировать плохих программистов* в докерах, а плохих админов** в виртуальных машинах. А посмертная контейнеризация у нас и так есть.

    * - не-сишников
    ** - виндовых

     
     
  • 2.11, Аноним (1), 15:29, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > * - не-сишников

    а с сишниками даже докеры не помогут?

     
  • 2.14, Аноньимъ (ok), 15:38, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В виндовсе есть нормальный сервер приложений, там эта муть не нужна.
     
     
  • 3.19, Аноним (-), 16:06, 24/10/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 3.24, swarus (ok), 17:29, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    виндовс и нормальный сервер, как эти слова могли в одном предложении встретится,
    файловая система медленее на 25%, вызовы системных функций медленее, только вызовы графики оптимизированы и быстрее, но и не безопаснее, может с вулканом эта ситуация в linux изменится.
    Постоянная халтура по переводу с ексченч (уязвимости в котором 3 год не правят) на linux не разу не сопровождалось с покупкой дополнительного железа.
     
  • 3.41, _ (??), 03:20, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >В виндовсе есть нормальный сервер приложений, там эта муть не нужна.

    Это ты про WSL в котором крутятся дыркеры? :-)
    Мсье таки знает толк вЪ! :-D

     

  • 1.22, Аноним (22), 17:03, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зумеры изобрели Vagrant?
     
     
  • 2.36, scriptkiddis (?), 21:24, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так точно.
     

  • 1.23, чатжпт (?), 17:13, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мутное описание. Это просто виртуалки с оркестрацией через кри/докеры..?
     
     
  • 2.32, Аноним (32), 19:58, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Создали прослойку чтобы виртуалка выглядела как докер.
     

  • 1.29, Аноним (29), 17:59, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думал, что контейнеры придумали для того, чтобы не использовать виртуализацию.
     
     
  • 2.31, Легивон (?), 19:00, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так это так и есть.
    Только получилось что вокруг этого младшего брата - контейнеров, так быстро и стремительно выросла столь взрослая и универсальная инфраструктура. Что самому старшему брату - виртуалкам, стало целесообразно реализовать имеющийся (описанный) интерфейст встраивания в уже имеющуюся контейнерную инфраструктуру, нежели придумывать что-то своё.
     
     
  • 3.33, по (?), 19:59, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а то блин у них своего не было
     
  • 3.34, Аноним (35), 20:46, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто в Линукс не придумали нормальную систему работы с зависимостями. Что за фигня что ты не можешь поставить несколько версий одной и той же программы на одной и той же машине хотя бы для тестирования. Докер решил проблему мгновенно.
     
     
  • 4.37, maximnik0 (?), 21:42, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Просто в Линукс не придумали

    Это вы просто не знаете.Есть продуманная система альтернатив с шаблоном *весов*.Можно также пакетным менеджером это делать См update-alternatives

     
  • 4.44, Аноним (46), 13:17, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >не можешь поставить несколько версий одной и той же программы на одной и той же машине

    Ну это зависит от выбранного тобой дистра. Например, NixOS и Guix могут в несколько версий одновременно.

     
  • 4.51, крокодил мимо.. (?), 21:03, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Просто в Линукс не придумали нормальную систему работы с зависимостями. Что за
    >>> фигня что ты не можешь поставить несколько версий одной и той
    >>> же программы на одной и той же машине хотя бы для
    >>> тестирования. Докер решил проблему мгновенно.
    >> .. update-alternates..
    > .. Guix ..

    ?!.. скорее кривые руки.. в *nix из коробки есть несколько опций держать множество версий программ/библиотек/компонентов.. вариант с ld_preload сейчас считают грязным хаком, но никто никогда не запрещал ставить версии в отдельный --prefix, если по какой-то причине не получается держать всё в "куче".. причём, что характерно, если корректно вести версии либ, можно даже иметь общий кэш ld.so и прозрачно линковать с требуемым.. например:

    $ ldconfig -r | grep -E "lavco|lavdev|lavfil"
            21:-lavcodec.25.0 => /usr/local/lib/libavcodec.so.25.0
            41:-lavfilter.11.0 => /usr/local/lib/libavfilter.so.11.0
            251:-lavcodec.58.134 => /usr/local/lib/libavcodec.so.58.134
            253:-lavdevice.58.13 => /usr/local/lib/libavdevice.so.58.13
            513:-lavdevice.13.0 => /usr/local/lib/libavdevice.so.13.0
            563:-lavfilter.7.110 => /usr/local/lib/libavfilter.so.7.110

     
     
  • 5.53, филателист (?), 23:42, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А самое классное, как это клёво сопровождать не на персональном локалхосте, когда у тебя куча серверов и когда у тебя постоянная миграция персонала. Удобно, комфортно, лайк, подписка.
     
     
  • 6.54, крокодил мимо.. (?), 16:07, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А самое классное, как это клёво сопровождать не на персональном локалхосте, когда у тебя куча..

    скорее некий организационный вопрос, чем какие-то непреодолимые трудности.. хотя.. было, что клиенты (вэб-хостинг) хотели разные версии компонентов, сделал (политику) установки в /opt/${program}-${version} /opt/${lib}-${version} всего, что не входило в дефолт системы.. недовольных не было и обслуживание не вызывало вопросов..

     

  • 1.38, Аноним (38), 22:13, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну програмные райды конечно хуже аппаратных? Все эти mdadm ZFS LVM. Я не чинил ни одного. Как бы все эти данайские дары дарят в своём кругу кровавых энтерпрайзов. Но святая правда, лодки они не раскачивают.
    Топят.
     
     
  • 2.48, Аноним (48), 16:42, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    програмные рейды конечно лучше аппаратных, именно потому что, что ты ничего не чинил и похоже не админил, ты этого не знаешь
     
     
  • 3.49, InuYasha (??), 16:48, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И то и другое плохо по-своему. \(o_O)/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру