The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Kata Containers 3.4 с изоляцией на основе виртуализации

21.04.2024 11:06

Опубликован выпуск проекта Kata Containers 3.4, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenInfra Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.

Основу Kata составляет runtime, позволяющий создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux и изолированных при помощи пространств имён и cgroups. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.

Kata Containers ориентирован на интеграцию в существующие инфраструктуры контейнерной изоляции c возможностью применения подобных виртуальных машин для усиления защиты традиционных контейнеров. Проектом предоставляются механизмы для обеспечения совместимости легковесных виртуальных машины с различными инфраструктурами контейнерной изоляции, платформами оркестровки контейнеров и спецификациями, такими как OCI (Open Container Initiative), CRI (Container Runtime Interface) и CNI (Container Networking Interface). Доступны средства для интеграции с Docker, Kubernetes, QEMU и OpenStack.

Интеграция с системами управления контейнерами достигается при помощи прослойки, симулирующей управление контейнером, которая через gRPC-интерфейс и специальный прокси обращается к управляющему агенту в виртуальной машине. Внутри виртуального окружения, которое запускается гипервизором, используется специально оптимизированное ядро Linux, содержащее только минимальный набор необходимых возможностей.

В качестве гипервизора поддерживается использование Dragonball Sandbox (редакция KVM, оптимизированная для контейнеров) с инструментарием QEMU, а также Firecracker и Cloud Hypervisor. Системное окружение включает в себя демон инициализации и агент (Аgent). Агент обеспечивает выполнение определённых пользователем образов контейнера в формате OCI для Docker и CRI для Kubernetes. При использовании совместно с Docker для каждого контейнера создаётся отдельная виртуальная машина, т.е. запускаемое поверх гипервизора окружение применяется для вложенного запуска контейнеров.

Для уменьшения потребления памяти применяется механизм DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств), а для дедупликации одинаковых областей памяти применяется технология KSM (Kernel Samepage Merging), что позволяет организовать совместное использование ресурсов хост-системы и подключить к разным гостевым системам общий шаблон системного окружения.

Для организации доступа к образам контейнеров задействована файловая система Nydus, в которой используется адресация по содержимому для эффективной совместной работы с типовыми образами. Nydus поддерживает загрузку образов на лету (загружает только при возникновении необходимости), обеспечивает дедупликацию повторяющихся данных и может использовать разные бэкенды для фактического хранения. Предоставляется совместимость с POSIX (по аналогии с Composefs, реализация Nydus совмещает возможности OverlayFS c EROFS или FUSE-модулем).

В новой версии:

  • В менеджер виртуальных машин Dragonball добавлена поддержка горячего подключения GPU и возможность использования регистров MTRR (Memory-Type Range Registers) для организации доступа к областям физической памяти.
  • В runtime-rs, реализации runtime на языке Rust, обеспечена полная обработка потоков, pid и tid, а также переработан драйвер qemu, который задействован на системах с архитектурой s390 (IBM Z).
  • Обновлён сервис для создания снапшотов с использованием ФС Nydus.
  • В сервисе управления образами контейнеров повышена эффективность работы с памятью.
  • Включено по умолчанию монтирование иерархии cgroups-v2 во время загрузки при помощи systemd.
  • Добавлена возможность определения таймаута для ограничения времени получения очень больших образов в гостевых системах.
  • Добавлена поддержка сборки OPA-агента (Open Policy Agent) для архитектур ppc64le и s390x.


  1. Главная ссылка к новости (https://github.com/kata-contai...)
  2. OpenNews: Google открыл код защищённой операционной системы KataOS
  3. OpenNews: Выпуск Kata Containers 3.0 с изоляцией на основе виртуализации
  4. OpenNews: Компании Intel и Hyper представили проект Kata Containers
  5. OpenNews: Amazon открыл код легковесной платформы виртуализации Firecracker
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61039-kata
Ключевые слова: kata, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ананоним (?), 11:25, 21/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сколько труда бесполезного для этой "изоляции" происходит на Земле.
     
     
  • 2.2, Всем Анонимам Аноним (?), 11:35, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я тоже так подумал. Такая "легковестность" в production... Что если баг в любом из этих миллионов компонентов они понавставляли туда?
     
  • 2.3, Аноним (3), 11:44, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    А сколько труда бесполезного для этого "айти" происходит на Земле?!
     
     
  • 3.45, Пряник (?), 10:16, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не делай его :)
     
  • 2.15, Аноним (15), 15:58, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну если добавить возможность на виртуальную машину выделить клавиатуру, мышь и монитор, то в целом это обретет смысл - из одного компьютера можно получить несколько с разделяемыми ресурсами.
     
     
  • 3.32, Аноним (32), 19:54, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Горынычи? Только они с более лёгким разделением ресурсов. Может, даже легче контейнеров.
     
  • 3.61, Shamil (?), 14:14, 23/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже мейнфрем получается ...
     
  • 2.16, Аноним (16), 16:06, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Про изоляциию проводов ты тоже так думаешь?
    Или про двойную изоляцию для стиралки или бойлера?
    Или про отбойники и "изоляцию" автомобильних потоков?
    Я уже молчу про "изолялию" всяких опасных людей в местах не столь отдаленные (речь конечно про цивилизованные страны).
     
     
  • 3.19, Аноним (19), 16:59, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    речь конечно про цивилизованные страны

    Это про все что ли? )

     
  • 3.33, Аноним (32), 20:00, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Или про двойную изоляцию для стиралки или бойлера?

    Тот, кто разбирал стиральную машину самостоятельно, что-то не обнаружил в ней _двойной_ изоляции. Защита стиральных машин и водонагревателей, всё же, основана на наличии заземляющего проводника (система TN-S) и действии УЗО, диффавтоматов.

     

  • 1.6, Аноним (6), 12:49, 21/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Intel ... Hyper ... Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE

    А где же так называемое "сообщество"?

     
     
  • 2.7, Аноним (7), 13:04, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Intel ... Hyper ... Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE
    > А где же так называемое "сообщество"?

    Занято раздачей Ценных Указаний вида "как нужно было правильно (лицензия, ЯП, IDE, (D)VC, гендер и сексуальная ориентация разрабов, правильный СоС)" и "как бы офигенно сделал я, если бы соизволил встать с дивана" в комментариях. Очевидно же.
    Ваш КО.

     
  • 2.18, Аноним (18), 16:45, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так "сообщество" -  это такая эфимерная сущность, что можно им вертеть (хехе) как удобно)
    Например:
    сотрудник мелгкомяких находит уязвимость -> "вот оно сообщество! тысячи глаз работают!"

    Будущий сторудник майкрософта и нынешний красношапки добавляет систем-мд -> "Злые корпы портят наш линукс!111 азаза!"

    Принять тот факт, что без корпов опенсорса не было бы, это слишком для осознания фанатиками))
    Как и факт что "тот кто больше всех делает - тот и должен принимать решения".

    Но делать что-то - это сложно, а вот ныть на форумах и требовать, чтобы корпы делали, то что хочется именно ленывым потребителям, а не самим корпам и их пользователм - вот это легко

     
  • 2.28, Аноним (28), 17:29, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А где же так называемое "сообщество"?

    Ты его сам перечислил. Или по-твоему сообществом могут быть только безработные?

     
     
  • 3.47, Аноним (47), 11:19, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Оно, конечно, приятно - ощущать себя частью чего-то большого и нужного.
    Но вот ты сам-то в которой из дюжины этих контор работаешь? На что влияешь?
    Или так, сбоку припека, на которую сразу плюнут, как только интересы разойдутся?
     
     
  • 4.50, Аноним (50), 12:10, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Но вот ты сам-то в которой из дюжины этих контор работаешь?

    В первой. Я контрактор в Интел. Работаю в компании, которая пишет для интела

     
     
  • 5.55, Аноним (47), 18:44, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Молодец. Но есть нюанс:

    > На что влияешь?

    Потому что "работать" можно и в армии, "от забора и до обеда". Но под "сообществом" обычно понимают кое-что другое.

    Можешь ты повлиять, например, на приоритет написания драйверов для десктопных карт интела, чтоб их пилили больше виндовых?

    Не можешь - никакой ты не "сообщник", а просто холоп на галере. Настоящий холоп, искренний, которому холопство в радость.

    Именно для воспитания таких и созданы все религии, идеологии, секты. Идея опенсорса - одна из порождающих для этого.

     
     
  • 6.57, Аноним (50), 20:00, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Воу-воу-воу, палехче.

    Я еще даже ответить не успел, а ты уже насочинял.

    > Не можешь - никакой ты не "сообщник", а просто холоп на галере. Настоящий холоп, искренний, которому холопство в радость.

    Я просто деньги зарабатываю, занимаясь любимым делом.

     
  • 2.34, Аноним (32), 20:02, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сообществу не по нраву безопасТный Rust.
     
     
  • 3.59, Аноним (7), 22:55, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сообществу не по нраву безопасТный Rust.

    Сообществу кто-то или что-то (гравитация, с-ка!) мешает встать с дивана и показать "как надо правильно" не только раздачей ЦУ в комментах?


     
  • 2.36, Аноним (28), 20:21, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    - Intel, Hyper, Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE: создают сообщество для работы над общим делом/проектом
    - Аноним с опеннета: ну и где же это ваше сообщество?
     
  • 2.39, Аноним (39), 00:24, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А где же так называемое "сообщество"?

    корпорации это часть сообщества опенсорса если они пишут открытый код, странно противопоставлять эти термины

     
     
  • 3.48, Аноним (47), 11:21, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А если они оный код "заимствуют" в закрытые продукты - это другое, понимать надо?
     
     
  • 4.52, Аноним (50), 15:25, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если они действуют СООБЩА и работают над каким-то ОБЩИМ проектом, то они СООБЩЕСТВО.
    А если кто-то один просто взял и заюзал у себя в закрытом продукте, то это не сообщество. А что не так?
     
  • 4.56, Аноним (39), 19:00, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А если они оный код "заимствуют" в закрытые продукты - это другое, понимать надо?

    в своих внутренних продуктах вы можете использовать чужой открытый код в любом виде, это даже GPL не запрещает. Не путайте идеологию с моделью разработки - большинство корпораций давно и успешно используют модель разработки с открытым исходным кодом для части своих продуктов.

     

  • 1.8, penetrator (?), 13:08, 21/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    все эти контейнеры, если объективно посмотреть - замена shared хостинга, а маркетинг такой как-будто это rocket-since
     
     
  • 2.11, контейнер (?), 15:31, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если считать и автомобили замену телегам, то логика правильная.
    Только вот задачи совсем разные.
     
     
  • 3.20, Аноним (19), 17:04, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот задачи совсем разные.

    Какие же разные? Объёмы разные, а более унылого говорящего, чем гомосапиенс вряд ли сыскать.¯\_(ツ)_/¯

     

  • 1.9, Аноним (9), 13:08, 21/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации

    Осспади, да сколько можно уже harold_face.jpg
    Лучше доведите до ума хоть одно уже существующее контейнерное поделие.

     
     
  • 2.24, Аноним (24), 17:17, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Лучше доведите до ума хоть одно уже существующее контейнерное поделие

    Татышо. А чуваки с амазона и т.к. даже не догадываются, что юзают детские поделки! Иииии... Как современный интернет и бизнес работает, представить только! :D

     
  • 2.44, Аноним (44), 10:06, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так это оно и есть, давно существующее. Или аноним с опеннета решил, что это анонс чего-то нового?
     

  • 1.10, Аноним (10), 13:59, 21/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.

    Позволяет добиться более сильной иллюзии безопастности.

     
  • 1.12, Аноним (-), 15:38, 21/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пишешь очередной уровень виртуализации для защиты.
    Пытаешься использовать безопасные языки.
    А потом оказывается, что диды в начале тысячелетия наделали в glibc...
    И всё - все твои старания идут прахом.
     
     
  • 2.17, Аноним (17), 16:22, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так почему же твои новомодные технологии основываются на технологиях "дидов"? Давай, засучи рукава, и покажи всем как надо, начиная с уровня прошивок и EFI.

    Спойлер: Если даже когда-нибудь закончишь уже сам будешь "дидом", а все тобой понаписаноое - легаси.

     
     
  • 3.21, Аноним (-), 17:09, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так почему же твои новомодные технологии основываются на технологиях "дидов"?

    Потому что диды луддиты и сопротивляются любым нововедениям.
    Именно потому ядро начало использовать С11 только в 22 году.
    Потому, что целая масса народу боится потерять свою работу, тк их "ценные знания" о 197 UB в дыряшке, станут вообще никому не нужны.

    Потому что людей приучили к мысли, что "опенсорс это безопасно", но это не правда.  

    > Давай, засучи рукава, и покажи всем как надо, начиная с уровня прошивок и EFI.

    Так уже есть куча проектов
    rust-osdev.github.io/uefi-rs/HEAD/
    github.com/gurry/efi
    medium.com/@gil0mendes/an-efi-app-a-bit-rusty-82c36b745f49

     
     
  • 4.51, Аноним (51), 12:25, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно безопасного ничего нет, безопасность относительна. Но СПО безопаснее, чем клозетсорс.
     
  • 3.27, Аноним (28), 17:27, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Спойлер: Если даже когда-нибудь закончишь уже сам будешь "дидом", а все тобой понаписаноое - легаси.

    Он никогда не закончит, потому что даже не начнет

     
  • 2.26, Аноним (28), 17:21, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А диды лично тебе чем-то обязаны?  Диды виноваты в том, что ты не можешь свою glib-rs написать и вынужен, понахуевертив 1024 слоев абсракций, все равно юзать то что написали они?
     
  • 2.29, Аноним (28), 17:31, 21/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Пытаешься использовать безопасные языки.
    > А потом оказывается, что диды в начале тысячелетия наделали в glibc...
    > И всё - все твои старания идут прахом.

    А ты чё, в своем расте не проверяешь сколько данных отсылаешь в glibc? o_O

     

  • 1.23, Аноним (23), 17:16, 21/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Годная штука, пользуемся в Кубере у клиента на той самой s390x. Надо будет посмотреть что там актуального для нас зарелизили и поставить в план апгрейд. Держу в курсе.
     
     
  • 2.53, myster (ok), 16:31, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А какие преимущества в K8s по сравнению с containerd? Вряд ли из-за улучшенной изоляции, что-то должно быть ещё.
     

  • 1.41, нитгитлистер (?), 06:11, 22/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    тоесть этот проект не создаёт полноценные виртуальные машины, на котрые можно посавить нужную тебе ось а лишь изолирует какие-то отдельные процессы? или что? или как? нипанятно зачем оно надо.. ну если сделали значит надо)
     
     
  • 2.46, _kp (ok), 11:04, 22/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы тормозить ради безопасности.
    По сути, это очередной костыль, и прилично  снижающий производительность, вместо устранения причин побудивших создание подобных инструментов.

    Потери производительности наглядно видны например при компиляции, причем в любой виртуалке. Хотя, какое то ПО почти не теряет производительности.

     

  • 1.49, Аноним (-), 11:22, 22/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    помню аргументацию докерастов "зато мы не суём в виртуалку"
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру