The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.12.2017 13:26  Компании Intel и Hyper представили проект Kata Containers

Компании Intel и Hyper представили проект Kata Containers, в рамках которого предпринята попытка объединить технологии Clear Containers и runV, нацеленные на организацию выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Развитие проекта будет курировать независимая организация OpenStack Foundation. О поддержке нового проекта уже заявили компании 99cloud, AWcloud, Canonical, China Mobile, City Network, CoreOS, Dell/EMC, EasyStack, Fiberhome, Google, Huawei, JD.com, Mirantis, NetApp, Red Hat, SUSE, Tencent, Ucloud, UnitedStack и ZTE. Код опубликован под лицензией Apache 2.0.

Как и Clear Containers новый проект позволяет создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, а не в форме запускаемого в одной ОС набора процессов, изолированного при помощи пространств имён и cgroups. Ключевым отличием нового проекта является ориентация на интеграцию в существующие инфраструктуры контейнерной изоляции c возможностью применения подобных виртуальных машин для усиления защиты традиционных контейнеров. Применение виртуальных машин позволяет добиться более высокого уровня безопасности, защищающего от совершения атак, вызванных эксплуатацией уязвимостей в ядре Linux.

В Kata Containers предоставлены механизмы для обеспечения совместимости легковесных виртуальных машины с различными инфраструктурами контейнерной изоляции, платформами оркестровки контейнеров и спецификациями, такими как OCI (Open Container Initiative), CRI (Container Runtime Interface) и CNI (Container Networking Interface). Доступены средства для интеграции с Docker, Kubernetes, QEMU и OpenStack. Взаимодействие осуществляется через прослойку, симулирующую управление контейнером, которая через gRPC-интерфейс и специальный прокси обращается к управляющему агенту в виртуальной машине.

Внутри виртуального окружения, которое запускается гипервизором, используется специально оптимизированное ядро Linux, содержащее только минимальный набор необходимых возможностей. Системное окружение включает в себя только демон инициализации и агент (Аgent). Агент обеспечивает выполнение определённых пользователем образов контейнера в формате OCI для Docker и CRI для Kubernetes. При использовании совместно с Docker для каждого контейнера создаётся отдельная виртуальная машина, т.е. запускаемое поверх гипервизора окружение применяется для вложенного запуска контейнеров.

В условиях выполнения большого числа типовых окружений, накладные расходы на каждое последующее окружение составляет 18-20 Мб, что даёт возможность уместить 3500 виртуальных машин на сервере с 128 Гб ОЗУ. Окружение запускается менее, чем за 100ms, что позволяет использовать Kata Containers для запуска контейнера с приложениями на лету, в моменты, когда в них возникает необходимость. В качестве гипервизора по умолчанию предлагается использовать KVM в сочетании с инструментарием QEMU, но проект изначально позиционируется как не привязанный к конкретным архитектурам и способный работать с различными гипервизорами (например, Xen).

Для уменьшения потребления памяти применяется механизм DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств), а для дедупликации одинаковых областей памяти применяется технология KSM (Kernel Samepage Merging), что позволяет организовать совместное использование ресурсов хост-системы и подключить к разным гостевым системам общий шаблон системного окружения.

  1. Главная ссылка к новости (https://www.businesswire.com/n...)
  2. OpenNews: Intel представил инструментарий Clear Containers 3.0, переписанный на языке Go
  3. OpenNews: Выпуск инструментария Rocket 0.8 с поддержкой виртуальных окружений Intel Clear
  4. OpenNews: Intel представил Clear Linux с контейнерами приложений на базе виртуализации
  5. OpenNews: Компания Oracle открыла код инструментария для изолированных контейнеров
  6. OpenNews: Linux Foundation представил containerd 1.0, runtime для изолированных контейнеров
Лицензия: CC-BY
Тип: Программы
Ключевые слова: clear, container, kata, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 14:22, 11/12/2017 [ответить] [смотреть все]    [к модератору]
  • +21 +/
    Нужно больше контейнеров!
     
     
  • 2.11, pavlinux, 15:49, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –2 +/
    Minix (IntelME) всё равно дырявый.
     
     
  • 3.40, Аноним, 11:54, 12/12/2017 [^] [ответить] [смотреть все]     [к модератору]
  • +1 +/
    Зато можно встроить пару свежих, оптимизированных бэкдоров в неведому фигню от и... весь текст скрыт [показать]
     
  • 3.45, Аноним, 00:30, 13/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    не кати баллоны на миникс.
     
  • 2.26, Ilya Indigo, 19:29, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    >  Нужно больше контейнеров!

    Мусорных. Всё упаковать и вывезти на Apache.

     
  • 1.2, Аноним, 14:23, 11/12/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > JD.com

    Серьёзно? А почему других каких-нибудь мошенников не спросили?

     
     
  • 2.6, Аноним, 14:49, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Как же не спросили? Там длинный список.
     
  • 2.19, анон, 18:07, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Ещё Huawei, JD.com, Tencent, China Mobile, как минимум.
     
  • 1.4, Аноним, 14:36, 11/12/2017 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ядро Linux можно легко аудитить, в отличие от процессоров Intel, и какие там ос... весь текст скрыт [показать]
     
     
  • 2.44, Аноним, 14:49, 12/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Ядро линукс можно аудитить 100 лет подряд, и все равно багов останется больше че... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, пох, 14:47, 11/12/2017 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    чорт, жалко сlear containers - идея была хорошая, и реализация понятная В этой ... весь текст скрыт [показать]
     
     
  • 2.8, Crazy Alex, 15:09, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ну, прототип от продакшн-решения примерно тем и отличается, что он ясно-понятный... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, пох, 15:17, 11/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    и ты уверен что вот этот весь п-ц кому-то нада в реальной жизни запустить едини... весь текст скрыт [показать]
     
     
  • 4.13, Crazy Alex, 15:59, 11/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для единственного контейнера мне вообще пофигу накладные расходы, обычного KVM... весь текст скрыт [показать]
     
     
  • 5.16, пох, 16:50, 11/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    так идея-то была не в этом совсем Идея была - чужой стандартный докеровский и... весь текст скрыт [показать]
     
     
  • 6.27, Crazy Alex, 20:10, 11/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну, это у кого какая идея У меня - что сделать надёжно изолированные друг от др... весь текст скрыт [показать]
     
     
  • 7.34, ., 05:00, 12/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Может Vagrant тогда ... весь текст скрыт [показать]
     
  • 7.35, Аноним, 07:04, 12/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Быстро запускать контейнеры это к kvm, из соспенда стартует как раз за <100мс
     
  • 1.7, Аноним, 15:00, 11/12/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Увидел в новости логотип Магенто и испугался https duckduckgo com q magento l... весь текст скрыт [показать]
     
  • 1.12, Аноним, 15:57, 11/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Комментаторы действительно поняли о чем речь, просто прочитав текст новости?
     
  • 1.14, Аноним, 16:26, 11/12/2017 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Нужно как-то всё систематизировать, и в одной статье разжевать Я уже вообще не ... весь текст скрыт [показать]
     
     
  • 2.21, Аноним, 18:14, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Хайп.
     
  • 2.28, EHLO, 20:55, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Для упрощения, почти не совру контейнеры в Линуксе сейчас одни Сабж к контейне... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Аноним, 21:24, 11/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Вот это годнота.
     
     
  • 2.32, Led, 22:08, 11/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    > Вот это годнота.

    | tr д в

     
     
  • 3.46, Аноним, 08:42, 13/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    sed ниасилил, да? ))
     
  • 1.33, ТехнокраД, 22:47, 11/12/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Чего только не придумают чтобы не юзать rkt, там ведь, все доступно из коробки через stages, плюс кроме этого в комплекте с SELinux получается вполне продакшен решение. Другое дело что есть некоторые огрничения при работе в связке с k8s, но это уже отдельная тема, надо активней пинать по ишам разрабо k8s и ребят из coreos.
     
     
  • 2.38, пох, 10:00, 12/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    не нужно ничего придумывать, чтобы не юзать еще одну ненужно-ненужно обертку в... весь текст скрыт [показать] [показать ветку]
     
  • 2.41, Аноним, 12:57, 12/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >k8s

    накой хрен этот вендорлочный монстр нужен?

     
     
  • 3.42, Romik, 13:54, 12/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ну хоть не docker swarm
     
     
  • 4.43, Аноним, 14:43, 12/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    так сварм, как часть докера, это наоборот красотуля, хотя с ростом проекта глюко... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor