Kata Containers 3.0.0 arbeitet auf mehr Plattformen und bleibt dank Rust kompakt
Die Container Runtime Kata Containers verspricht mehr Leistung durch die Neuimplementierung in Rust und direkteren Zugriff auf mehr Hardware-Systeme.
(Bild: Travel mania/Shutterstock.com)
Das Entwicklerteam hinter dem Community-Projekt Kata Containers hat Version 3.0.0 der Open-Source-Container-Runtime vorgelegt. Um hohe Sicherheit durch strengere Isolation einzelner Workloads mit Hardware-basierter Virtualisierung verbinden zu können, führt das von der Open Infrastructure Foundation unterstützte Projekt die Vorteile von Containern mit denen virtueller Maschinen (VMs) zusammen – bei direkterem Zugriff auf der Hardwareinfrastruktur. Das neue Release baut dazu auf eine Neuimplementierung in Rust und erweiterten Support für mehr Hardware-Plattformen.
Linux und Kata Containers: Trust in Rust
Nachdem die Kata-Community in Version 2.0 bereits den Kata Containers Agent komplett neu in Rust geschrieben hatte, baut nun auch die Runtime selbst auf Rust. Anwenderinnen und Anwender sollen dadurch von geringerem Overhead im Vergleich zu der bisher in Go geschriebenen Laufzeitumgebung profitieren. Darüber hinaus soll der integrierte Rust-Hypervisor – der optional zum Einsatz kommen kann – den Ressourcenbedarf von Kata Containers noch weiter reduzieren, indem er unter anderem sicherstellt, dass für jeden POD nur eine Host-Komponente erzeugt wird.
Den ebenfalls in Rust implementierten Cloud Hypervisor hat das Kata-Entwicklerteam unterdessen auf Version 26.0 aktualisiert. Damit einher gehen einige Verbesserungen, die Kata Containers direkteren Zugriff auf eine Vielzahl von Hardware-Systemen verschaffen – für höhere Leistung und mehr Sicherheit. Das Update des Cloud Hypervisor beispielsweise arbeitet eng mit Intels Trust Domain Extensions (TDX) zusammen, die als designierter Nachfolger von Intels Software Guard Extensions (SGX) das vollständig isolierte Ausführen von VMs im Sinne einer Confidential-Computing-Umgebung gewährleisten sollen. Zum Isolieren der VMs nutzt TDX dabei den von Intel-CPUs bereitgestellten Secure Arbitration Mode (SEAM). Anwenderinnen und Anwender sollen zudem auch Legacy-Anwendungen in den virtuellen Maschinen ohne Einschränkungen bei Speicher und Performance ausführen können. Neu in Kata Containers 3.0 ist auch direkterer Zugriff auf PCI-Hardware wie Grafikbeschleuniger. Via Virtual Function I/O (VFIO) können VMs unmittelbar auf die GPU zugreifen, um deren Leistung nahezu vollständig zu nutzen.
Ein vollständiger Überblick aller Neuerungen und Änderungen findet sich in den Release Notes zu Kata Containers 3.0 auf GitHub.
(map)