RENO, Nevada (PRWEB)
27 septembre 2022
Les Appteneur La communauté a annoncé aujourd'hui la version 1.1.0 du système de conteneurs populaire pour le calcul haute performance (HPC) sécurisé. Les améliorations apportées à la nouvelle version offrent une surface d'attaque réduite pour les déploiements de production tout en offrant des fonctionnalités qui améliorent et simplifient l'expérience utilisateur. Apptainer perpétue l'héritage de Singularity avec une rétrocompatibilité, une stabilité, une sécurité accrue, des performances et une reproductibilité.
*Exécution de conteneur sans racine*
La version 1.1.0 d'Apptainer offre une surface d'attaque plus petite avec la mise en œuvre d'un environnement d'exécution de conteneur entièrement sans racine dans lequel Apptainer n'installe plus une partie setuid-root par défaut. Au lieu de cela, les opérations courantes peuvent désormais être exécutées uniquement avec des espaces de noms d'utilisateurs non privilégiés. Si un utilisateur installe à partir de packages binaires (packages EPEL à venir), la partie setuid peut être restaurée en installant le package apptainer-suid. Ou, si les utilisateurs installent à partir de la source, il peut être inclus en compilant avec l'option mconfig –with-suid.
Les améliorations apportées à la livraison dans le cadre de cette nouvelle fonctionnalité incluent :
- Un pilote d'image squashfuse qui permet de monter des fichiers SIF sans utiliser setuid-root.
- Un pilote d'image fuse2fs qui permet de monter des fichiers EXT3 et des partitions de superposition SIF EXT3 sans utiliser setuid-root.
- Une option de superposition persistante (–overlay) et –writable-tmpfs sans utiliser setuid-root. Cela nécessite des espaces de noms d'utilisateurs non privilégiés et soit un noyau suffisamment récent (>= 5.11), soit la commande fuse-overlayfs.
- La possibilité de modifier les montages de fichiers SIF pour utiliser squashfuse_ll au lieu de squashfuse pour des performances améliorées. Pour des performances parallèles encore meilleures, une version multithread corrigée de squashfuse_ll est incluse dans les packages rpm et debian.
*Amélioration de la construction du conteneur*
Apptainer 1.1.0 est encore amélioré en offrant aux utilisateurs une plus grande flexibilité pour configurer des conteneurs sans utiliser root. La nouvelle version étend l'option –fakeroot pour la rendre utile lorsque les mappages /etc/subuid et /etc/subgid n'ont pas été configurés sur l'hôte. Lorsque c'est le cas, un espace de noms d'utilisateur non privilégié mappé à la racine (l'équivalent de unshare -r) et/ou la commande fakeroot de l'hôte seront essayés. Ensemble, ils émulent les mêmes mappages et sont plus simples à administrer. Cette fonctionnalité est particulièrement utile avec les options –overlay et –writable-tmpfs et pour créer des conteneurs sans privilège, car elles permettent d'installer des packages qui supposent qu'ils s'exécutent en tant que root.
Les notes de version complètes sont disponibles dans le référentiel Apptainer GitHub :
https://github.com/apptainer/apptainer/releases
*À propos d'Apptainer*
Apptainer est le successeur de Linux Foundation du populaire runtime de conteneur Singularity. Développé à l'origine sous la marque Singularity, Apptainer est le système de conteneurs le plus largement utilisé pour le HPC. Le projet open source exécute des applications HPC à des performances bare metal tout en étant sécurisé, portable et reproductible à 100 %. Plus d'informations sur les modifications apportées à cette version sont disponibles dans ce papier sur arXiv.
CIQ est le principal fournisseur de soutien et de services pour le projet Apptainer. CIQ construit la prochaine génération d'infrastructure logicielle pour les entreprises et les organismes de recherche exécutant des charges de travail gourmandes en calcul et en données.
Apptainer est une marque déposée de la série Apptainer de LF Projects LLC. Plus à https://lfprojects.org/policies.
###
Partager l'article sur les médias sociaux ou par courrier électronique:
