RENO, Nowy Jork (PRWEB)
27 września 2022 r.
Połączenia Apptainer społeczność ogłosiła dzisiaj wersję 1.1.0 popularnego systemu kontenerowego do bezpiecznego przetwarzania o wysokiej wydajności (HPC). Ulepszenia w nowej wersji zapewniają mniejszą powierzchnię ataku w przypadku wdrożeń produkcyjnych, oferując jednocześnie funkcje poprawiające i upraszczające środowisko użytkownika. Apptainer kontynuuje dziedzictwo Singularity dzięki wstecznej kompatybilności, stabilności, dodatkowym bezpieczeństwu, wydajności i odtwarzalności.
*Czas wykonania kontenera bez roota*
Wersja 1.1.0 Apptainera zapewnia mniejszą powierzchnię ataku dzięki zaimplementowaniu środowiska wykonawczego kontenera w pełni pozbawionego roota w tym Apptainerze, który nie instaluje już domyślnie części setuid-root. Zamiast tego typowe operacje można teraz wykonywać tylko z nieuprzywilejowanymi przestrzeniami nazw użytkowników. Jeśli użytkownik instaluje z pakietów binarnych (pakiety EPEL już wkrótce), część setuid może zostać przywrócona poprzez zainstalowanie pakietu apptainer-suid. Lub, jeśli użytkownicy instalują ze źródła, można go dołączyć, kompilując z opcją mconfig –with-suid.
Ulepszenia wysyłki w ramach tej nowej funkcji obejmują:
- Sterownik obrazu squashfuse, który umożliwia montowanie plików SIF bez użycia setuid-root.
- Sterownik obrazu fuse2fs, który umożliwia montowanie plików EXT3 i partycji nakładek EXT3 SIF bez użycia setuid-root.
- Opcja trwałej nakładki (–overlay) i –writable-tmpfs bez użycia setuid-root. Wymaga to nieuprzywilejowanych przestrzeni nazw użytkowników i albo wystarczająco nowego jądra (>= 5.11), albo polecenia fuse-overlayfs.
- Możliwość zmiany montowań plików SIF tak, aby używały squashfuse_ll zamiast squashfuse w celu zwiększenia wydajności. Aby uzyskać jeszcze lepszą wydajność równoległą, w pakietach rpm i debian znajduje się załatana, wielowątkowa wersja squashfuse_ll.
*Ulepszenie budowy kontenera*
Apptainer 1.1.0 został dodatkowo ulepszony, umożliwiając użytkownikom większą elastyczność w konfigurowaniu kontenerów bez używania roota. Nowa wersja rozszerza opcję –fakeroot, aby była użyteczna, gdy mapowania /etc/subuid i /etc/subgid nie zostały skonfigurowane na hoście. W takim przypadku zostanie wypróbowana nieuprzywilejowana przestrzeń nazw użytkownika zmapowana jako root (odpowiednik unshare -r) i/lub polecenie fakeroot z hosta. Razem emulują te same mapowania i są prostsze w administrowaniu. Ta funkcja jest szczególnie użyteczna z opcjami –overlay i –writable-tmpfs oraz do budowania kontenerów nieuprzywilejowanych, ponieważ umożliwiają instalowanie pakietów, które zakładają, że działają jako root.
Pełne informacje o wydaniu można znaleźć w repozytorium Apptainer GitHub:
https://github.com/apptainer/apptainer/releases
*O Apptainer*
Apptainer jest następcą popularnego środowiska uruchomieniowego Singularity w ramach Linux Foundation. Pierwotnie opracowany pod znakiem towarowym Singularity, Apptainer jest najczęściej używanym systemem pojemników dla HPC. Projekt open source wykonuje aplikacje HPC z wydajnością bare metal, będąc jednocześnie bezpiecznym, przenośnym i w 100% odtwarzalnym. Więcej informacji o zmianach w tym wydaniu znajdziesz tutaj papier na arXiv.
CIQ jest głównym dostawcą wsparcia i usług dla projektu Apptainer. CIQ buduje nową generację infrastruktury oprogramowania dla przedsiębiorstw i organizacji badawczych obsługujących obciążenia obliczeniowe i wymagające dużej ilości danych.
Apptainer jest znakiem towarowym The Apptainer Series firmy LF Projects LLC. Więcej w https://lfprojects.org/policies.
# # #
Udostępnij artykuł w mediach społecznościowych lub e-mailu: