RENO, Nevada (PRWEB)
27 de Setembro de 2022
A Atendente community anunciou hoje a versão 1.1.0 do popular sistema de contêineres para computação segura e de alto desempenho (HPC). As melhorias na nova versão fornecem uma superfície de ataque menor para implantações de produção, oferecendo recursos que melhoram e simplificam a experiência do usuário. Apptainer continua o legado da Singularity com compatibilidade com versões anteriores, estabilidade, segurança adicional, desempenho e reprodutibilidade.
*Tempo de execução de contêiner sem raiz*
A versão 1.1.0 do Apptainer oferece uma superfície de ataque menor com a implementação de um tempo de execução de contêiner totalmente sem raiz em que o Apptainer não instala mais uma porção setuid-root por padrão. Em vez disso, as operações comuns agora podem ser executadas apenas com namespaces de usuário sem privilégios. Se um usuário instalar a partir de pacotes binários (pacotes EPEL em breve), a parte setuid pode ser restaurada instalando o pacote apptainer-suid. Ou, se os usuários instalarem a partir do código-fonte, ele pode ser incluído compilando com a opção mconfig –with-suid.
O envio de melhorias como parte deste novo recurso inclui:
- Um driver de imagem squashfuse que permite a montagem de arquivos SIF sem usar o setuid-root.
- Um driver de imagem fuse2fs que permite montar arquivos EXT3 e partições de sobreposição EXT3 SIF sem usar setuid-root.
- Uma opção de sobreposição persistente (–overlay) e –writable-tmpfs sem usar setuid-root. Isso requer namespaces de usuário sem privilégios e um kernel novo o suficiente (>= 5.11) ou o comando fuse-overlayfs.
- A capacidade de alterar montagens de arquivos SIF para usar squashfuse_ll em vez de squashfuse para melhorar o desempenho. Para um desempenho paralelo ainda melhor, uma versão multithread corrigida do squashfuse_ll está incluída no pacote rpm e debian.
*Melhoria na construção do contêiner*
O Apptainer 1.1.0 é aprimorado ainda mais, permitindo aos usuários maior flexibilidade para configurar contêineres sem usar root. A nova versão estende a opção –fakeroot para torná-la útil quando os mapeamentos /etc/subuid e /etc/subgid não foram configurados no host. Quando este for o caso, um namespace de usuário sem privilégios mapeado pela raiz (o equivalente a unshare -r) e/ou o comando fakeroot do host serão tentados. Juntos, eles emulam os mesmos mapeamentos e são mais simples de administrar. Esse recurso é especialmente útil com as opções –overlay e –writable-tmpfs e para a construção de contêineres sem privilégios, pois permitem a instalação de pacotes que assumem que estão sendo executados como root.
As notas de versão completas podem ser encontradas no repositório GitHub do Apptainer:
https://github.com/apptainer/apptainer/releases
*Sobre o Apptainer*
Apptainer é o sucessor do Linux Foundation para o popular container runtime Singularity. Originalmente desenvolvido sob a marca Singularity, o Apptainer é o sistema de contêiner mais utilizado para HPC. O projeto de código aberto executa aplicativos HPC com desempenho bare-metal, sendo seguro, portátil e 100% reprodutível. Mais informações sobre as mudanças nesta versão estão disponíveis neste artigo sobre arXiv.
CIQ é o principal provedor de serviços e suporte para o projeto Apptainer. A CIQ está construindo a próxima geração de infraestrutura de software para empresas e organizações de pesquisa que executam cargas de trabalho com uso intenso de dados e computação.
Apptainer é uma marca registrada da série Apptainer da LF Projects LLC. Mais em https://lfprojects.org/policies.
# # #
Compartilhe artigo em mídias sociais ou e-mail: