РЕНО, Невада (PRWEB)
27 сентября, 2022
Ассоциация аптейнер сообщество сегодня анонсировало версию 1.1.0 популярной контейнерной системы для безопасных высокопроизводительных вычислений (HPC). Улучшения в новой версии обеспечивают меньшую поверхность атаки для производственных развертываний, предлагая функции, которые улучшают и упрощают взаимодействие с пользователем. Apptainer продолжает наследие Singularity с обратной совместимостью, стабильностью, дополнительной безопасностью, производительностью и воспроизводимостью.
*Среда выполнения контейнера без рута*
Версия 1.1.0 Apptainer обеспечивает меньшую поверхность атаки с реализацией среды выполнения контейнера без рута, поскольку Apptainer больше не устанавливает часть setuid-root по умолчанию. Вместо этого обычные операции теперь могут выполняться только с непривилегированными пользовательскими пространствами имен. Если пользователь выполняет установку из бинарных пакетов (скоро появятся пакеты EPEL), часть setuid можно восстановить, установив пакет apptainer-suid. Или, если пользователи устанавливают из исходного кода, его можно включить, скомпилировав с параметром mconfig –with-suid.
Улучшения, поставляемые как часть этой новой функции, включают:
- Драйвер образа squashfuse, который позволяет монтировать SIF-файлы без использования setuid-root.
- Драйвер образа fuse2fs, который позволяет монтировать файлы EXT3 и оверлейные разделы EXT3 SIF без использования setuid-root.
- Постоянный параметр наложения (-overlay) и параметр -writable-tmpfs без использования setuid-root. Для этого требуются пространства имен непривилегированных пользователей и либо достаточно новое ядро (>= 5.11), либо команда fuse-overlayfs.
- Возможность изменять монтирование файлов SIF для использования squashfuse_ll вместо squashfuse для повышения производительности. Для еще лучшей параллельной работы исправленная многопоточная версия squashfuse_ll включена в пакеты rpm и debian.
*Улучшение сборки контейнера*
Apptainer 1.1.0 дополнительно улучшен, предоставляя пользователям большую гибкость в настройке контейнеров без использования root. В новой версии параметр –fakeroot расширен, чтобы сделать его полезным, когда на хосте не настроены сопоставления /etc/subuid и /etc/subgid. В этом случае будет испробовано пространство имён непривилегированного пользователя с корневым отображением (эквивалент unshare -r) и/или команда fakeroot с хоста. Вместе они эмулируют одни и те же сопоставления и проще в администрировании. Эта функция особенно полезна с параметрами –overlay и –writable-tmpfs, а также для создания непривилегированных контейнеров, поскольку они позволяют устанавливать пакеты, предполагающие, что они работают от имени пользователя root.
Полные примечания к выпуску можно найти в репозитории Apptainer GitHub:
https://github.com/apptainer/apptainer/releases
*О приложении*
Apptainer — преемник популярной среды выполнения контейнеров Singularity от Linux Foundation. Первоначально разработанная под торговой маркой Singularity, Apptainer является наиболее широко используемой контейнерной системой для высокопроизводительных вычислений. Проект с открытым исходным кодом выполняет приложения HPC с производительностью «голого железа», будучи безопасным, переносимым и воспроизводимым на 100%. Более подробная информация об изменениях в этом выпуске доступна в этом статья на arXiv.
CIQ является основным поставщиком услуг и поддержки для проекта Apptainer. CIQ создает программную инфраструктуру следующего поколения для предприятий и исследовательских организаций, выполняющих рабочие нагрузки, требующие больших объемов вычислений и данных.
Apptainer является торговой маркой Apptainer Series компании LF Projects LLC. Подробнее на https://lfprojects.org/policies.
###
Поделиться статьей о социальных сетях или электронной почте:
