РЕНО, штат Невада (PRWEB)
Вересень 27, 2022
Команда Apptainer спільнота сьогодні анонсувала версію 1.1.0 популярної контейнерної системи для безпечних високопродуктивних обчислень (HPC). Покращення в новій версії забезпечують меншу поверхню атаки для робочих розгортань, пропонуючи функції, які покращують і спрощують роботу користувача. Apptainer продовжує спадщину Singularity із зворотною сумісністю, стабільністю, додатковою безпекою, продуктивністю та відтворюваністю.
*Безкореневе виконання контейнера*
Версія 1.1.0 Apptainer забезпечує меншу поверхню для атаки з реалізацією повністю безкорневого середовища виконання контейнера, оскільки Apptainer більше не встановлює частину setuid-root за замовчуванням. Натомість звичайні операції тепер можна виконувати лише з непривілейованими просторами імен користувачів. Якщо користувач встановлює з бінарних пакетів (пакети EPEL незабаром), частину setuid можна відновити, встановивши пакет apptainer-suid. Або, якщо користувачі встановлюють із вихідного коду, його можна включити шляхом компіляції з параметром mconfig –with-suid.
Покращення доставки в рамках цієї нової функції включають:
- Драйвер зображення squashfuse, який дозволяє монтувати файли SIF без використання setuid-root.
- Драйвер зображення fuse2fs, який дозволяє монтувати файли EXT3 і накладені розділи EXT3 SIF без використання setuid-root.
- Параметр постійного накладання (–overlay) і –writable-tmpfs без використання setuid-root. Для цього потрібні непривілейовані простори імен користувачів і достатньо нове ядро (>= 5.11) або команда fuse-overlayfs.
- Можливість змінити монтування SIF-файлу на використання squashfuse_ll замість squashfuse для покращення продуктивності. Для ще кращої паралельної продуктивності, виправлена багатопотокова версія squashfuse_ll включена в пакет rpm і debian.
*Покращення конструкції контейнера*
Apptainer 1.1.0 додатково покращено, надаючи користувачам більшу гнучкість налаштування контейнерів без використання root. Нова версія розширює параметр –fakeroot, щоб зробити його корисним, коли зіставлення /etc/subuid і /etc/subgid не налаштовано на хості. У цьому випадку буде використано кореневий простір імен непривілейованого користувача (еквівалент unshare -r) та/або команда fakeroot з хоста. Разом вони емулюють однакові зіставлення та прості в адмініструванні. Ця функція особливо корисна з параметрами –overlay і –writable-tmpfs, а також для непривілейованого створення контейнерів, оскільки вони дозволяють інсталювати пакунки, які припускають, що вони працюють від імені root.
Повні примітки до випуску можна знайти в репозиторії Apptainer GitHub:
https://github.com/apptainer/apptainer/releases
*Про Apptainer*
Apptainer є наступником популярного середовища виконання контейнерів Singularity від Linux Foundation. Apptainer, спочатку розроблений під торговою маркою Singularity, є найпоширенішою контейнерною системою для HPC. Проект із відкритим вихідним кодом виконує високопродуктивні додатки з чистою продуктивністю, водночас безпечний, портативний і 100% відтворюваний. Додаткову інформацію про зміни в цьому випуску можна знайти тут папір на arXiv.
CIQ є основним постачальником підтримки та послуг для проекту Apptainer. CIQ будує нове покоління інфраструктури програмного забезпечення для підприємств і дослідницьких організацій, які працюють з інтенсивними обчислювальними навантаженнями та даними.
Apptainer є торговою маркою The Apptainer Series of LF Projects LLC. Більше на https://lfprojects.org/policies.
# # #
Опублікувати статтю про соціальні медіа чи електронну пошту:
