内华达州里诺(PRWEB)
2022 年 9 月 27 日
应用程序 社区今天发布了用于安全、高性能计算 (HPC) 的流行容器系统 1.1.0 版。 新版本的改进为生产部署提供了更小的攻击面,同时提供了改善和简化用户体验的功能。 Apptainer 继承了 Singularity 的传统,具有向后兼容性、稳定性、增加的安全性、性能和可重复性。
*无根容器运行时*
Apptainer 1.1.0 版通过实现完全无根容器运行时提供更小的攻击面,因为 Apptainer 默认不再安装 setuid-root 部分。 相反,现在只能使用非特权用户命名空间执行常见操作。 如果用户从二进制包(即将推出的 EPEL 包)安装,则可以通过安装 apptainer-suid 包来恢复 setuid 部分。 或者,如果用户从源代码安装,则可以通过使用 mconfig –with-suid 选项进行编译来包含它。
作为此新功能的一部分的改进交付包括:
- 一个 squashfuse 映像驱动程序,可以在不使用 setuid-root 的情况下挂载 SIF 文件。
- 一个 fuse2fs 映像驱动程序,可以在不使用 setuid-root 的情况下挂载 EXT3 文件和 EXT3 SIF 覆盖分区。
- 不使用 setuid-root 的持久覆盖选项 (–overlay) 和 –writable-tmpfs。 这需要非特权用户命名空间和足够新的内核 (>= 5.11) 或 fuse-overlayfs 命令。
- 能够更改 SIF 文件挂载以使用 squashfuse_ll 而不是 squashfuse 以提高性能。 为了获得更好的并行性能,已修补的 squashfuse_ll 多线程版本包含在 rpm 和 debian 打包中。
*容器构建改进*
Apptainer 1.1.0 进一步增强,允许用户在不使用 root 的情况下更灵活地设置容器。 新版本扩展了 –fakeroot 选项,使其在主机上未配置 /etc/subuid 和 /etc/subgid 映射时有用。 在这种情况下,将尝试使用根映射的非特权用户命名空间(相当于 unshare -r)和/或来自主机的 fakeroot 命令。 它们一起模拟相同的映射并且更易于管理。 此功能对于 –overlay 和 –writable-tmpfs 选项以及构建非特权容器特别有用,因为它们允许安装假定它们以 root 身份运行的包。
完整的发行说明可以在 Apptainer GitHub 存储库中找到:
https://github.com/apptainer/apptainer/releases
*关于Apptainer*
Apptainer 是流行的 Singularity 容器运行时的 Linux 基金会继任者。 Apptainer 最初是在 Singularity 商标下开发的,是用于 HPC 的最广泛使用的容器系统。 该开源项目以裸机性能执行 HPC 应用程序,同时具有安全性、便携性和 100% 可重复性。 有关此版本中更改的更多信息,请参阅此 arXiv 上的论文.
CIQ 是 Apptainer 项目的主要支持和服务提供商。 CIQ 正在为运行计算和数据密集型工作负载的企业和研究机构构建下一代软件基础架构。
Apptainer 是 LF Projects LLC 的 Apptainer 系列的商标。 更多在 https://lfprojects.org/policies.
###
分享社交媒体或电子邮件的文章:
