Quark

Добро пожаловать в Quark Container.

Этот репозиторий является домом для кода Quark Containers.

Quark Container — это высокопроизводительная безопасная среда выполнения контейнера со следующими функциями:

1. Совместимость с OCI: Quark Container включает интерфейс Open Container Initiative (OCI). Общий образ контейнера Docker можно запускать в Quark Container.
2. Безопасность: обеспечивает изоляцию и безопасность рабочей нагрузки на уровне виртуальной машины.
3. Высокая производительность. Quark Container создан для выполнения рабочих нагрузок контейнера с высокой производительностью. Он разработан на языке программирования Rust.

Срезы производительности — Performance.pdf. Подробные этапы тестирования и результаты приведены здесь.

Quark Container использует классическую архитектуру виртуальной машины Linux, как показано ниже. Он включает в себя гипервизор QVisor и гостевое ядро ​​QKernel. В отличие от обычной конструкции виртуальной машины Linux, в которой стандартный образ ОС, такой как Linux/Windows, может работать на Qemu. QVisor и QKernel тесно связаны. QVisor поддерживает только QKernel.

Высокоуровневый дизайн Quark Container показан ниже. Он обрабатывает запрос приложения-контейнера, выполнив следующие шаги.

1. Системный вызов приложения-контейнера: в Quark Container приложение-контейнер запускается как гостевое приложение. И он отправляет запрос Quark через вызов гостевой системы, например X86-64 SysCall/SysRet.
2. Вызов хост-системы: с точки зрения хост-ОС Quark работает как обычное приложение Linux. Когда Quark получит вызов гостевой системы, это будет объяснено во время выполнения Quark. Если ему необходимо получить доступ к хост-системе, например, прочитать файл хоста, он вызовет ОС хоста через вызов хост-системы.
3. QCall: Для связи между гостевым пространством и хост-пространством QKernel не вызывает QVisor напрямую через HyperCall, как это обычно бывает при проектировании виртуальной машины. Вместо этого он отправляет запрос в QVisor через QCall, который основан на очереди общей памяти. В пространстве хоста существует выделенный поток обработки QCall, ожидающий обработки запроса QCall. Исходя из этого, можно избежать дорогостоящего переключения гостевого/хостового потока VCPU. Для операций ввода-вывода хоста, таких как чтение/запись сокетов, Qkernel будет вызывать ядро ​​хоста напрямую с помощью IO-Uring, что может обойти QVisor для достижения лучшей производительности. (Примечание. В целях безопасности IO-Uring не обрабатывает операции управления вводом-выводом, такие как открытие)

Quark Container поддерживает передачу TCP-трафика приложения-контейнера с помощью соединения RDMA, т. е. TSoR. TSoR является поставщиком контейнерной сети в кластере K8S, и существующее контейнерное приложение на основе TCP может передавать данные через RDMA без ЛЮБЫХ модификаций. Поскольку TSoR разгружает рабочую нагрузку стека протоколов TCP/IP на сетевой адаптер RDMA. Он может обеспечить более высокую пропускную способность, низкую задержку и меньшую нагрузку на процессор. Результат теста TSOR — это результат эталонного теста Redis со сравнением Quark + TSoR и RunC + Flannel. TSoR демонстрирует увеличение пропускной способности в 5 раз по сравнению с Flannel. Архитектура TSoR показана ниже. Введение здесь

1. ОС: Ядро Linux > 5.8.0
2. Процессор: X86-64/Amd64 или aarch64 (см. примечания ниже).
3. Докер: > 17.09.0
4. Включите технологию виртуализации в BIOS (обычно на вкладке «Безопасность» BIOS).

Quark в первую очередь поддерживает X86-64. Поддержка aarch64 является предварительной и находится в стадии активной разработки. Другая архитектура будет доступна в будущем.

Quark разработан на языке Rust. Сборка требует установки Rust каждую ночь. Пожалуйста, используйте текущую заведомо исправную версию nightly-2023-12-11-x86_64-unknown-linux-gnu (замените x86_64 на aarch64 для сборки aarch64)

rustup toolchain install nightly-2023-12-11-x86_64-unknown-linux-gnu
rustup default nightly-2023-12-11-x86_64-unknown-linux-gnu

Добавьте компонент ржавчины-src в текущую цепочку инструментов:

rustup component add rust-src

И установите «cargo-xbuild» для кросс-компиляции qkernel.

cargo install cargo-xbuild

Установить библиотеку libcap

sudo apt-get install libcap-dev

Также несколько дополнительных библиотек для компиляции модуля RDMA:

sudo apt-get install build-essential cmake gcc libudev-dev libnl-3-dev 
libnl-route-3-dev ninja-build pkg-config valgrind python3-dev cython3 
python3-docutils pandoc libclang-dev

А также несколько дополнительных библиотек для компиляции модуля GPU:
(Обратите внимание, что вы можете выполнить следующие команды даже на машине, отличной от nvidia, чтобы получить возможность компилировать модуль графического процессора.)

sudo apt-get install libelf-dev nvidia-driver-535

git clone [email protected]:QuarkContainer/Quark.git
cd Quark
make
make install

make cuda_all
make install

1. Установите двоичный файл: Quark имеет два двоичных файла: «quark» и «qkernel.bin». Оба они были скопированы в папку /usr/local/bin/ при запуске make install . «quark» содержит код QVisor, а также реализует интерфейс OCI.
2. Настройка Docker: чтобы Docker мог запускать контейнер с Quark Container, необходимо обновить «/etc/docker/daemon.json». Пример: daemon.json
3. Создать папку журнала

   sudo mkdir /var/log/quark

4. Перезапустите Docker: после обновления файла «/etc/docker/daemon.json» необходимо перезапустить демон Docker, чтобы включить изменение конфигурации.

   sudo systemctl restart docker

Пример приложения hello-world docker можно запустить, как показано ниже:

sudo systemctl restart docker
sudo systemctl restart docker.service
docker run --rm --runtime=quark hello-world

Файл конфигурации Quark Container находится по адресу /etc/quark/config.json. Детали конфигурации пока не определены...

Журнал отладки Quark Container помещается в /var/log/quark/quark.log. Его можно включить или отключить с помощью «DebugLevel» в /etc/quark/config.json. Существует 5 возможных значений «DebugLevel», как показано ниже.

 Off,
Error,
Warn,
Info,
Debug,
Trace,

Когда журнал включен, например Debug. После запуска образа Docker с помощью Quark Container журналы будут созданы в файле /var/log/quark/quark.log. Дополнительные советы по отладке см. в вики.

Перейдите по этой ссылке, чтобы настроить k8s с использованием Quark-контейнера и поддержки RDMA.

Quark теперь имеет предварительную поддержку aarch64 (все еще находится в активной разработке).

Примечания к новым архитектурам Arm64 :

В более новых архитектурах Arm64 в pstate добавляется бит PAN (Privilege Access Never), который предотвращает доступ ядра (el1) к пользовательской памяти (el0). Полная поддержка находится в стадии незавершенного производства. В качестве временного решения мы просто очистим PAN в qkernel. Для этого вам нужно вручную применить этот патч

• используйте список рассылки Quark, просто отправляя электронные письма по адресу ~quark/[email protected] . Чтобы подписаться на список рассылки, отправьте пустое электронное письмо на ~quark/[email protected] Чтобы узнать больше об использовании списка рассылки, см. этикет списка рассылки.
• также есть канал Slack