Firecracker - відбувся анонс нової технології віртуалізації з відкритим кодом, що базується на Linux KVM
Firecracker - відбувся анонс нової технології віртуалізації з відкритим кодом, що базується на Linux KVM
На AWS re:Invent 2018 у Лас-Вегасі відбувся анонс Firecracker — нової технології віртуалізації з відкритим кодом, заснованої на Linux KVM. Автори обіцяють, що з нею «в частки секунди можна запускати легковагові мікровіртуальні машини (microVMs) у невіртуалізованому середовищі, отримавши переваги і традиційних ВМ — у вигляді безпеки та ізоляції робочих навантажень, і контейнерів у вигляді ефективного використання ресурсів».
За розробкою Firecracker стоять співробітники Amazon Web Services, які поставили за мету покращити споживання ресурсів і взагалі життя користувачам таких сервісів, як AWS Lambda (стартував у 2014 році і дозволяє сьогодні заявляти про те, що модель serverless продовжить своє існування) та AWS Fargate (з'явився рік тому).
Основу проекту поклала Open Source-розробка від Google - Crosvm з Chromium OS, що написана на Rust і відповідає за запуск операційних систем з віртуалізацією пристроїв (але без емуляції реального апаратного забезпечення ). Тому код Firecracker теж написаний мовою Rust, і його автори обіцяють повертати свої виправлення в кодову базу батьківського проекту, хоча самі проекти згодом сильно розійшлися у своєму призначенні.
Перший публічний реліз Firecracker — 0.1.0 — відбувся у березні цього року, а останній актуальний — 0.11.0 — лише кілька днів тому.
Особливості Firecracker
Головним компонентом Firecracker є virtual machine monitor (VMM), що використовує Linux KVM для створення та запуску так званих microVMs. Автори називають свій продукт «хмарної альтернативи QEMU» [використовується в Kata Containers], «призначений тільки для безпечного та ефективного запуску контейнерів».
Серед основних можливостей Firecracker, орієнтованих забезпечення високого рівня безпеки, згадуються такі:
- Проста гостьова модель (для всіх гостей забезпечений лише мінімум - див. вище про 4 пристрої).
- Ізолювання процесу Firecracker за допомогою cgroups та seccomp BPF, а також обмеженого набору дозволених системних викликів.
- Статична лінківка процесу Firecracker для його запуску в умовах ізоляції від хостового оточення.
