firecracker

Unsere Mission ist es, eine sichere Ausführung von Container- und Funktions-Workloads mit mehreren Mandanten zu ermöglichen.

Lesen Sie hier mehr über die Feuerwerkskoncharter.

Firecracker ist eine Open-Source-Virtualisierungstechnologie, die zum Erstellen und Verwalten sicherer, merten Container- und funktionsbasierter Dienste, die serverlose Betriebsmodelle anbieten, speziell erstellt und verwaltet werden. Firecracker führt Workloads in leichten virtuellen Maschinen aus, die als MicroVMS bezeichnet werden und die die von der Hardware -Virtualisierungstechnologie bereitgestellten Sicherheits- und Isolationseigenschaften mit der Geschwindigkeit und Flexibilität von Behältern kombinieren.

Die Hauptkomponente von Firecracker ist ein Virtual Machine Monitor (VMM), der die Linux -Kernel -Virtual Machine (KVM) zum Erstellen und Ausführen von Mikrovmen verwendet. Kracher hat ein minimalistisches Design. Es schließt unnötige Geräte und Gastfunktionen aus, um den Speicherausdruck und die Angriffsoberfläche jedes MikrovM zu verringern. Dies verbessert die Sicherheit, verkürzt die Startzeit und erhöht die Hardwareauslastung. Feuerwerkskörper wurde auch in Container -Laufzeiten integriert, zum Beispiel Kata Container und Flintlock.

Firecracker wurde bei Amazon Web Services entwickelt, um die Geschwindigkeit und Effizienz von Diensten wie AWS Lambda und AWS Fargate zu beschleunigen. Firecracker ist unter Apache Version 2.0 offen.

Um mehr über Firecracker zu erfahren, schauen Sie sich Firecracker-Microvm.io an.

Um mit Firecracker zu beginnen, laden Sie die neuesten Binärdateien herunter oder erstellen Sie sie aus der Quelle.

Sie können Firecracker auf jedem UNIX/Linux -System mit Docker ausgeführt (wir verwenden einen Entwicklungscontainer) und bash wie folgt installiert:

git clone https://github.com/firecracker-microvm/firecracker
cd firecracker
tools/devtool build
toolchain= " $( uname -m ) -unknown-linux-musl "

Der Kracher -Binary wird bei build/cargo_target/${toolchain}/debug/firecracker platziert. Weitere Informationen zum Erstellen, Testen und Ausführen von Krachern finden Sie zum QuickStart Guide.

Die allgemeine Sicherheit von Firecracker-Microvms, einschließlich der Möglichkeit, die Kriterien für ein sicheres Multi-Mieter-Computing zu erfüllen, hängt von einem gut konfigurierten Linux-Host-Betriebssystem ab. Eine Konfiguration, von der wir glauben, dass diese Leiste im Produktionshost -Setup -Dokument enthalten ist.

Firecracker leitet bereits Produktionsarbeitsloads in AWS, aber es ist immer noch Tag 1 auf der Reise, die von unserer Mission geleitet wird. Es gibt noch viel mehr zu bauen und wir begrüßen alle Beiträge.

Um zum Feuerwerkskörper beizutragen, lesen Sie den Abschnitt für Entwicklungs -Setup im Abschnitt "Erste Schritte" und dann in den Richtlinien für den Feuerwerkskörper.

Neue Firecracker -Versionen werden über die Seite GitHub Repository Releases veröffentlicht, normalerweise alle zwei oder drei Monate. In unserem ChangeLog wird eine Veränderung der Veränderungen aufgezeichnet.

Die Richtlinie zur Veröffentlichung der Feuerwerkskörper ist hier detailliert.

Die Gesamtarchitektur von Firecracker wird im Entwurfsdokument beschrieben.

Firecracker besteht aus einem einzelnen Micro Virtual Machine Manager -Prozess, der dem Host nach dem Start einen API -Endpunkt aufdeckt. Die API ist im OpenAPI -Format angegeben. Lesen Sie mehr darüber in den API -Dokumenten.

Der API -Endpunkt kann verwendet werden, um:

• Konfigurieren Sie die microvm nach:
  • Festlegen der Anzahl der VCPUs (die Standardeinstellung ist 1).
  • Festlegen der Speichergröße (die Standardeinstellung beträgt 128 MIB).
  • Konfigurieren einer CPU -Vorlage.
• Fügen Sie der MicroVM ein oder mehrere Netzwerkschnittstellen hinzu.
• Fügen Sie dem microVM ein oder mehrere Lese- oder schreibgeschützte Festplatten hinzu, die jeweils durch ein blockiertes Blockgerät dargestellt werden.
• Lösen Sie ein Blockgerät neu, während der Gast läuft. Auf diese Weise kann das Gastbetriebsbetrieb die Sicherungsdatei des Blockgeräts Größenänderungen aufnehmen.
• Ändern Sie die Sicherungsdatei für ein Blockgerät vor oder nach den Gaststiefeln.
• Konfigurieren Sie die Ratenbegrenzer für Virtio -Geräte, die die Bandbreite, die Operationen pro Sekunde oder beides begrenzen können.
• Konfigurieren Sie das Protokollierungs- und Metriksystem.
• [BETA] Konfigurieren Sie den Datenbaum des Gäste-Metadatendienstes. Der Service ist nur dem Gast verfügbar, wenn diese Ressource konfiguriert ist.
• Fügen Sie der microvm einen Vsock -Sockel hinzu.
• Fügen Sie dem microvm ein Entropiegerät hinzu.
• Starten Sie das microVM mit einem bestimmten Kernelbild, einem Root -Dateisystem und dem Startargumenten.
• [X86_64 nur] Stoppen Sie die microvm.

Integrierte Fähigkeiten :

• Bedarfsfehler Paging und CPU -Übersubscription standardmäßig aktiviert.
• Fortgeschrittene, threadspezifische SECComp-Filter für erweiterte Sicherheit.
• Gefängnisverfahren zum Starten von Kracher in Produktionsszenarien; Wendet eine CGGROUP/Namespace -Isolationsbarriere an und lässt dann die Berechtigungen fallen.

Wir testen alle Kombinationen von:

• Das pl031 -RTC -Gerät hwclock AARG64 unterstützt keine Interrupts, so

Die Leistungsmerkmale von Firecracker werden als Teil der Spezifikationsdokumentation aufgeführt. Alle Spezifikationen sind Teil unseres Engagements für die Unterstützung von Container- und Funktions Workloads in serverlosen Betriebsmodellen und werden daher durch kontinuierliche Integrationstests erzwungen.

Die Sicherheit des Krachers ist unsere oberste Priorität. Wenn Sie vermuten, dass Sie eine Sicherheitsanfälligkeit aufgedeckt haben, kontaktieren Sie uns privat, wie in unserem Sicherheitsrichtlinien -Dokument beschrieben. Wir werden Ihre Offenlegung sofort priorisieren.

Häufig gestellte Fragen werden in unserem FAQ -Dokument gesammelt.

Sie können sich auf folgende Weise mit der Firecracker -Community in Verbindung setzen:

• Sicherheitsbezogene Probleme finden Sie in unserem Sicherheitsrichtliniendokument.
• Chatten Sie mit uns in unserem Slack Workspace Hinweis: Die meisten Inhaber sind in einer europäischen Zeitzone.
• Öffnen Sie in diesem Repository ein GitHub -Problem.
• Senden Sie die Wartenden per E-Mail an [email protected].

Wenn Sie innerhalb der Firecracker -Community kommunizieren, beachten Sie bitte unseren Verhaltenskodex.