firecracker

Misi kami adalah untuk memungkinkan pelaksanaan beban kerja kontainer dan fungsi yang aman, multi-penyewa, dan minimal.

Baca lebih lanjut tentang piagam petasan di sini.

Petackracker adalah teknologi virtualisasi open source yang dibangun khusus untuk membuat dan mengelola wadah multi-penyewa yang aman dan layanan berbasis fungsi yang menyediakan model operasional tanpa server. Petasan menjalankan beban kerja di mesin virtual ringan, yang disebut MicrovMS, yang menggabungkan sifat keamanan dan isolasi yang disediakan oleh teknologi virtualisasi perangkat keras dengan kecepatan dan fleksibilitas wadah.

Komponen utama petasan adalah monitor mesin virtual (VMM) yang menggunakan mesin virtual kernel Linux (KVM) untuk membuat dan menjalankan microvms. Petasan memiliki desain minimalis. Itu tidak termasuk perangkat yang tidak perlu dan fungsionalitas yang menghadap tamu untuk mengurangi jejak memori dan menyerang luas permukaan setiap microvm. Ini meningkatkan keamanan, mengurangi waktu startup, dan meningkatkan pemanfaatan perangkat keras. Petasan juga telah diintegrasikan dalam runtime container, misalnya wadah Kata dan Flintlock.

Petasan dikembangkan di Amazon Web Services untuk mempercepat kecepatan dan efisiensi layanan seperti AWS Lambda dan AWS Fargate. Petackracker bersumber terbuka di bawah Apache versi 2.0.

Untuk membaca lebih lanjut tentang petasan, lihat Firecracker-Microvm.io.

Untuk memulai dengan petasan, unduh binari rilis terbaru atau bangun dari sumber.

Anda dapat membangun petasan di sistem UNIX/Linux yang memiliki Docker Running (kami menggunakan wadah pengembangan) dan bash terpasang, sebagai berikut:

git clone https://github.com/firecracker-microvm/firecracker
cd firecracker
tools/devtool build
toolchain= " $( uname -m ) -unknown-linux-musl "

Biner Firecracker akan ditempatkan di build/cargo_target/${toolchain}/debug/firecracker . Untuk informasi lebih lanjut tentang membangun, menguji, dan menjalankan petasan, buka panduan QuickStart.

Keamanan keseluruhan microvms petasan, termasuk kemampuan untuk memenuhi kriteria untuk komputasi multi-penyewa yang aman, tergantung pada sistem operasi host Linux yang dikonfigurasi dengan baik. Konfigurasi yang kami yakini memenuhi bilah ini termasuk dalam dokumen pengaturan host produksi.

Petasan sudah menjalankan beban kerja produksi di dalam AWS, tetapi masih hari 1 dalam perjalanan yang dipandu oleh misi kami. Masih banyak lagi untuk dibangun dan kami menyambut semua kontribusi.

Untuk berkontribusi pada petasan, periksa bagian pengaturan pengembangan di panduan memulai dan kemudian pedoman kontribusi petasan.

Versi petasan baru dirilis melalui halaman Rilis Repositori GitHub, biasanya setiap dua atau tiga bulan. Sejarah perubahan dicatat dalam changelog kami.

Kebijakan rilis Firecracker dirinci di sini.

Arsitektur keseluruhan petasan dijelaskan dalam dokumen desain.

Petasan terdiri dari proses manajer mesin virtual mikro tunggal yang memperlihatkan titik akhir API ke host setelah dimulai. API ditentukan dalam format OpenAPI. Baca lebih lanjut tentang itu di API Docs.

Titik akhir API dapat digunakan untuk:

• Konfigurasikan microvm dengan:
  • Mengatur jumlah VCPU (default adalah 1).
  • Mengatur ukuran memori (standarnya adalah 128 MIB).
  • Mengkonfigurasi Template CPU.
• Tambahkan satu atau lebih antarmuka jaringan ke microvm.
• Tambahkan satu atau lebih disk baca-tulis atau hanya baca ke microvm, masing-masing diwakili oleh perangkat blok yang didukung file.
• Memicu perangkat blok kembali memindai saat tamu sedang berjalan. Ini memungkinkan OS tamu untuk mengambil perubahan ukuran pada file dukungan perangkat blok.
• Ubah file dukungan untuk perangkat blok, sebelum atau setelah sepatu bot tamu.
• Konfigurasikan pembatas tingkat untuk perangkat virtio yang dapat membatasi bandwidth, operasi per detik, atau keduanya.
• Konfigurasikan sistem logging dan metrik.
• [BETA] Mengkonfigurasi pohon data dari layanan metadata yang menghadap tamu. Layanan ini hanya tersedia untuk tamu jika sumber ini dikonfigurasi.
• Tambahkan soket vsock ke microvm.
• Tambahkan perangkat entropi ke microvm.
• Mulai microvm menggunakan gambar kernel yang diberikan, sistem file root, dan argumen boot.
• [x86_64 saja] Hentikan microvm.

Kemampuan bawaan :

• Menuntut paging kesalahan dan kelebihan cpu yang diaktifkan secara default.
• Filter SECCOMP canggih, thread khusus untuk keamanan yang ditingkatkan.
• Proses Penjara untuk Memulai Pemadam Kebakaran dalam Skenario Produksi; Menerapkan penghalang isolasi cgroup/namespace dan kemudian menjatuhkan hak istimewa.

Kami menguji semua kombinasi dari:

• Perangkat RTC pl031 di AARCH64 tidak mendukung interupsi, jadi program tamu yang menggunakan alarm RTC (misalnya hwclock ) tidak akan berfungsi.

Karakteristik kinerja petasan terdaftar sebagai bagian dari dokumentasi spesifikasi. Semua spesifikasi adalah bagian dari komitmen kami untuk mendukung wadah dan fungsi kerja dalam model operasional tanpa server, dan karenanya ditegakkan melalui pengujian integrasi berkelanjutan.

Keamanan petasan adalah prioritas utama kami. Jika Anda curiga Anda telah menemukan kerentanan, hubungi kami secara pribadi, sebagaimana diuraikan dalam dokumen kebijakan keamanan kami; Kami akan segera memprioritaskan pengungkapan Anda.

Pertanyaan yang sering diajukan dikumpulkan di FAQ Doc kami.

Anda dapat menghubungi komunitas petasan dengan cara berikut:

• Masalah terkait keamanan, lihat dokumen kebijakan keamanan kami.
• Obrolan dengan kami di Slack Workspace kami Catatan: Sebagian besar pengelola berada di zona waktu Eropa.
• Buka masalah GitHub di repositori ini.
• Email para pengelola di [email protected].

Saat berkomunikasi dalam komunitas petasan, harap ingat kode perilaku kami.