firecracker

私たちの使命は、コンテナと機能のワークロードの安全でマルチテナントの最小限の実行を可能にすることです。

Firecracker Charterの詳細については、こちらをご覧ください。

FireCrackerは、サーバーレスの運用モデルを提供する安全なマルチテナントコンテナと機能ベースのサービスを作成および管理するために構築されたオープンソース仮想化テクノロジーです。 FireCrackerは、MicroVMSと呼ばれる軽量仮想マシンでワークロードを実行します。これは、ハードウェア仮想化テクノロジーが提供するセキュリティと分離プロパティをコンテナの速度と柔軟性と組み合わせます。

FireCrackerの主なコンポーネントは、Linuxカーネル仮想マシン（KVM）を使用してMicroVMを作成および実行する仮想マシンモニター（VMM）です。 Firecrackerにはミニマリストのデザインがあります。それは、各マイクロVのメモリフットプリントと攻撃表面積を削減するために、不要なデバイスとゲスト向け機能を除外します。これにより、セキュリティが改善され、スタートアップ時間が短縮され、ハードウェアの利用が増加します。 Firecrackerは、Kata ContainersやFlintlockなど、コンテナのランタイムにも統合されています。

FireCrackerは、Aws LambdaやAWS Fargateなどのサービスの速度と効率を加速するために、Amazon Web Servicesで開発されました。 Firecrackerは、Apacheバージョン2.0で開いています。

FireCrackerの詳細については、FireCracker-Microvm.ioをご覧ください。

Firecrackerを始めるには、最新リリースのバイナリをダウンロードするか、ソースから作成します。

次のように、Dockerを実行し（開発コンテナを使用）、 bashをインストールするUNIX/LinuxシステムにFireCrackerを構築できます。

git clone https://github.com/firecracker-microvm/firecracker
cd firecracker
tools/devtool build
toolchain= " $( uname -m ) -unknown-linux-musl "

FireCrackerバイナリはbuild/cargo_target/${toolchain}/debug/firecrackerに配置されます。建物、テスト、および爆竹の実行の詳細については、QuickStartガイドにアクセスしてください。

安全なマルチテナントコンピューティングの基準を満たす能力を含む、爆竹MicroVMの全体的なセキュリティは、適切に構成されたLinuxホストオペレーティングシステムに依存します。このバーを満たすと思われる構成は、生産ホストセットアップドキュメントに含まれています。

FirecrackerはすでにAWS内で生産ワークロードを実行していますが、私たちのミッションに導かれた旅の1日目です。構築することはもっとたくさんあり、すべての貢献を歓迎します。

FireCrackerに貢献するには、Getting Start Guideの開発セットアップセクションをご覧ください。

新しいFireCrackerバージョンは、通常2か月または3か月ごとに、GitHubリポジトリリリースページからリリースされます。変更の歴史は、私たちのChangelogに記録されています。

爆竹のリリースポリシーについては、ここで詳しく説明しています。

Firecrackerの全体的なアーキテクチャについては、設計文書に記載されています。

FireCrackerは、APIエンドポイントを開始したホストに公開する単一のマイクロ仮想マシンマネージャープロセスで構成されています。 APIはOpenAPI形式で指定されています。 APIドキュメントで詳細をご覧ください。

APIエンドポイントを使用することができます。

• MicroVMを構成します。
  • VCPUの数を設定します（デフォルトは1です）。
  • メモリサイズの設定（デフォルトは128 MIBです）。
  • CPUテンプレートの構成。
• 1つ以上のネットワークインターフェイスをMicroVMに追加します。
• それぞれがファイル支援のブロックデバイスで表される1つ以上の読み取りワイトまたは読み取り専用ディスクをMicroVMに追加します。
• ゲストが実行されている間、ブロックデバイスの再スキャンをトリガーします。これにより、ゲストOSはブロックデバイスのバッキングファイルにサイズの変更をピックアップできます。
• ゲストブーツの前後にブロックデバイスのバッキングファイルを変更します。
• 帯域幅、操作あたりの操作、またはその両方を制限できるVirtioデバイスのレートリミッターを構成します。
• ロギングおよびメトリックシステムを構成します。
• [BETA]ゲストに向かうメタデータサービスのデータツリーを構成します。このリソースが構成されている場合にのみ、サービスはゲストが利用できます。
• vsockソケットをマイクロフに追加します。
• マイクロフにエントロピーデバイスを追加します。
• 特定のカーネル画像、ルートファイルシステム、および起動引数を使用してマイクロフを起動します。
• [x86_64のみ]マイクロフを停止します。

組み込み機能：

• デフォルトで有効になっている障害ページングとCPUオーバーサブスクリプションを需要します。
• 高度なスレッド固有のSecCompフィルターを強化するためのセキュリティを強化します。
• 生産シナリオで爆竹を開始するための看守プロセス。 cgroup/namespaceの分離バリアを適用してから、特権をドロップします。

すべての組み合わせをテストします。

• Aarch64のpl031 RTCデバイスは割り込みをサポートしていないため、RTCアラーム（ hwclockなど）を使用するゲストプログラムは機能しません。

Firecrackerのパフォーマンス特性は、仕様ドキュメントの一部としてリストされています。すべての仕様は、サーバーレス運用モデルでコンテナと機能のワークロードをサポートするという当社のコミットメントの一部であるため、継続的な統合テストを介して実施されます。

爆竹のセキュリティが私たちの最優先事項です。脆弱性を明らかにしたと思われる場合は、セキュリティポリシー文書に概説されているように、個人的にお問い合わせください。私たちはすぐにあなたの開示を優先します。

よくある質問は、FAQドキュメントで収集されています。

次の方法で、爆竹コミュニティと連絡を取ることができます。

• セキュリティ関連の問題、セキュリティポリシー文書を参照してください。
• スラックワークスペースで私たちとチャットする注：メンテナーのほとんどはヨーロッパのタイムゾーンにあります。
• このリポジトリでgithubの問題を開きます。
• [email protected]でメンテナーにメールしてください。

爆竹コミュニティ内でコミュニケーションをとるときは、行動規範に気をつけてください。