firecracker

우리의 임무는 컨테이너 및 기능 워크로드를 안전하고 멀티 테넌트, 최소한의 실행을 가능하게하는 것입니다.

Firecracker Charter에 대해 자세히 알아보십시오.

Firecracker는 서버리스 운영 모델을 제공하는 안전한 멀티 테넌트 컨테이너 및 기능 기반 서비스를 작성하고 관리하기위한 오픈 소스 가상화 기술입니다. Firecracker는 Hardware Virtualization Technology에서 제공하는 보안 및 격리 속성을 컨테이너의 속도 및 유연성과 결합하는 Microvms라는 가벼운 가상 머신에서 워크로드를 실행합니다.

Firecracker의 주요 구성 요소는 Linux 커널 가상 머신 (KVM)을 사용하여 Microvms를 생성하고 실행하는 VMM (Virtual Machine Monitor)입니다. Firecracker에는 미니멀리스트 디자인이 있습니다. 불필요한 장치와 게스트를 향한 기능을 제외하여 각 MicrovM의 메모리 풋 프린트 및 공격 표면적을 줄입니다. 이는 보안을 향상시키고 시작 시간을 줄이며 하드웨어 활용을 증가시킵니다. Firecracker는 컨테이너 런타임 (예 : Kata 컨테이너 및 Flintlock)에 통합되었습니다.

Firecracker는 Amazon Web Services에서 AWS Lambda 및 AWS Fargate와 같은 서비스의 속도와 효율성을 가속화하기 위해 개발되었습니다. Firecracker는 Apache 버전 2.0에 따라 오픈 소스입니다.

Firecracker에 대한 자세한 내용은 Firecracker-Microvm.io를 확인하십시오.

Firecracker를 시작하려면 최신 릴리스 바이너리를 다운로드하거나 소스에서 빌드하십시오.

Docker가 실행중인 UNIX/Linux 시스템 (개발 컨테이너 사용) 및 bash 설치가있는 모든 UNIX/LINUX 시스템에서 FireCracker를 구축 할 수 있습니다.

git clone https://github.com/firecracker-microvm/firecracker
cd firecracker
tools/devtool build
toolchain= " $( uname -m ) -unknown-linux-musl "

Firecracker 바이너리는 build/cargo_target/${toolchain}/debug/firecracker 에 배치됩니다. 폭죽 구축, 테스트 및 실행에 대한 자세한 내용은 QuickStart 안내서를 방문하십시오.

안전한 멀티 테넌트 컴퓨팅 기준을 충족하는 기능을 포함하여 Firecracker Microvm의 전반적인 보안은 잘 구성된 Linux 호스트 운영 체제에 따라 다릅니다. 이 막대를 충족한다고 생각하는 구성은 프로덕션 호스트 설정 문서에 포함되어 있습니다.

Firecracker는 이미 AWS 내에서 생산 워크로드를 이미 운영하고 있지만 여전히 우리의 임무에 의한 여정에서 1 일입니다. 구축해야 할 것이 더 많으며 모든 기여를 환영합니다.

Firecracker에 기여하려면 Getting Start Guide의 개발 설정 섹션과 Firecracker 기여 가이드 라인을 확인하십시오.

새로운 폭죽 버전은 일반적으로 2 ~ 3 개월마다 Github Repository Releases 페이지를 통해 출시됩니다. 변화의 역사는 우리의 변화에 ​​기록되어 있습니다.

Firecracker 릴리스 정책은 여기에 자세히 설명되어 있습니다.

Firecracker의 전체 아키텍처는 설계 문서에 설명되어 있습니다.

Firecracker는 일단 시작되면 호스트에 API 엔드 포인트를 노출시키는 단일 마이크로 가상 머신 관리자 프로세스로 구성됩니다. API는 OpenAPI 형식으로 지정됩니다. API 문서에서 자세히 알아보십시오.

API 엔드 포인트는 다음에 사용될 수 있습니다.

• microvm을 구성하십시오.
  • VCPU의 수 설정 (기본값은 1).
  • 메모리 크기 설정 (기본값은 128 MIB).
  • CPU 템플릿 구성.
• MicroVM에 하나 이상의 네트워크 인터페이스를 추가하십시오.
• 각각 파일 지원 블록 장치로 표시되는 MicrovM에 하나 이상의 읽기 쓰기 또는 읽기 전용 디스크를 추가하십시오.
• 손님이 달리는 동안 블록 장치를 다시 스캔합니다. 이를 통해 게스트 OS는 블록 장치의 백킹 파일로 크기 변경을 선택할 수 있습니다.
• 게스트 부츠 전후에 블록 장치의 백업 파일을 변경하십시오.
• 대역폭, 초당 작업 또는 둘 다를 제한 할 수있는 Virtio 장치의 속도 한계를 구성하십시오.
• 로깅 및 메트릭 시스템을 구성하십시오.
• [BETA] 게스트를 향한 메타 데이터 서비스의 데이터 트리를 구성합니다. 이 리소스가 구성된 경우 서비스는 게스트에게만 사용할 수 있습니다.
• VSOCK 소켓을 MicroVM에 추가하십시오.
• Add a entropy device to the microVM.
• Start the microVM using a given kernel image, root file system, and boot arguments.
• [x86_64 만] microvm을 중지하십시오.

내장 기능 :

• 기본적으로 수요 오류 페이징 및 CPU 오버 브 설명이 가능합니다.
• 향상된 보안을위한 고급 스레드 별 SECComp 필터.
• 생산 시나리오에서 폭죽을 시작하기위한 교도소 프로세스; CGroup/Namespace 격리 배리어를 적용한 다음 권한을 떨어 뜨립니다.

우리는 다음의 모든 조합을 테스트합니다.

• AARCH64의 pl031 RTC 장치는 인터럽트를 지원하지 않으므로 RTC 알람 (예 : hwclock )을 사용하는 게스트 프로그램은 작동하지 않습니다.

Firecracker의 성능 특성은 사양 문서의 일부로 나열됩니다. 모든 사양은 서버리스 운영 모델에서 컨테이너 및 기능 워크로드를 지원하려는 약속의 일부이므로 지속적인 통합 테스트를 통해 시행됩니다.

폭죽의 보안이 우리의 최우선 과제입니다. 취약점을 발견했다고 의심되는 경우 보안 정책 문서에 요약 된대로 개인적으로 저희에게 연락하십시오. 우리는 귀하의 공개를 즉시 우선 순위로 삼습니다.

자주 묻는 질문은 FAQ 문서에서 수집됩니다.

다음과 같은 방법으로 폭죽 커뮤니티와 연락 할 수 있습니다.

• 보안 관련 문제, 보안 정책 문서를 참조하십시오.
• 슬랙 작업 공간에서 우리와 채팅하십시오 . 참고 : 대부분의 관리자는 유럽 시간대에 있습니다.
• 이 저장소에서 GitHub 문제를 엽니 다.
• [email protected]으로 관리자에게 이메일을 보내십시오.

폭죽 커뮤니티 내에서 의사 소통 할 때는 우리의 행동 강령을 염두에 두십시오.