Amazon
早先在於2014年就釋出無伺服器應用Lambda的雲端龍頭AWS,在2017年時進一步結合容器,發表無伺服器容器部署服務AWS Fargate,此代管服務與EC2相當類似,不過EC2提供的是虛擬機。而近期AWS用戶大會上,該公司更進一步開源釋出用於無伺服器情境的輕量虛擬化技術Firecracker。
AWS使用開源的KVM虛擬化技術為基礎,並且使用Rust語言,開發了此虛擬化專案Firecracker。該公司表示,每一臺使用Firecracker開啟的虛擬機,只需要耗費5MiB的記憶體,在單一實例上,可以開啟數千臺虛擬機。透過此輕量虛擬化技術,使用者可以在非虛擬化環境中,開啟輕量級虛擬機(microVMs),同時保有虛擬機的隔離性、容器快速開啟的特性。據AWS測試,開啟一個輕量級虛擬機,所需時間只要125ms,「現在也已經用於AWS Labmda及AWS Fargate。」
而AWS特別強調Firecracker的特色,便是其安全性。在其架構中,AWS除了減少其攻擊表面,也導入了多個系統隔離機制,改善Firecracker的安全性。首先,大幅閹割訪客模式的操作權限,以該身份登入Firecracker虛擬機的使用者,能操作的幅度相當有限,藉以降低虛擬機的攻擊表面。第二個機制是結合Linux內建的安全機制如cgroups、Seccomp BPF,讓使用者只能存取部分受控的系統呼叫。最後,Firecracker內執行的系統程序,採用靜態連結(Static Linking),並且在隔離環境內執行,藉此保障Host環境的安全。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07