加強無伺服器應用，AWS釋出輕量虛擬化技術Firecracker

早先在於2014年就釋出無伺服器應用Lambda的雲端龍頭AWS，在2017年時進一步結合容器，發表無伺服器容器部署服務AWS Fargate，此代管服務與EC2相當類似，不過EC2提供的是虛擬機。而近期AWS用戶大會上，該公司更進一步開源釋出用於無伺服器情境的輕量虛擬化技術Firecracker。

AWS使用開源的KVM虛擬化技術為基礎，並且使用Rust語言，開發了此虛擬化專案Firecracker。該公司表示，每一臺使用Firecracker開啟的虛擬機，只需要耗費5MiB的記憶體，在單一實例上，可以開啟數千臺虛擬機。透過此輕量虛擬化技術，使用者可以在非虛擬化環境中，開啟輕量級虛擬機（microVMs），同時保有虛擬機的隔離性、容器快速開啟的特性。據AWS測試，開啟一個輕量級虛擬機，所需時間只要125ms，「現在也已經用於AWS Labmda及AWS Fargate。」

而AWS特別強調Firecracker的特色，便是其安全性。在其架構中，AWS除了減少其攻擊表面，也導入了多個系統隔離機制，改善Firecracker的安全性。首先，大幅閹割訪客模式的操作權限，以該身份登入Firecracker虛擬機的使用者，能操作的幅度相當有限，藉以降低虛擬機的攻擊表面。第二個機制是結合Linux內建的安全機制如cgroups、Seccomp BPF，讓使用者只能存取部分受控的系統呼叫。最後，Firecracker內執行的系統程序，採用靜態連結（Static Linking），並且在隔離環境內執行，藉此保障Host環境的安全。