博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
AWS开源Firecracker,一种运行多租户容器服务的新虚拟化技术
阅读量:5900 次
发布时间:2019-06-19

本文共 4189 字,大约阅读时间需要 13 分钟。

现在的技术环境下,容器具有快速启动时间和高密度,VM可以对硬件虚拟化,具有更好的安全性,并对工作负载具有更好的隔离性。容器和VM的特性现在还不可兼得。

现在AWS开源了Firecracker,一种利用KVM的新虚拟化技术,专门用于创建和管理多租户容器以及基于函数的服务。 你可以在几分之一秒内在非虚拟化环境中启动轻量级微虚拟机(microVM),充分利用传统虚拟机提供的安全性和工作负载隔离,同时兼具容器的资源效率。

Firecracker实现了一个虚拟机监视器(virtual machine monitor,VMM),它使用基于Linux内核的虚拟机(KVM)来创建和管理microVM。 Firecracker为客户操作系统提供了最少的所需设备模型,同时排除了非必要功能(仅有4个模拟设备:virtio-net,virtio-block,串行控制台和仅有一个按键的键盘控制器,用于停止microVM)。

由于设备模型极简,内核加载过程也简单,可以实现小于125 ms的启动时间和更少的内存占用。Firecracker目前支持Intel CPU,并将于2019年开始支持AMD和ARM,还将与containerd等流行的容器运行时集成。Firecracker支持内核版本为4.14及更高版本的Linux主机和客户机操作系统。

Firecracker由AWS的开发人员构建,旨在使AWS Lambda和AWS Fargate等服务能够提高资源利用率和客户体验,同时提供公有云基础架构所需的安全性和隔离性。Firecracker采用Rust编写,Rust是一种现代编程语言,可以保证线程安全并防止可能导致安全漏洞的多种类型的缓冲区溢出错误。

下图展示了一台主机如何运行 Firecracker microVM:

\"\"

Firecracker在用户空间中运行,使用基于Linux内核的虚拟机(KVM)来创建microVM。每个microVM的快速启动时间和低内存开销使你可将数千个microVM打包到同一台机器上。这意味着每个函数或容器组都可以使用虚拟机屏障进行封装,从而使不同用户的工作负载能在同一台计算机上运行,而无需在安全性和效率之间进行权衡。Firecracker是QEMU的替代品,QEMU是一个成熟的VMM,具有通用和广泛的功能集,可以托管各种客户操作系统。

可以通过RESTful API控制Firecracker进程,RESTful API可以启用常见操作:例如配置vCPU数量或启动计算机。Firecracker提供内置速率限制器,可精确控制同一台计算机上数千个microVM使用的网络和存储资源。你可以通过Firecracker API创建和配置速率限制器,并灵活定义速率限制器来支持突发情况或特定带宽/操作限制。Firecracker还提供元数据服务,可在主机和客户机操作系统之间安全地共享配置信息。元数据服务可以使用Firecracker API设置。

Firecracker现在还不能在Kubernetes、Docker或Kata Container上使用。Kata Container是一个符合OCI标准的容器运行时,在基于QEMU的虚拟机中执行容器。Firecracker是QEMU的云原生替代品,专门用于安全高效地运行容器,这是Firecracker和Kata Container以及QEMU之间的区别。

Firecracker的优势如下:

  • 安全 - Firecracker使用多级隔离和保护,并暴露出最小的攻击面。

  • 高性能 - 可以在短至125毫秒内启动microVM(在2019年可以更快),使其成为众多工作负载类型的理想选择,包括瞬态或短期工作负载。

  • 久经沙场 - Firecracker经过了很多测试,已经为包括AWS Lambda和AWS Fargate在内的多个高容量AWS服务提供支持。

  • 低开销 - Firecracker每个microVM消耗大约5 MiB的内存。你可以在同一实例上运行数千个具有不同vCPU和内存配置的安全VM。

  • 开源 - Firecracker是一个开源项目。AWS已经准备好审核并接受拉取请求。

Firecracker的安全功能包括:

  • 简单客户机模型 - Firecracker客户端提供了一个非常简单的虚拟化设备模型,以最小化攻击面:只有网络设备,block I / O设备,可编程定时器,KVM时钟,串行控制台和一个不完全的 键盘(刚好足以让VM重置)。

  • 进程监狱 - 使用cgroups和seccomp BPF对Firecracker进程进行监禁,并且可以访问一个严格控制的小型系统调用列表。

  • 静态链接 - Firecracker 进程是静态链接的,可以从进程监狱中启动,以确保主机环境尽可能安全和干净。

开启Firecracker

示例启动了一个i3.metal实例并下载了三个文件(firecracker二进制文件,一个根文件系统镜像和一个Linux内核):

\"\"

设置访问/ dev / kvm的适当权限:

$  sudo setfacl -m u:${USER}:rw /dev/kvm

在一个PuTTY会话中启动Firecracker,然后在另一个PuTTY会话中发出命令(该进程侦听Unix域套接字并实现一个REST API)。 第一个命令设置第一台客户机的配置:

$ curl --unix-socket /tmp/firecracker.sock -i \\    -X PUT \u0026quot;http://localhost/machine-config\u0026quot; \\    -H \u0026quot;accept: application/json\u0026quot; \\    -H \u0026quot;Content-Type: application/json\u0026quot; \\    -d \u0026quot;{        \\\u0026quot;vcpu_count\\\u0026quot;: 1,        \\\u0026quot;mem_size_mib\\\u0026quot;: 512    }\u0026quot;

第二个命令设置 guest kernel:

$ curl --unix-socket /tmp/firecracker.sock -i \\    -X PUT \u0026quot;http://localhost/boot-source\u0026quot; \\    -H \u0026quot;accept: application/json\u0026quot; \\    -H \u0026quot;Content-Type: application/json\u0026quot; \\    -d \u0026quot;{        \\\u0026quot;kernel_image_path\\\u0026quot;: \\\u0026quot;./hello-vmlinux.bin\\\u0026quot;,        \\\u0026quot;boot_args\\\u0026quot;: \\\u0026quot;console=ttyS0 reboot=k panic=1 pci=off\\\u0026quot;    }\u0026quot;

第三个命令设置根文件系统:

$ curl --unix-socket /tmp/firecracker.sock -i \\    -X PUT \u0026quot;http://localhost/drives/rootfs\u0026quot; \\    -H \u0026quot;accept: application/json\u0026quot; \\    -H \u0026quot;Content-Type: application/json\u0026quot; \\    -d \u0026quot;{        \\\u0026quot;drive_id\\\u0026quot;: \\\u0026quot;rootfs\\\u0026quot;,        \\\u0026quot;path_on_host\\\u0026quot;: \\\u0026quot;./hello-rootfs.ext4\\\u0026quot;,        \\\u0026quot;is_root_device\\\u0026quot;: true,        \\\u0026quot;is_read_only\\\u0026quot;: false    }\u0026quot;

所有都设置好以后,能启动一台客户机:

# curl --unix-socket /tmp/firecracker.sock -i \\    -X PUT \u0026quot;http://localhost/actions\u0026quot; \\    -H  \u0026quot;accept: application/json\u0026quot; \\    -H  \u0026quot;Content-Type: application/json\u0026quot; \\    -d \u0026quot;{        \\\u0026quot;action_type\\\u0026quot;: \\\u0026quot;InstanceStart\\\u0026quot;     }\u0026quot;

第一个VM已经起来并可以运行了:

\"\"

参考链接:

Firecracker 开源地址:

活动推荐

\"\"

12 月 7 日北京 ArchSummit 全球架构师峰会上,来自阿里、京东、Streamlio的讲师齐聚一堂,共同分享“Apache Pulsar解决运维痛点”、“Dubbo应用实践”和“Flutter在京东的实践效果”等开源技术相关经验与实践。详情点击

转载地址:http://npesx.baihongyu.com/

你可能感兴趣的文章
将Java应用部署到SAP云平台neo环境的两种方式
查看>>
==与equal的区别
查看>>
数据批量导入Oracle数据库
查看>>
调用lumisoft组件发邮件 不需要身份验证 不需要密码
查看>>
DW 正则
查看>>
抓屏原理
查看>>
ASP.NET Web API自身对CORS的支持: EnableCorsAttribute特性背后的故事
查看>>
UNIX网络编程读书笔记:TCP输出、UDP输出和SCTP输出
查看>>
扩展 DbUtility (1)
查看>>
iOS开发UI篇—使用picker View控件完成一个简单的选餐应用
查看>>
Apple Developer Registration and DUNS Number Not Accepted
查看>>
Hadoop学习笔记系列文章导航
查看>>
Win7 64位 php-5.5.13+Apache 2.4.9+mysql-5.6.19 配置
查看>>
不同页面之间实现参数传递的几种方式讨论
查看>>
程序员进阶之路—如何独当一面
查看>>
SpringMVC中ModelAndView addObject()设置的值jsp取不到的问题
查看>>
Prometheus : 入门
查看>>
使用 PowerShell 创建和修改 ExpressRoute 线路
查看>>
PHP如何学习?
查看>>
谈教育与成长
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-12-26 21:47:26   当前IP: 3.15.203.195   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我