Abo
  • Services:

Firecracker: Amazon legt Mini-VMs und Hypervisor für Container offen

Mit dem Open-Source-Projekt Firecracker legt Amazon die Grundlage für seinen Serverless-Dienst Lambda offen sowie für Fargate, den Container-Dienst ohne Infrastruktur. Firecracker ist in Rust geschrieben, bietet minimale VMs für Container samt Hypervisor und basiert auf Code von Google.

Artikel veröffentlicht am ,
Böller (englisch Firecracker) sind klein, aber wirkungsvoll.
Böller (englisch Firecracker) sind klein, aber wirkungsvoll. (Bild: kanegen, flickr.com/CC-BY 2.0)

Container starten schnell und sind vergleichsweise klein, virtuelle Maschinen (VMs) bieten dagegen eine größere Sicherheit dank Hardware-Virtualisierung sowie eine strikte Isolierung. Das Open-Source-Projekt Firecracker von Amazon soll diese beiden Konzepte vereinen, in dem es Container in sehr kleine VMs steckt. Neu sind derartige Ideen nicht. So verfolgt das Projekt der Kata Containers ein ähnliches Ziel und auch der von Amazon nun bereitgestellte Code basiert auf Arbeiten von Googles Chromium-Team.

Stellenmarkt
  1. ip-fabric GmbH, München
  2. Kassenärztliche Bundesvereinigung, Berlin

Hauptbestandteil von Firecracker ist ein eigener Hypervisor (Virtual Machine Manager), der direkt auf der Kernel-eigenen VM (KVM) basiert. Grundlage hierfür bildet das Crosvm-Projekt von Googles Chromium-Team, das in Rust geschrieben ist und für die Linux-Anwendungen in Chrome OS verwendet wird. Diese Basis ist wohl neben generellen Überlegungen einer der Gründe dafür, dass Firecracker ebenfalls komplett in Rust geschrieben ist. Amazon plant eigenen Angaben zufolge, trotz des mittlerweile voneinander abweichenden Codes weiter mit dem Chromium-Team zusammenzuarbeiten.

Klein und isoliert

Die eigentliche Firecracker-Anwendung nutzt diesen VMM, um die minimalen VMs aufzusetzen und zu starten. Firecracker selbst wird dabei von einer Jailer genannten Anwendung gestartet, die Systemressourcen bereitstellt und konfiguriert wie etwa Cgroups. Jailer verwaltet außerdem Berechtigungen, beziehungsweise entzieht diese dem System, sobald sie nicht mehr benötigt werden. Darüber hinaus werden mit Jailer Seccomp-Filter gesetzt, die Zugriffe des Gast-Codes einschränken sollen. Kernel-Namespaces werden als weitere Barriere genutzt.

Die Kommunikation mit Firecracker läuft über eine Rest-API, mit der die VMs letztlich gestartet und gesteuert werden können. Standardmäßig nutzen die VMs etwa einen virtualisierten CPU-Kern und 128 MByte RAM, was über die API jedoch angepasst werden kann. Darüber hinaus verwenden die VMs lediglich ein per Virtio bereitgestelltes Netzwerkgerät sowie ein Blockgerät, die beide über ein Rate-Limiting verfügen. Hinzu kommen eine serielle Konsole sowie ein minimaler Tastaturtreiber, mit dem die VMs zurückgesetzt werden können.

Zum Start einer VM benötigen Nutzer ein entpacktes Kernel-Image sowie ein Root-Dateisystem, was Amazon beides bereitstellt. Es muss mindestens die Linux-Version 4.14 genutzt werden. Amazon stellt als Root-System eine aktuelle Version von Alpine-Linux bereit, das sich insbesondere als Container-Host großer Beliebtheit erfreut. Der Betrieb eigener Container in dem System sollte also keine allzu großen Probleme bereiten.

Open Source für das Container-Ökosystem

Derzeit nutzt Firecracker noch ausschließlich die Hardware-Virtualisierung von Intel, die Unterstützung für Hardware von AMD und ARM soll aber noch folgen. Darüber hinaus ist eines der Ziele der Offenlegung des Projektes explizit, die Technik so aufzubereiten, dass diese von der Community leicht in bestehende Container-Ökosysteme integriert werden kann. Das soll Nutzern letztlich mehr Wahlmöglichkeiten bieten.

Die größten Unterschiede zu dem ähnlich gelagerten Projekt der Kata-Containers ist laut der Projektwebseite die Wahl des VMMs und die gebotene Funktionalität. So nutzt das Kata-Containers-Projekt Qemu zur Verwaltung der KVM. In den FAQ von Firecracker werden außerdem die wenigen emulierten Geräte sowie die besonders kurze Startzeit des Kernels von unter 125 ms genannt.

Amazon nutzt Firecracker eigenen Angaben zufolge selbst als Basis für seinen Serverless-Dienst Lambda sowie für den Dienst Fargate, der Container ohne große Infrastruktur bereitstellen soll. Der Code von Firecracker findet sich auf Github. Dort stehen auch weitere Details zu dem Projekt bereit.



Anzeige
Spiele-Angebote
  1. 44,99€
  2. 34,95€
  3. 49,99€
  4. 4,99€

Folgen Sie uns
       


Shadow Ghost - Test

Wir testen die Streamingbox Shadow Ghost und finden Bildartefakte und andere unschöne Fehler. Der Streamingdienst hat mit der richtigen Hardware aber Potenzial.

Shadow Ghost - Test Video aufrufen
Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13

ANC-Kopfhörer im Test: Mit Ach und Krach
ANC-Kopfhörer im Test
Mit Ach und Krach

Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
Ein Test von Ingo Pakalski

  1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
  2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
  3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses

Cascade Lake AP/SP: Das können Intels Xeon-CPUs mit 56 Kernen
Cascade Lake AP/SP
Das können Intels Xeon-CPUs mit 56 Kernen

Während AMD seine Epyc-Chips mit 64 Cores erst im Sommer 2019 veröffentlichen wird, legt Intel mit den Cascade Lake mit 56 Kernen vor: Die haben mehr Bandbreite, neue Instruktionen für doppelt so schnelle KI-Berechnungen und können persistenten Speicher ansprechen.
Von Marc Sauter

  1. Cascade Lake Intel legt Taktraten der Xeon SP v2 offen
  2. Optane DC Persistent Memory So funktioniert Intels nicht-flüchtiger Speicher
  3. Cascade Lake AP Intel zeigt 48-Kern-CPU für Server

    •  /