Firecracker: Amazon legt Mini-VMs und Hypervisor für Container offen

Mit dem Open-Source-Projekt Firecracker legt Amazon die Grundlage für seinen Serverless-Dienst Lambda offen sowie für Fargate, den Container-Dienst ohne Infrastruktur. Firecracker ist in Rust geschrieben, bietet minimale VMs für Container samt Hypervisor und basiert auf Code von Google.

Artikel veröffentlicht am ,
Böller (englisch Firecracker) sind klein, aber wirkungsvoll.
Böller (englisch Firecracker) sind klein, aber wirkungsvoll. (Bild: kanegen, flickr.com/CC-BY 2.0)

Container starten schnell und sind vergleichsweise klein, virtuelle Maschinen (VMs) bieten dagegen eine größere Sicherheit dank Hardware-Virtualisierung sowie eine strikte Isolierung. Das Open-Source-Projekt Firecracker von Amazon soll diese beiden Konzepte vereinen, in dem es Container in sehr kleine VMs steckt. Neu sind derartige Ideen nicht. So verfolgt das Projekt der Kata Containers ein ähnliches Ziel und auch der von Amazon nun bereitgestellte Code basiert auf Arbeiten von Googles Chromium-Team.

Stellenmarkt
  1. IT-Security Architect (m/w/d)
    NOVENTI Health SE, Bietigheim-Bissingen, Gefrees, Mannheim, München, Oberhausen
  2. IT Manager (m/w/d) EMEA Data Center & IT Operations (m/w/d)
    Delta Energy Systems (Germany) GmbH, Soest
Detailsuche

Hauptbestandteil von Firecracker ist ein eigener Hypervisor (Virtual Machine Manager), der direkt auf der Kernel-eigenen VM (KVM) basiert. Grundlage hierfür bildet das Crosvm-Projekt von Googles Chromium-Team, das in Rust geschrieben ist und für die Linux-Anwendungen in Chrome OS verwendet wird. Diese Basis ist wohl neben generellen Überlegungen einer der Gründe dafür, dass Firecracker ebenfalls komplett in Rust geschrieben ist. Amazon plant eigenen Angaben zufolge, trotz des mittlerweile voneinander abweichenden Codes weiter mit dem Chromium-Team zusammenzuarbeiten.

Klein und isoliert

Die eigentliche Firecracker-Anwendung nutzt diesen VMM, um die minimalen VMs aufzusetzen und zu starten. Firecracker selbst wird dabei von einer Jailer genannten Anwendung gestartet, die Systemressourcen bereitstellt und konfiguriert wie etwa Cgroups. Jailer verwaltet außerdem Berechtigungen, beziehungsweise entzieht diese dem System, sobald sie nicht mehr benötigt werden. Darüber hinaus werden mit Jailer Seccomp-Filter gesetzt, die Zugriffe des Gast-Codes einschränken sollen. Kernel-Namespaces werden als weitere Barriere genutzt.

Die Kommunikation mit Firecracker läuft über eine Rest-API, mit der die VMs letztlich gestartet und gesteuert werden können. Standardmäßig nutzen die VMs etwa einen virtualisierten CPU-Kern und 128 MByte RAM, was über die API jedoch angepasst werden kann. Darüber hinaus verwenden die VMs lediglich ein per Virtio bereitgestelltes Netzwerkgerät sowie ein Blockgerät, die beide über ein Rate-Limiting verfügen. Hinzu kommen eine serielle Konsole sowie ein minimaler Tastaturtreiber, mit dem die VMs zurückgesetzt werden können.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    4.–5. November 2021, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, virtuell
Weitere IT-Trainings

Zum Start einer VM benötigen Nutzer ein entpacktes Kernel-Image sowie ein Root-Dateisystem, was Amazon beides bereitstellt. Es muss mindestens die Linux-Version 4.14 genutzt werden. Amazon stellt als Root-System eine aktuelle Version von Alpine-Linux bereit, das sich insbesondere als Container-Host großer Beliebtheit erfreut. Der Betrieb eigener Container in dem System sollte also keine allzu großen Probleme bereiten.

Open Source für das Container-Ökosystem

Derzeit nutzt Firecracker noch ausschließlich die Hardware-Virtualisierung von Intel, die Unterstützung für Hardware von AMD und ARM soll aber noch folgen. Darüber hinaus ist eines der Ziele der Offenlegung des Projektes explizit, die Technik so aufzubereiten, dass diese von der Community leicht in bestehende Container-Ökosysteme integriert werden kann. Das soll Nutzern letztlich mehr Wahlmöglichkeiten bieten.

Die größten Unterschiede zu dem ähnlich gelagerten Projekt der Kata-Containers ist laut der Projektwebseite die Wahl des VMMs und die gebotene Funktionalität. So nutzt das Kata-Containers-Projekt Qemu zur Verwaltung der KVM. In den FAQ von Firecracker werden außerdem die wenigen emulierten Geräte sowie die besonders kurze Startzeit des Kernels von unter 125 ms genannt.

Amazon nutzt Firecracker eigenen Angaben zufolge selbst als Basis für seinen Serverless-Dienst Lambda sowie für den Dienst Fargate, der Container ohne große Infrastruktur bereitstellen soll. Der Code von Firecracker findet sich auf Github. Dort stehen auch weitere Details zu dem Projekt bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Rakuten
"Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
Artikel
  1. Alder Lake: Intel will mit 241 Watt an die Spitze
    Alder Lake
    Intel will mit 241 Watt an die Spitze

    Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
    Ein Bericht von Marc Sauter

  2. Mäuse, Tastaturen, Headsets: Logitech hat mit Lieferengpässen zu kämpfen
    Mäuse, Tastaturen, Headsets
    Logitech hat mit Lieferengpässen zu kämpfen

    Die große Nachfrage während der Coronapandemie hat Logitech 82 Prozent mehr Umsatz beschert. Allerdings kommt die Lieferung nicht hinterher.

  3. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /