• IT-Karriere:
  • Services:

Firecracker: Amazon legt Mini-VMs und Hypervisor für Container offen

Mit dem Open-Source-Projekt Firecracker legt Amazon die Grundlage für seinen Serverless-Dienst Lambda offen sowie für Fargate, den Container-Dienst ohne Infrastruktur. Firecracker ist in Rust geschrieben, bietet minimale VMs für Container samt Hypervisor und basiert auf Code von Google.

Artikel veröffentlicht am ,
Böller (englisch Firecracker) sind klein, aber wirkungsvoll.
Böller (englisch Firecracker) sind klein, aber wirkungsvoll. (Bild: kanegen, flickr.com/CC-BY 2.0)

Container starten schnell und sind vergleichsweise klein, virtuelle Maschinen (VMs) bieten dagegen eine größere Sicherheit dank Hardware-Virtualisierung sowie eine strikte Isolierung. Das Open-Source-Projekt Firecracker von Amazon soll diese beiden Konzepte vereinen, in dem es Container in sehr kleine VMs steckt. Neu sind derartige Ideen nicht. So verfolgt das Projekt der Kata Containers ein ähnliches Ziel und auch der von Amazon nun bereitgestellte Code basiert auf Arbeiten von Googles Chromium-Team.

Stellenmarkt
  1. CITTI Handelsgesellschaft mbH & Co. KG, Kiel
  2. Obermeyer Planen + Beraten GmbH, München

Hauptbestandteil von Firecracker ist ein eigener Hypervisor (Virtual Machine Manager), der direkt auf der Kernel-eigenen VM (KVM) basiert. Grundlage hierfür bildet das Crosvm-Projekt von Googles Chromium-Team, das in Rust geschrieben ist und für die Linux-Anwendungen in Chrome OS verwendet wird. Diese Basis ist wohl neben generellen Überlegungen einer der Gründe dafür, dass Firecracker ebenfalls komplett in Rust geschrieben ist. Amazon plant eigenen Angaben zufolge, trotz des mittlerweile voneinander abweichenden Codes weiter mit dem Chromium-Team zusammenzuarbeiten.

Klein und isoliert

Die eigentliche Firecracker-Anwendung nutzt diesen VMM, um die minimalen VMs aufzusetzen und zu starten. Firecracker selbst wird dabei von einer Jailer genannten Anwendung gestartet, die Systemressourcen bereitstellt und konfiguriert wie etwa Cgroups. Jailer verwaltet außerdem Berechtigungen, beziehungsweise entzieht diese dem System, sobald sie nicht mehr benötigt werden. Darüber hinaus werden mit Jailer Seccomp-Filter gesetzt, die Zugriffe des Gast-Codes einschränken sollen. Kernel-Namespaces werden als weitere Barriere genutzt.

Die Kommunikation mit Firecracker läuft über eine Rest-API, mit der die VMs letztlich gestartet und gesteuert werden können. Standardmäßig nutzen die VMs etwa einen virtualisierten CPU-Kern und 128 MByte RAM, was über die API jedoch angepasst werden kann. Darüber hinaus verwenden die VMs lediglich ein per Virtio bereitgestelltes Netzwerkgerät sowie ein Blockgerät, die beide über ein Rate-Limiting verfügen. Hinzu kommen eine serielle Konsole sowie ein minimaler Tastaturtreiber, mit dem die VMs zurückgesetzt werden können.

Zum Start einer VM benötigen Nutzer ein entpacktes Kernel-Image sowie ein Root-Dateisystem, was Amazon beides bereitstellt. Es muss mindestens die Linux-Version 4.14 genutzt werden. Amazon stellt als Root-System eine aktuelle Version von Alpine-Linux bereit, das sich insbesondere als Container-Host großer Beliebtheit erfreut. Der Betrieb eigener Container in dem System sollte also keine allzu großen Probleme bereiten.

Open Source für das Container-Ökosystem

Derzeit nutzt Firecracker noch ausschließlich die Hardware-Virtualisierung von Intel, die Unterstützung für Hardware von AMD und ARM soll aber noch folgen. Darüber hinaus ist eines der Ziele der Offenlegung des Projektes explizit, die Technik so aufzubereiten, dass diese von der Community leicht in bestehende Container-Ökosysteme integriert werden kann. Das soll Nutzern letztlich mehr Wahlmöglichkeiten bieten.

Die größten Unterschiede zu dem ähnlich gelagerten Projekt der Kata-Containers ist laut der Projektwebseite die Wahl des VMMs und die gebotene Funktionalität. So nutzt das Kata-Containers-Projekt Qemu zur Verwaltung der KVM. In den FAQ von Firecracker werden außerdem die wenigen emulierten Geräte sowie die besonders kurze Startzeit des Kernels von unter 125 ms genannt.

Amazon nutzt Firecracker eigenen Angaben zufolge selbst als Basis für seinen Serverless-Dienst Lambda sowie für den Dienst Fargate, der Container ohne große Infrastruktur bereitstellen soll. Der Code von Firecracker findet sich auf Github. Dort stehen auch weitere Details zu dem Projekt bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 94,90€ (Bestpreis!)
  2. (u. a. Alien 1 - 6 Collection inkl. Alien-Ei für 126,99€, Ash vs. Evil Dead 1 - 2 + Figur für...
  3. (u. a. Stronghold Crusader 2 für 2,99€, WoW Gamecard Prepaid 30 Tage für 12,49€, FIFA 20 PC...

Folgen Sie uns
       


Cirrus7 Incus A300 - Test

Wir testen den Incus A300 von Cirrus7, einen passiv gekühlten Mini-PC für AMDs Ryzen 2000G/3000G.

Cirrus7 Incus A300 - Test Video aufrufen
Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

Galaxy Z Flip im Hands-on: Endlich klappt es bei Samsung
Galaxy Z Flip im Hands-on
Endlich klappt es bei Samsung

Beim zweiten Versuch hat Samsung aus seinen Fehlern gelernt: Das Smartphone Galaxy Z Flip mit faltbarem Display ist alltagstauglicher und stabiler als der Vorgänger. Motorolas Razr kann da nicht mithalten.
Ein Hands on von Tobias Költzsch

  1. Faltbares Smartphone Schutzfasern des Galaxy Z Flip möglicherweise wenig wirksam
  2. Isocell Bright HM1 Samsung verwendet neuen 108-MP-Sensor im Galaxy S20 Ultra
  3. Smartphones Samsung schummelt bei Teleobjektiven des Galaxy S20 und S20+

Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /