- 综合排序
- 最热优先
- 最新优先
Firecracker开源虚拟化技术揭秘
Firecracker: 某中心开源的无服务器计算极简之道2020年5月28日,某中心高级首席工程师Marc Brooker对Firecracker进行了介绍并主持了现场问答。 “我们知道无法在传统虚拟机上构建这些功能,因此我们构建了Firecracker,并于2018年11月将其作为开源虚拟化平台发布。” Firecracker提供了两全其美的方案:既具备基于硬件虚拟化的虚拟机的安全性,又拥有容器的资源效率和快速启动时间。 Firecracker已部署在某中心内部两个公开可用的无服务器计算服务中,每月支持数百万个生产工作负载和数万亿次请求。 客户无缝迁移到Firecracker过程中所获得的经验。
27510编辑于 2026-01-02- 来自专栏Rust语言学习交流
【Rust日报】2022-09-09 攻击 Firecracker
攻击 Firecracker 来自 Grapl 的博客文章。在 Grapl,我们相信为了构建最好的防御系统,我们需要深入了解攻击者的行为。作为该目标的一部分,我们正在投资于进攻性安全研究。 这篇博客文章介绍了如何攻击 Firecracker 中的漏洞,Firecracker 是一种用 Rust 编程语言编写的开源微型虚拟机 (microVM) 监视器。 Firecracker 也用于 AWS 的类似 Fargate 服务,该服务提供了一种运行容器的方法,而无需管理服务器以进行容器编排。 由于多租户引入的风险,Firecracker 在设计时具有安全意识。 更多请看原文:https://www.graplsecurity.com/post/attacking-firecracker 由 tokio 运行时引起的奇怪的内存泄漏 这是 Reddit 上的一个讨论
49020编辑于 2022-11-28 - 来自专栏LINUX阅码场
AWS的“炮仗”与Serverless
图1 Firecracker microVM Firecracker利用了Linux KVM来构建专门用于容器的微虚拟机,即Firecracker microVM。 Firecracker可能也是Rust语言在生产环境中部署的,规模最大的系统软件。 Firecracker目前还没有实现与Docker及Kubernetes对接。 AWS Lambda的演进与Firecracker的诞生 Firecracker目前已经用在AWS无服务器计算业务中,包括AWS Lambda和AWS Fargate。 Firecracker的设计 3.1 内部架构 Firecracker微虚机的创建用到两个组件,Jailer和Firecracker,前者负责利用Linux提供的seccomp、cgroup、chroot 总结 注意到许多关于Firecracker的评论中,不少人对“容器运行时”与Firecracker之间的差别存在误解,在此强调下:Firecracker 是一个 virtual machine manager
1.8K40发布于 2019-07-12 - 来自专栏有文化的技术人
企业级 AI 智能体平台安全沙箱在 E2B 中的实现
「E2B(Environment to Build)」 是目前业界最成熟的基于 Firecracker microVM 的 AI 代码执行沙箱平台,被 Perplexity、Manus 等知名 AI 产品采用 本文将深入剖析 E2B 的 Firecracker 实现架构,并提供完整的业务使用示例。 一、什么是 Firecracker? 1.1 Firecracker 简介 「Firecracker」 是 AWS 开源的轻量级虚拟机管理器(VMM),专为无服务器计算设计。 完整虚拟化 │ ├─────────────────────────────────────────────────────────────┤ │ Firecracker E2B 维护了一个 Firecracker 的 Fork 版本:github.com/e2b-dev/firecracker 「修改重点」: 优化启动性能(目标 < 150ms) 针对 AI 工作负载的内存管理优化
29410编辑于 2026-04-09 - 来自专栏charlieroro
ignite
简介 Ignite是一个启动firecracker vm的引擎,它使用容器的方式承载了firecracker vm。 首先使用containerd创建一个名为firecracker的命名空间,后续会在该命名空间下拉取镜像和创建容器,然后在容器中通过ignite-spawn调用firecracker来创建vm。 --api-sock /var/lib/firecracker/vm/ddf49307b5b27c34/firecracker.sock 其进程树如下: containerd-shim─┬─ignite-spawn ─┬─firecracker───2*[{firecracker}] │ └─14*[{ignite-spawn}] firecracker.Int(0), // ID: vm.ID, // NumaNode: firecracker.Int(0), // ExecFile: "firecracker
1.8K80编辑于 2023-08-17 - 来自专栏世民谈云计算
容器在公有云上的落地姿势
Firecracker 是一种采用基于 Linux 内核的虚拟机 (KVM) 技术的开源虚拟机监控程序(VMM)。 Firecracker 负责创建和管理微虚机(microVM)。 Firecracker 微虚机提高了效率和利用率,内存开销极低,使得在一台物理服务器上可以创建数千个微虚机。后文下面再介绍。 使用Firecracker后的 Lambda 隔离模型: ? Firecracker 是什么 Firecracker 的中文意思是『鞭炮』。顾名猜意,不知道AWS是不是认为在公有云上运行容器就像放鞭炮一样,看起来绚丽多彩,但是弄不好就会引起火灾。 ? ? ? 计算超分:Firecracker 向来宾开放的所有硬件计算资源都可以安全地超分。 Firecracker 坚持精简主义的设计原则,它仅包含运行安全、轻量的虚拟机所需的组件。 AWS 会将 Firecracker 作为其统一的容器落地模式。 ? 微虚机生态(Kata container、gVisor 和 Firecracker)会发生很多有趣的变化。
1.7K30发布于 2019-06-28 机器学习优化云虚拟机部署技术解析
Firecracker虚拟机部署挑战FirePlace的名称来源于Firecracker虚拟机,该虚拟机被某中心云服务机构的Lambda服务使用。 然而,Firecracker为每个函数分配一个独立的虚拟机。Firecracker虚拟机安全、轻量级,可以密集地打包到服务器中。 优化Firecracker虚拟机的部署需要一种新的负载均衡方法,因此开发了FirePlace。 模拟训练方法为了训练模型,我们使用关于真实Firecracker虚拟机资源消耗的历史数据,表示为时间序列。在训练期间,当模型需要放置新虚拟机时,每个当前分配的虚拟机都处于其时间序列的特定步骤。
11510编辑于 2025-10-19- 来自专栏【腾讯云开发者】
用了 Serverless 这么久,这里有其底层技术的一点经验
Firecracker 就是用于创建和管理microVMM的开源项目。Firecracker运行在用户空间,使用KVM来创建实例。其快速启动和低内存特性尤为关键。 三、什么是 Firecracker? 什么是Firecracker?Firecracker是面向无服务器环境的、开源的microVMM的实现。 首先,它将Firecracker的很多实现成果回馈到社区。我们今天看到的VMM都已经充分集成和借鉴了Firecracker。 所谓Preed Firecracker就是加载了Firecracker的守护进程,提前预热好这样的一个实例。 在并行启动的环境当中,我们看到Firecracker以及Firecracker Preed这样的技术带来的优势也远远超过传统的虚拟化技术。这就是在启动方面,Firecracker带来最直接的变化。
1.1K21发布于 2021-07-07 - 来自专栏GitHubDaily
以 Docker 为代表的传统容器到了生死存亡之际
Firecracker 将能省的地方都省了,最终留下一个极其精巧的运行时,只保护该保护的地方。 AWS 还推出了 Firecracker 的 containerd 实现,这意味着可以用标准容器的方法来驱动 Firecracker,说明用虚拟机来解决容器安全这条道路是可行的。 事情的转机就在于 AWS Firecracker 的发布,当时,Firecracker 只支持 AWS 自己的 Serverless 服务,但是明眼人都看得出来,Serverless 都支持了,容器还远吗 Firecracker 也让大家更加关注容器安全问题,Kata Containers 开始受到更多的关注。 同时,Kata 也在利用包括 Firecracker 在内的最新开源社区进展,进一步降低开销:比如,支持 Firecracker 作为部分适用场景的 VMM,以及研发自己的 rust-VMM cloud-hypervisor
75710发布于 2020-02-21 - 来自专栏s09g的技术博客
Cloud Pilot 2. Google Cloud Platform 服务器虚拟化架构(上)
根据AWS的博客,Firecracker启动时间小于125ms,内存消耗小于5MB,一分钟内可以启动4000个实例。 2020年,AWS发表了Firecracker的相关论文《Firecracker: Lightweight Virtualization for Serverless Applications》(https 实际上这篇论文并没有揭露更多有效信息,作为从业人员和竞争对手(比如GCP和Azure),在AWS发布Firecracker之后的几天之内就已经摸清楚了相关技术信息。 Firecracker的动机在于之前的Lambda基于单虚拟机,作为一款Serverless产品居然亏损严重。使用了Firecracker之后AWS可以10倍超售(测试环境下20倍都没有问题)。 最重要的是gVisor额外提供了runsc作为runC的替代,兼容OCI,在kubernetes生态下比Firecracker更有优势。
2.4K20编辑于 2022-07-06 AI Agent 的代码执行沙箱:从容器到微虚拟机的隔离之道
本文拆解容器、gVisor、Firecracker、ZeroBoot、Applecontainer、Wasm六种沙箱方案的原理与取舍,帮你找到匹配自己场景的选型。 Firecracker这样专为serverless设计的microVM,冷启动也要150ms以上。0.79ms意味着什么?意味着1秒内可以冷启动1000个相互隔离的VM。 五、微VM:Firecracker+E2BFirecracker的设计哲学Firecracker是AWS为Lambda和Fargate设计的microVM,核心原则只有一个:最小攻击面。 Firecracker做了激进的裁剪,只保留运行Linux容器所必需的设备:FirecrackerQEMU代码量~10万行~200万行虚拟设备仅6个(virtio-net/blk/balloon/vsock /E2BFirecracker/E2B+预热池高威胁+极高并发Firecracker/E2BZeroBoot(前沿,未production-ready)一个实用的判断标准问自己一个问题:如果这个sandbox
36500编辑于 2026-04-08- 来自专栏sealyun
强隔离容器的那些事
:qemu是在一大坨功能上做减法,firecracker是在非常核心简单的功能上做加法。 firecracker是个非常不错的选择,而且潜力巨大,毕竟是来跑亚马逊函数计算的,不是盖的。 看下firecracker api就发现真简单,再去看qemu文档。。。。什么**鸟玩意儿。。。 铺垫的差不多了,下面正式开始: 因为kata能支持firecracker和qemu,所以针对kata这个技术来做个具体点的介绍 | 进程模型 ? | firecracker简介 ? 为什么我这么喜欢firecracker,因为你们一看它API就知道的,简单到让你怀疑人生: 以下是个网络的例子: 1.
1.5K30发布于 2019-07-25 - 来自专栏全栈程序员必看
Kata Containers及相关vmm介绍「建议收藏」
Kata Containers 支持热添加以下设备: Virtio block Virtio SCSI VFIO CPU Firecracker/KVM Firecracker 建立在 因此,带有 Firecracker VMM 的 Kata Containers 支持 CRI API 的一个子集。 Firecracker 不支持文件系统共享,因此只支持基于块的存储驱动程序。 Firecracker 不支持设备热插拔,也不支持 VFIO。 Firecracker 在用户空间运行,并使用基于 Linux 内核的虚拟机 (KVM) 来创建 microVM。 Firecracker 是 QEMU 的替代品,专为安全高效地运行无服务器功能和容器而构建,仅此而已。
3.6K20编辑于 2022-09-30 - 来自专栏伪架构师
(译)为容器提供更好的隔离:沙箱容器技术概览
Amazon Firecracker Amazon Firecracker 用于 AWS Lambda 和 AWS Fargate。 Firecracker 为云原生应用定制了 VMM,兼顾了安全和性能两方面问题。Firecracker VMM 为每个客户虚拟机提供了最小操作系统功能,并且模拟设备来增强安全和性能。 可以用 Linux 内核以及 ext4 文件系统轻松的构建运行在 Firecracker 之上的虚拟机镜像,Amazon 在 2017 年开始开发 Firecracker,并在 2018 年开源。 图 5 展示了 Firecracker 架构以及它的安全边界。 ? Firecracker VMM 依赖于 KVM,每个 Firecrfacker 实例都以用户空间进程的方式运行。 目前为止,Firecracker 还没有完全和 Docker 以及 Kubernetes 完成集成。Firecracker 不支持硬件透传,所以需要 GPU 以及任何设备加速访问的应用都无法兼容。
3.7K30发布于 2019-07-24 机器学习优化云上虚拟机放置
FirePlace 的放置策略FirePlace 这个名字来源于 Firecracker 虚拟机,该虚拟机被某机构的 Lambda 服务所采用。 然而,Firecracker 为每个函数分配一个独立的虚拟机。Firecracker 虚拟机既安全又轻量,可以密集地打包到服务器中。 优化 Firecracker 虚拟机的放置需要一种新的负载均衡方法;FirePlace 因此应运而生。 通过仿真进行训练为了训练模型,我们使用关于真实 Firecracker 虚拟机资源消耗的历史数据,这些数据以时间序列的形式呈现。
7100编辑于 2026-02-17- 来自专栏Golang语言社区
2018.11月Go优质开源项目
主页地址:https://go.mercari.io/go-dnscache firecracker-microvm/firecracker-go-sdk stars:59 forks:10 项目描述: Go Firecracker SDK alash3al/srchx stars:56 forks:2 项目描述:A standalone lightweight full-text search engine
1.4K20发布于 2018-12-29 - 来自专栏Rust语言学习交流
【Rust 日报】2020-03-04:Rust blog :模式匹配改进
详细介绍:https://deterministic.space/high-performance-rust.html Firecracker: serverless 应用的轻量级虚拟化 详情: https ://blog.acolyer.org/2020/03/02/firecracker/ Rust blog:近期以及未来的模式匹配改进 Rust 官方博客介绍了即将了即将应用于stable Rust 的模式匹配新特性
55410发布于 2020-03-06 - 来自专栏让技术和时代并行
什么是标准容器(2021 版)
Firecracker 的主要组件是一个虚拟机监视器 (VMM),它使用 Linux 内核虚拟机 (KVM) 来创建和运行微型虚拟机。Firecracker 拥有简约的设计。 Firecracker 也已集成到容器运行时中,例如 Kata Containers 和 Weaveworks Ignite。 但无论是否令人惊讶,Firecracker 本身并不是 OCI 兼容的运行时......然而,似乎有一种方法可以将 OCI 运行时放入 Firecracker 微型虚拟机中并获得所有领域的最佳效果 - 容器的可移植性,Firecracker 微型虚拟机的轻便性,并与主机操作系统完全隔离。 与 Firecracker 不同,gVisor 提供了一个 OCI-complaint 运行时。但是对于 gVisor 支持的容器,没有像 KVM 这样成熟的虚拟机管理程序。
1K20编辑于 2023-03-18 - 来自专栏腾讯云原生团队
基于Rust-vmm实现Kubernetes运行时
+ Firecracker containerd no yes Rust,golang yes no no kvm Amazon Nabla + runnc yes no C,golang yes no Firecracker,由AWS开源出来的,Firecracker Containerd是对接OCI标准的组件,但现在还没有完全对接OCI标准,所以这里是有所欠缺的。 然后AWS,亚马逊基于谷歌开源出来的crosVM,实现了自己的基于rust的VMM叫Firecracker。 从最开始的谷歌开源的crosVM里面会有Rust-Vmm,比如AWS的Firecracker、以及其它CSP云服务器厂商,比如QEMU里面会把一些耗时的或者内存访问的部分也用Rust-Vmm实现,还有开源的 但是Rust-Vmm本身又是开源的项目,它是跟AWS的firecracker有不太一样的地方,成熟度方面肯定是有所欠缺的,需要厂商自己维护和保证质量问题或者安全问题。
4K10992发布于 2020-08-18 - 来自专栏mazhen.tech
容器技术创新漫谈
在人们把关注的目光都聚焦在Kubernetes上时,容器技术领域在2018年也发生了很多创新,包括amazon最近开源的轻量级虚拟机管理器 Firecracker,Google在今年5月份开源的基于用户态操作系统内核的 amazon最近开源的Firecracker也是为了实现在 functions-based services 场景下,多租户安全隔离的容器。 Firecracker同样依赖KVM,然后它没有用到QEMU,因为Firecracker本身就是QEMU的替代实现。 Firecracker是一个比QEMU更轻量级的VMM,它只仿真了4个设备:virtio-net,virtio-block,serial console和一个按钮的键盘,仅仅用来停止microVM。 理论上,KataContainers可以用Firecracker换掉它现在使用的QEMU,从而将 Firecracker整合进Kubernetes生态圈。
81910编辑于 2023-11-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号