AWS、独自のセキュアなコンテナ実行用マイクロVM「Firecracker」、オープンソースで公開。

コンテナ実行用に独自開発したスリムな仮想マシン「Firecracker」を発表。オープンソースで公開しました

Firecracker fig1

Firecrackerは、コンテナ用マネージドサービスであるAWS Fargateや、コンテナを用いたサーバレス環境であるAWS Lambdaのようなマルチテナントのコンテナ環境のために、セキュアなコンテナ実行環境を実現する技術としてAWSが開発した仮想化技術です。

「私たちは、コンテナのための仮想化技術とはどういうものかを自身に問いかけた。その結果が『Firecracker』だ」(AWS Global Infrastructure and Customer Supportバイスプレジデント Peter Desantis氏)

仮想マシンと同等のセキュリティと150ミリ秒以下の高速起動

Firecracker fig2

Firecrackerは、コンテナ実行環境としてセキュリティにフォーカスして設計されたスリムな仮想マシン、いわゆるマイクロVMです。KVMのハードウェア仮想化レイヤと連係して動作し、軽量ながら従来の仮想マシンと同等のセキュリティを実現します。

セキュリティに次いで速度にもフォーカスしており、125ミリ秒以下で仮想マシンのゲストLinuxのコードを起動。

個々のマイクロVMは5MB以下のメモリオーバーヘッドで、150個のマイクロVMを1秒以下で起動できるとのこと。

AWSはこのFirecrackerのソースコードをApache 2ライセンスで公開することも発表しました。containerd、Docker、Kata Containersなどとの統合もそれぞれのコミュニティと話し合っているとのことです。

Dockerの登場でコンテナが普及し、エンタープライズでの利用が広がるとともに最近ではセキュアなコンテナ実装への注目が高まっています。

Googleはすでにセキュアなコンテナ環境としてgVisorを公開しており、OpenStackはKata Containersを発表、マイクロソフトも以前からWindows ServerでHyper-V Containerを実装するなど、すでにいくつかの実装が登場しています。