Micro-Hypervisor: Amazon Firecracker ausprobiert
Der Micro-Hypervisor FireÂcracker von AWS will die VorzĂĽge von Containern und virtuellen Maschinen verknĂĽpfen – ohne die jeweiligen Nachteile.
- Dr. Udo Seidel
Im Rechenzentrum, in der Cloud oder auf dem lokalen Rechner des Anwenders: Überall finden sich heute virtuelle Maschinen und Container. Letztere spielen ihre Stärke aus, geht es um das schnelle Erzeugen und Starten von nahezu beliebigen Umgebungen für das Entwickeln und Testen von Software. Außerdem benötigen Container im Durchschnitt weniger Platz im Hauptspeicher und auf der Festplatte als virtuelle Maschinen. Diese können dafür im Bereich Sicherheit und Isolation der jeweiligen Anwendungen auftrumpfen.
Will man beide Vorteile kombinieren, läuft das typischerweise auf den Betrieb von Containern in virtuellen Maschinen hinaus. Leider zieht das oft auch die Summe der Nachteile beider Techniken nach sich. Es gibt aber auch Ansätze, die Besserung versprechen. Dazu gehören Unikernel sowie Mini-Betriebssysteme. Sie versprechen, den Bedarf an Hardware-Ressourcen extrem zu minimieren, mit erhöhter Sicherheit – dies sogar unabhängig davon, ob Container zum Einsatz kommen oder nicht. Die letzte große Welle in diesem Bereich startete um 2013. Bekannte Vertreter sind CoreOS, OsV, MirageOS und Rumprun.
Ein anderer Ansatz kommt aus der Container-Ecke. Durch eine zusätzliche Schutzschicht erhöht man die Sicherheit der Container, ohne den Einsatz von schwergewichtigen virtuellen Maschinen. Die bekanntesten Implementierungen sind Kata-Container, gVisor und Nabla-Container. Die beiden Letztgenannten kommen sogar mit einem neugeschriebenen Betriebssystem-Kern daher. Nabla-Container macht dabei Anleihen beim Unikernel-Konzept. Das zugrundeliegende Projekt heißt Solo5 und startete ursprünglich als Erweiterung von MirageOS.
Das war die Leseprobe unseres heise-Plus-Artikels "Micro-Hypervisor: Amazon Firecracker ausprobiert ". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
