【Linux】firecracker部署实践

已于 2022-09-26 10:07:52 修改
阅读量845 收藏
点赞数
分类专栏: 服务安装 文章标签: 运维 网络
于 2022-08-18 11:12:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51228157/article/details/126401794
版权

1.引言

AWS 开源了 Firecracker,一种利用 KVM
的新虚拟化技术,专门用于创建和管理多租户容器以及基于函数的服务。你可以在几分之一秒内在非虚拟化环境中启动轻量级微虚拟机(microVM),充分利用传统虚拟机提供的安全性和工作负载隔离,同时兼具容器的资源效率。

Firecracker 是一种采用基于 Linux 内核的虚拟机 (KVM) 技术的开源虚拟机监控程序(VMM)Firecracker允许您创建微型虚拟机,即 microVM。Firecracker坚持精简主义的设计原则,它仅包含运行安全、轻量的虚拟机所需的组件。在设计过程的各个环节,AWS 依据安全性、速度和效率要求来优化
Firecracker。例如,仅启动相对较新的 Linux 内核,并且仅启动使用特定配置选项集编译的内核(内核编译配置选项超过 1000 种)。此外,不支持任何类型的图形卡或加速器,不支持硬件透传,不支持(大多数)老旧设备。

Firecracker启动的内核配置极少,不依赖仿真BIOS,不使用完整设备模式。唯一的设备是半虚拟化网卡和半虚拟化硬盘,以及单按钮键盘(复位引脚在无电源管理设备时使用)。这种极简的设备模式不仅有利于缩短开机时间(采用默认microVM 型号的 i3.metal 实例开机时间 < 125 毫秒),同时也减少了***面,从而提高了安全性。请参阅有关Firecracker 承诺支持以极低的开销执行容器和无服务器工作负载的更多信息。

2017 年秋,AWS 决定以 Rust 语言来编写Firecracker,这是一种非常先进的编程语言,可保证线程和内存安全,防止缓存溢出以及可能导致安全性漏洞的许多其他类型的内存安全问题。请访问
Firecracker 设计以了解有关 Firecracker VMM 功能和架构的更多详细信息。

由于设备模型极简,内核加载过程也简单,可以实现小于 125 ms 的启动时间和更少的内存占用。Firecracker 目前支持 IntelCPU,并将于 2019 年开始支持 AMD 和 ARM,还将与 containerd 等流行的容器运行时集成。Firecracker支持内核版本为 4.14 及更高版本的 Linux 主机和客户机操作系统。

Firecracker microVM提高了效率和利用率,内存开销极低,每 microVM 的内存开销 < 5MiB。这意味着用户可以将数千个 microVM封装到一个虚拟机中。可以使用进程中速率限制器来实现对网络和存储资源的共享方式的精细控制,即使跨数千个 microVM也同样可行。所有硬件计算资源可以安全地超订,从而最大化可以在主机上运行的工作负载数量。

2.安装firecracker

dnf install firecracker

在这里插入图片描述

2.1.配置firecracker

修改/dev/kvm权限

chmod 777 /dev/kvm

终端执行firecracker运行命令

 firecracker --api-sock /tmp/firecracker.sock

注意:
下面操作步骤打开一个新的终端来执行操作:
查看firecracker的进程是否在运行:

ps -ef |grep firecracker

在这里插入图片描述

查看内存占用情况:

cat /proc/424231/status |grep VmRSS

在这里插入图片描述

修改vcpu和内存

curl --unix-socket /tmp/firecracker.sock "http://localhost/machine-config"

在这里插入图片描述

这将启动一个 VMM 进程并等待 microVM 配置。默认情况下,每个 microVM 将分配一个 vCPU 和 128MiB内存,如果需要修改 vCPU 和内存大小,可以向 microVM API 发送下面的请求:

curl --unix-socket /tmp/firecracker.sock -i  \
    -X PUT 'http://localhost/machine-config' \
    -H 'Accept: application/json'            \
    -H 'Content-Type: application/json'      \
    -d '{
        "vcpu_count": 2,
        "mem_size_mib": 4096,
        "ht_enabled": false
    }'

在这里插入图片描述

2.2.设置启动系统内核和根目录

现在此 microVM 需要使用解压后的 Linux 内核二进制代码和将用作根文件系统的 ext4 文件系统来进行配置。

下载示例内核和rootfs:

curl -fsSL -o hello-vmlinux.bin https://s3.amazonaws.com/spec.ccfc.min/img/hello/kernel/hello-vmlinux.bin
curl -fsSL -o hello-rootfs.ext4 https://s3.amazonaws.com/spec.ccfc.min/img/hello/fsfiles/hello-rootfs.ext4

在这里插入图片描述

设置来宾内核:

curl --unix-socket /tmp/firecracker.sock -i \
    -X PUT 'http://localhost/boot-source'   \
    -H 'Accept: application/json'           \
    -H 'Content-Type: application/json'     \
    -d '{ 
        "kernel_image_path": "./hello-vmlinux.bin", 
        "boot_args": "console=ttyS0 reboot=k panic=1 pci=off" 
    }'

在这里插入图片描述

设置根文件系统:

curl --unix-socket /tmp/firecracker.sock -i \
    -X PUT 'http://localhost/drives/rootfs' \
    -H 'Accept: application/json'           \
    -H 'Content-Type: application/json'     \
    -d '{ 
        "drive_id": "rootfs",
        "path_on_host": "./hello-rootfs.ext4",
        "is_root_device": true,
        "is_read_only": false
    }'

在这里插入图片描述

2.3.启动microVM

配置好内核和根文件系统后,将会启动来宾虚拟机:

curl --unix-socket /tmp/firecracker.sock -i \
	   -X PUT 'http://localhost/actions'       \
  -H  'Accept: application/json'          \
  -H  'Content-Type: application/json'    \
  -d '{ 
       "action_type": "InstanceStart"
  }'

在这里插入图片描述

注意:
执行完成上述命令后,切换刚才的终端发现有输出内容。
在这里插入图片描述

登陆microVM,到最后输出会看到让你登陆输入用户和密码。

microVM用户和密码都是“root”
在这里插入图片描述

测试验证操作:

ls /

在这里插入图片描述

小白鸽i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AWS开源Firecracker:面向无服务器计算的安全快速微虚拟机
Docker的专栏
11-28 2098
虚拟化面临着一系列新挑战时至今日,我们的客户可以利用无服务器计算来构建应用程序,而无需分神于基础设施的配置或者管理工作。开发人员可以利用AWS Fargate或者AWS ...
Firecracker
master_ly的博客
03-13 2396
Firecracker简介提出背景VMM特点Firecracker运用 提出背景 Serverless computing降低了运营成本,提高了硬件利用率,加速传统部署方法,被广泛的用于在云中部署和管理软件。然而,Serverless要求在一个硬件上以最小的开销运行多个工作负载,并且保持安全性和性能隔离。可以选用的隔离性技术有提供强安全性和高开销的虚拟化技术(如基于QEMU/KVM的Kata Co...
配置firecracker流程即踩坑记录
YLSnowy的博客
07-18 476
配置firecracker和踩坑记录
基础架构的未来 是 K8s,那么 K8s 的未来在何方?
最新发布
2401_83915812的博客
04-20 886
现在其实从大厂招聘需求可见,在招聘要求上有高并发经验优先,包括很多朋友之前都是做传统行业或者外包项目,一直在小公司,技术搞的比较简单,没有怎么搞过分布式系统,但是现在互联网公司一般都是做分布式系统。所以说,如果你想进大厂,想脱离传统行业,这些技术知识都是你必备的,下面自己手打了一份Java并发体系思维导图,希望对你有所帮助。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
云原生爱好者周刊:使用 AWS 开源的 FireCracker 来创建和管理 K8s 集群
KubeSphere
07-18 1866
开源项目推荐 KubeFire 这个项目比较有创意,它使用 AWS 开源的轻量级虚拟化项目 FireCracker 来创建和管理 Kubernetes 集群,摒弃了传统的 qcow2 和 vhd 等虚拟机镜像,直接从 OCI 镜像中提取 rootfs 和 kernel。它还支持多种不同的 Kubernetes 集群部署方式,比如 Kubeadm,K3s,RKE2 和 K0s。例如: $ kubefire cluster create demo --bootstrapper=kubeadm $ kubefi
微虚机之Firecracker
专注虚拟化的Linuxer
01-24 5246
Firecracker 是亚马逊aws最近开源的一个微虚机项目,按照他们的宣传,这是一个轻量的虚拟化技术,旨在为他们的容器服务以及函数服务(无服务器服务)提供一个安全便捷的支持平台。 Firecracker翻译过来是鞭炮的意思,可以说这个取名非常的直观有意思,每一个微虚机都如一个鞭炮,小而有爆发力,作为一长串的整体又能够多点开花。 FireCracker不同于传统的容器化项目,它由Rust语言...
安全容器:gVisor、Firecracker、LXC性能对比
文杰的博客
06-26 1435
参考论文,从各个角度比较当前容器安全产品差异
AWS开源Firecracker,一种运行多租户容器服务的新虚拟化技术
cpongo5
11-27 187
\u003cp\u003e现在的技术环境下,容器具有快速启动时间和高密度,VM可以对硬件虚拟化,具有更好的安全性,并对工作负载具有更好的隔离性。容器和VM的特性现在还不可兼得。\u003c/p\u003e\n\u003cp\u003e现在AWS开源了Firecracker,一种利用KVM的新虚拟化技术,专门用于创建和管理多租户容器以及基于函数的服务。 你可以在几分之一秒内在非虚拟化环境中启动轻量级...
debian-firecracker:为鞭炮构建Debian内核和rootfs
05-29
泊坞窗容器建立一个Linux内核和ext4的根文件系统兼容。 用法 构建容器: docker build -t debian-firecracker . 构建图像: docker run --privileged -it --rm -v $( pwd ) /output:/output debian-firecracker ...
ubuntu-firecracker:为鞭炮构建ubuntu内核和rootfs
02-06
构建图像: docker run --privileged -it --rm -v $( pwd ) /output:/output ubuntu-firecracker 使用firectl启动图像# copy image and kernelcp output/vmlinux ubuntu-vmlinuxcp output/image.ext4 ubuntu.ext4# ...
MVM:MicroVM,完全是玩具VM。...没有计划。...用C编写
05-11
MVM MicroVM,完全是玩具VM。...没有计划。...用C编写
kubefire:KubeFire using使用Firecracker microVM创建和管理Kubernetes集群
05-12
什么是KubeFire? :fire: KubeFire将通过weaveworks / ignite创建和管理在FireCracker microVM上运行的Kubernetes集群。 使用OCI映像中的独立rootfs和内核,而不是传统的VM映像(例如qcow2,vhd等) 使用容器来管理鞭炮程序 使用不同的集群引导程序来配置Kubernetes集群,例如Kubeadm,K3,Rancher RKE,RKE2,RancherD和K0 支持在x86_64 / AMD64和ARM64 / AARCH64之类的不同体系结构上部署集群(例如:K3,RKE2,K0) 入门 安装KubeFire 对于官方版本,请通过以下命令安装最新版本或使用 curl -sfSL https://raw.githubusercontent.com/innobead/kubefire/master/hack/in
鞭炮:用于无服务器计算的安全,快速的microVM
02-05
我们的使命是实现容器和功能工作负载的安全,多租户,开销最小的执行。 阅读有关鞭炮约章的更多信息。 什么是爆竹? Firecracker是一种开源虚拟化技术,专门用于创建和管理安全的,多租户容器和基于功能的服务,这些服务提供了无服务器操作模型。 Firecracker在称为microVM的轻型虚拟机中运行工作负载,该虚拟机将硬件虚拟化技术提供的安全性和隔离属性与容器的速度和灵活性结合在一起。 总览 Firecracker的主要组件是虚拟机监视器(VMM),该监视器使用Linux内核虚拟机(KVM)创建和运行microVM。 鞭炮采用简约设计。 它排除了不必要的设备和面向访客的功能,以减少每个
爆竹容器:爆竹容器使容器能够像爆竹microVM一样管理容器
01-30
放鞭炮 自动化 状态 测验 皮棉 通过该存储库,可以使用容器运行时来管理 microVM。 与传统容器一样,Firecracker microVM提供快速启动和关闭以及最小的开销。 但是,与传统容器不同,它们可以通过KVM虚拟机管理程序提供额外的隔离层。 基于鞭炮的容器的潜在用例包括: 在自己的microVM中将部分或完全不受信任的第三方容器沙盒化。 例如,这将减少通过第三方容器泄漏机密的可能性。 在同一主机上将不同的容器工作负载装箱,同时保持容器之间的高度隔离。 由于Firecracker的开销很低,因此,每台主机可实现的容器密度应与使用基于内核的容器运行时运行的容器相当,而无需妥协地解决此类问题。 多租户主机将从该用例中特别受益。 为了保持与容器生态系统的兼容性,在可能的情况下,我们使用容器标准,例如OCI图像格式。 此存储库中有几个组件,可让容器使用Firecracker microVM运行容器: 一个管理运行时的生命周期并实现我们的来管理microVM的生命周期。 由于因此将控制插件编译到了容器化的二进制文件中,这需要我们为鞭炮容器构建专门的容器化二进制文件。
cl-microvm:一个非常简单的16位虚拟机和工具
05-15
cl-microvm 塞尔吉·雷纳(Sergi Reyner) CL-MICROVM是一个非常简单的VM,并且是与之配合使用的一组工具。 它模拟了一个虚构的体系结构,具有以下特征。 特征 具有0/1/2操作数的32条指令,宽度为8位或16位。 64Kb的记忆体 无限堆叠 工具 汇编程序,以宏的形式 内存转储 注意:尚未执行所有指令,到目前为止仅PRN,CALL和RET。 同样,规格仍在不断变化。 执照 麻省理工学院执照
点燃:点燃Firecracker microVM
02-02
Firecracker是来自AWS的,已针对,隔离性,速度和低资源消耗进行了优化。 AWS将其用作其无服务器产品(AWS Lambda和Fargate)的基础,这些产品需要几乎立即加载,同时还要使用户保持隔离(多租户)。 事实证明,...
firebuild:从Dockerfiles构建Firecracker VMM
03-13
从Dockerfiles构建Firecracker VMM 一组直接从Dockerfiles构建,运行和操作Firecracker VMM的Dockerfiles 。 为构建创建专用的CNI网络 随时更改ipam.subnet或设置多个。 host-local IPAM 。 cat << EOF> /...
firesquid:简单的AWS Firecracker MicroVM Orchestrator
05-17
使用爆竹的Linux Kernel 5.9-rc2推荐设置 从node-alpine docker映像构建的示例rootfs.ext4 。 开机,睡眠3秒钟,然后关闭电源。 放鞭炮,据此抢一把 把招工广告 :handshake: 欢迎所有贡献! 如果您正在使用或...
pycharm跨年烟花代码
01-01
以下是一个使用PyCharm编写的跨年烟花代码的示例: ```python import turtle import random # 创建画布 screen = turtle.Screen() screen.bgcolor("black") # 创建烟花 firecracker = turtle.Turtle() firecracker.shape("circle") firecracker.color("white") firecracker.penup() # 让烟花的形状随机发生变化 firecracker.goto(random.randint(0, 500), -200) # 发射烟花 firecracker.speed(10) firecracker.pendown() firecracker.goto(firecracker.xcor(),0) # 烟花爆炸效果 for _ in range(30): firecracker.color(random.choice(["red", "orange", "yellow", "green", "blue", "purple"])) firecracker.stamp() firecracker.right(12) # 关闭画布 turtle.done() ``` 这段代码使用了Python的turtle库来绘制烟花效果。首先,我们创建了一个画布,并设置背景色为黑色。然后,我们创建了一个烟花对象,并设置其形状为圆形,颜色为白色。接着,我们让烟花的位置随机变化,并发射烟花。最后,我们使用循环来模拟烟花爆炸的效果,随机改变烟花的颜色并在画布上绘制。最后,我们关闭画布。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小白鸽i

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值