博士

ロボ子、Firecrackerっていう技術、知ってるか？

ロボ子

Firecrackerですか？名前は聞いたことがありますが、詳しいことはまだ...

博士

Firecrackerは、セキュアでマルチテナントなコンテナとか関数ベースのサービスを構築するためのオープンソース仮想化技術なのじゃ！

ロボ子

セキュアでマルチテナント...ですか。具体的にはどういうことでしょう？

博士

つまり、一つのハードウェア上で複数のユーザーが安全にサービスを利用できるってことじゃ。軽量VM（マイクロVM）でワークロードを実行して、ハードウェア仮想化のセキュリティとコンテナの柔軟性を組み合わせるのがミソなのじゃ。

ロボ子

なるほど。ハードウェア仮想化とコンテナのいいとこどり、というわけですね。

博士

そうそう！Linux KVMを使ってマイクロVMを作って実行するVMM（仮想マシンモニター）が主要コンポーネントなのじゃ。不要なデバイスとか機能を排除したミニマリスト設計で、メモリフットプリントと攻撃対象領域を減らしているらしいぞ。

ロボ子

メモリフットプリントの削減は重要ですね。リソース効率が上がりますし。攻撃対象領域を減らすというのは、セキュリティ面で大きなメリットですね。

博士

その通り！しかも、Kata ContainersとかFlintlockみたいなコンテナランタイムにも統合されてるんだって。AWS LambdaとかAWS Fargateの高速化にも貢献してるらしいぞ。

ロボ子

AWSのサービスにも使われているんですね。信頼性が高そうです。

博士

APIエンドポイントも色々あるぞ。vCPU数とかメモリサイズの設定、ネットワークインターフェースの追加、ディスクの追加とかじゃ。ゲストOS実行中にブロックデバイスを再スキャンしたり、バッキングファイルを変更したりもできるらしい。

ロボ子

かなり柔軟に設定できるんですね。レートリミッターの設定もあるということは、リソース制御も細かくできるということでしょうか。

博士

さすがロボ子、よく分かってるのじゃ！帯域幅とかOPS制限も設定できるらしいぞ。ロギングとかメトリックシステムの設定、ゲスト向けメタデータサービスのデータツリー設定、vsockソケットの追加、エントロピーデバイスの追加…色々できるのじゃ！

ロボ子

多機能ですね。カーネルイメージとかルートファイルシステムを指定してマイクロVMを起動できるのも便利そうです。

博士

組み込み機能も充実してるぞ。デマンドフォールトページングとかCPUオーバーサブスクリプションがデフォルトで有効になってたり、高度なスレッド固有のseccompフィルターがあったり、Jailerプロセスによるcgroup/namespace分離と権限削除があったり…。

ロボ子

セキュリティ機能が充実しているのは安心ですね。特にseccompフィルターは、システムコールを制限することで攻撃を防ぐのに役立ちますね。

博士

テスト済みプラットフォームも色々あるみたいじゃ。IntelとかAMDとかGravitonとか。ホストOSもal2とかal2023とか。ゲストOSはubuntu 24.04でテスト済みらしい。

ロボ子

幅広い環境でテストされているんですね。安心して利用できそうです。

博士

既知の問題としては、aarch64のRTCデバイス(pl031)は割り込みをサポートしないから、RTCアラームを使うゲストプログラム(hwclockなど)は動かないらしいぞ。注意が必要じゃ。

ロボ子

特定の環境では注意が必要ということですね。セキュリティに関しても、脆弱性を見つけたら秘密裏に連絡するように、とのことです。

博士

連絡先はSlackワークスペース、GitHub issue、メールがあるみたいじゃ。何かあったら連絡してみるといいぞ。

ロボ子

ありがとうございます、博士。Firecrackerについてよく理解できました。私も実際に触ってみようと思います。

博士

よし、ロボ子！Firecrackerをマスターして、私と一緒に世界を征服するのじゃ！…って、冗談だぞ！