Firecracker：某中心开源的轻量级虚拟化方案

在无服务器计算领域，安全隔离与资源效率往往难以兼得。传统容器技术启动快但隔离性弱，而标准虚拟机（VM）虽安全性高却存在性能开销。2018年某中心推出的开源虚拟化平台Firecracker，通过微型化设计实现了二者的平衡。

技术架构突破

Firecracker基于KVM构建，仅保留必要虚拟化组件，内核镜像小于5MB。其采用非持久化设备模型，每个微虚拟机（MicroVM）独立运行用户代码，并通过seccomp BPF过滤器限制宿主机系统调用，实现亚毫秒级启动和低于128MB的内存占用。

无服务器场景实践

自2014年某中心推出Lambda服务以来，始终采用传统VM保障多租户安全。但客户对扩展速度和并发能力提出更高要求后，团队基于Firecracker重构架构。迁移过程中保持用户无感知，目前每月支持数万亿请求，涵盖Lambda和Fargate两大服务。

核心创新价值

• 安全隔离：利用硬件虚拟化扩展（Intel VT-x/AMD-V）实现租户间强隔离
• 资源效率：借鉴容器技术共享内核模式，较传统VM减少90%内存开销
• 快速弹性：微虚拟机可在125ms内完成启动，满足函数计算瞬时扩容需求

该技术已在NSDI 2020会议发表论文《Firecracker: Lightweight Virtualization for Serverless Applications》，并开源Go语言API接口工具链。