Firecracker는 아마존 웹 서비스(AWS)가 개발한 오픈 소스 가상화 기술

Firecracker는 아마존 웹 서비스(AWS)가 개발한 오픈 소스 가상화 기술로, 서버리스 컴퓨팅과 컨테이너 기반 서비스를 위해 특별히 설계된 경량 마이크로 가상 머신(MicroVM) 관리자입니다.

주요 특징과 기술적 배경은 다음과 같습니다.

1. 개발 목적: 서버리스와 컨테이너를 위한 최적화 Firecracker는 AWS Lambda나 AWS Fargate와 같은 서비스를 위해 탄생했습니다. 기존의 가상 머신(VM)은 보안성은 높지만 무겁고 느리며, 컨테이너는 빠르지만 보안 격리가 상대적으로 약합니다. Firecracker는 이 두 가지 장점을 결합하여 **'VM의 강력한 보안 격리'**와 **'컨테이너의 속도 및 효율성'**을 동시에 제공하는 것을 목표로 합니다.

2. 핵심 기술: 미니멀리즘과 KVM Firecracker는 리눅스 커널 기반 가상 머신(KVM)을 사용하는 VMM(Virtual Machine Monitor)입니다. 가장 큰 특징은 미니멀리즘 설계입니다.

• 기능 제거: 일반적인 VMM(예: QEMU)과 달리, Firecracker는 비필수적인 장치와 게스트 기능을 과감히 제거했습니다. 오직 virtio-net, virtio-block 등 필수적인 5가지 에뮬레이션 장치만 남겨두어 공격 표면(Attack Surface)을 최소화하고 메모리 사용량을 줄였습니다.
• 성능: 이러한 경량화 덕분에 125ms 미만의 부팅 속도와 5 MiB 미만의 메모리 오버헤드를 자랑합니다. 이는 단일 호스트 서버에 수천 개의 마이크로 VM을 집적할 수 있게 해줍니다.

3. 보안 아키텍처: 다중 방어선 보안은 Firecracker의 최우선 순위입니다.

• 격리: 각 마이크로 VM은 서로 완벽히 격리되어 있어, 하나의 워크로드가 다른 고객의 워크로드나 호스트 시스템에 영향을 줄 수 없습니다.
• Jailer: **'Jailer'**라는 별도의 프로그램을 통해 가상화 장벽이 뚫리더라도 호스트 시스템을 보호할 수 있는 두 번째 방어선(cgroup, namespace, seccomp 등 활용)을 구축하고 있습니다.
• 속도 제한(Rate Limiting): 네트워크와 스토리지 사용량에 대한 속도 제한 기능이 내장되어 있어, 특정 VM이 자원을 독점하는 것을 방지합니다.

4. 생태계와 기원: Rust와 Crosvm Firecracker는 구글의 크롬 OS용 VMM인 Crosvm에서 파생되었으며, 안전한 시스템 프로그래밍 언어인 Rust로 작성되었습니다. 현재는 Crosvm과 목적이 달라 분리되었지만, rust-vmm 프로젝트를 통해 가상화 구성 요소(빌딩 블록)를 공유하며 협력하고 있습니다.

---

비유로 이해하기

Firecracker는 **'캡슐 호텔'**에 비유할 수 있습니다.

• 전통적인 VM (QEMU 등): **'풀옵션 캠핑카'**와 같습니다. 주방, 화장실, TV 등 모든 기능이 다 있어 편리하지만, 무겁고 주차 공간(자원)을 많이 차지하며 시동 거는 데 오래 걸립니다.
• Firecracker: **'캡슐 호텔'**입니다. 오직 '잠(코드 실행)'을 자는 데 필요한 최소한의 공간만 제공합니다. 덕분에 매우 작고 가벼워서, 같은 건물(서버) 안에 수천 개의 객실을 빽빽하게 넣을 수 있으며, 체크인(부팅)과 동시에 바로 쉴 수 있습니다.