aws管理方法（加强无服务器应用）

早先在于2014年就发布无服务器应用Lambda的云计算龙头AWS，在2017年时进一步结合容器，发布无服务器容器部署服务AWS Fargate，此托管服务与EC2相当类似，不过EC2提供的是虚拟机。而近期AWS用户大会上，该公司更进一步开源发布用于无服务器场景的轻量虚拟化技术Firecracker。

AWS使用开源的KVM虚拟化技术为基础，并且使用Rust语言，开发了此虚拟化项目Firecracker。该公司表示，每一台使用Firecracker打开的虚拟机，只需要耗费5MiB的內存，在单一实例上，可以打开数千台虚拟机。通过此轻量虚拟化技术，用户可以在非虚拟化环境中，打开轻量级虚拟机（microVMs），同时保有虚拟机的隔离性、容器快速打开的特性。据AWS测试，打开一个轻量级虚拟机，所需时间只要125ms，“现在也已经用于AWS Labmda及AWS Fargate。”

而AWS特别强调Firecracker的特色，便是其安全性。在其构架中，AWS除了减少其攻击表面，也导入了多个系统隔离机制，改善Firecracker的安全性。首先，大幅阉割访客模式的操作权限，以该身份登录Firecracker虚拟机的用户，能操作的幅度相当有限，借以降低虚拟机的攻击表面。第二个机制是结合Linux内置的安全机制如cgroups、Seccomp BPF，让用户只能访问部分受控的系统调用。最后，Firecracker内执行的系统程序，采用静态链接（Static Linking），并且在隔离环境内执行，借此保障Host环境的安全。