On Wed, Nov 6, 2019 at 1:27 AM Stéphane Rivière stef@genesix.org wrote:
Full disclosure: je suis Solutions Architect Specialist EC2 chez AWS (arthurpt@amazon.com mailto:arthurpt@amazon.com).
Je me doutais d'un truc comme ça :) Tu dois avoir un job intéressant...
Un article qui explique des choses, en particulier la logique du passage de Xen vers Nitro. Comme tu le dis, les problématiques d'AWS ne sont pas celles de tout le monde et les réponses sont aussi hors du commun.
Un des posts les plus synthétiques sur la question est celui de Brendan Gregg (monsieur Perf chez netflix, ex-SUN, papa de Dtrace): http://www.brendangregg.com/blog/2017-11-29/aws-ec2-virtualization-2017.html En bas du poste, il met une série assez complète de lien, en particulier celui-ci : https://www.youtube.com/watch?v=LabltEXk0VQ . Il s'agit de la présentation faite par Anthony Liguori (un des Principal Engineers à l'origine de Nitro) à re:Invent 2017, elle est assez claire et compréhensible.
Cela dit, il y a aussi des projets AWS complètement open, comme
firecracker: https://firecracker-microvm.github.io/ qui est un des moteurs d'exécution de Lambda.
J'avais regardé... M'étais dit que c'était une jolie manière (au sens de l'élégance de la solution et de la sécu) de tuer Docker...
Non, ce n'est pas le but du tout, le but est d'avoir un véhicule de virtualisation suffisamment léger pour se permettre de pouvoir mettre une fonction Lambda par VM (on ne fait pas confiance aux mécanismes d'isolation des containers pour l'isolation entre processus en terme de sécurité). Avec Firecracker, on a des VMs dont le temps de démarrage est de quelques dizaines de ms, et l'overhead mémoire de quelques dizaines de Mo, donc on peut se permettre d'en lancer un très grand nombre par instance. En résumé, ça ne poursuit pas le même but, et concrètement on continue à wrapper des containers à l'intérieur, par ce que le container docker est un véhicule d'exécution/packaging très efficace. Donc c'est plus à voir comme un outil complémentaire que comme un outil concurrent. Et pour AWS, une grande partie de la valeur associée est plus dans le control-plane (ie les moyens pour orchestrer cela à grande échelle, que dans la micro-VM en elle même).
Arthur