Giới thiệu Nucleus: Runtime container tối ưu bảo mật và hiệu suất cho Nix

Giới thiệu Nucleus: Runtime container tối ưu bảo mật và hiệu suất cho Nix Nucleus là một runtime container tối giản cho Linux, cung cấp môi trường thực thi cô lập sử dụng các nguyên thủy của nhân Linux mà không có chi phí quá tải của các runtime container truyền thống. Đối với các dịch vụ sản xuất, nó được thiết kế xung quanh một mô hình hoàn toàn khai báo: Nix xây dựng hệ thống tệp gốc (root filesystem), module NixOS khai báo dịch vụ, và Nucleus gắn kết một closure có thể tái tạo được tại thời điểm chạy.

License MIT

Ba chế độ hoạt động

Nucleus hỗ trợ ba chế độ hoạt động chính để phục vụ các nhu cầu khác nhau:

• Agent mode (mặc định): Các sandbox tạm thời, khởi động nhanh cho khối lượng công việc của tác nhân AI.
• Strict agent mode: Cô lập kiểu "fail-closed" cho các tác nhân tạm thời mà không yêu cầu rootfs sản xuất, kiểm tra sức khỏe hoặc ngữ nghĩa dịch vụ NixOS.
• Production mode: Cô lập nghiêm ngặt cho các dịch vụ NixOS chạy lâu dài, có ràng buộc mạng, cấu hình khai báo, rootfs được xây dựng bởi Nix có thể tái tạo, thực thi chính sách egress và tích hợp systemd.

Hiệu suất vượt trội

Một trong những điểm nổi bật nhất của Nucleus là hiệu suất ấn tượng của nó. Trong các bài kiểm tra benchmark:

• Khởi động lạnh (Cold Start): Nucleus chỉ mất khoảng 12ms, so với khoảng 500ms của Docker.
• Hiệu suất PostgreSQL: Trong bài kiểm tra pgbench, Nucleus duy trì hiệu suất gần như ngang bằng với phần cứng thô (bare-metal) dưới sự cô lập của nó, thậm chí đôi khi vượt trội nhẹ do nhiễu benchmark.

Nucleus Crates

Tại sao chọn Nucleus?

Nucleus tập trung vào việc cung cấp một nền tảng khai báo theo mặc định cho các dịch vụ, tích hợp sâu với Nix và đảm bảo tính tái tạo của các bản dựng dịch vụ.

• Cô lập chi phí bằng 0: Sử dụng trực tiếp cgroups, namespaces, pivot_root, capabilities, seccomp và Landlock.
• Hệ thống tệp dựa trên bộ nhớ: Đĩa container được ánh xạ tới tmpfs, được điền sẵn với ngữ cảnh tác nhân.
• Tích hợp gVisor: Hạt nhân ứng dụng tùy chọn để tăng cường bảo mật, bao gồm chế độ dịch vụ có mạng.
• Chính sách bảo mật bên ngoài: Các hồ sơ seccomp, chính sách capability và quy tắc Landlock theo từng dịch vụ với mã pin SHA-256.

So sánh với Docker

Nucleus không phải là một thay thế trực tiếp (drop-in) cho Docker, cũng không phải là một tập con nghiêm ngặt của nó. Nucleus là một runtime sandbox được tăng cường bảo mật (tương tự như runc/gVisor) cũng thực hiện điều phối đơn máy chủ nhẹ nhàng, khai báo. Nó loại bỏ phần hình ảnh và phân phối của Docker để đổi lấy sự cô lập sâu hơn, chính sách tốt hơn và tính tái tạo.

Ví dụ, Nucleus không sử dụng images, Dockerfile hay registry. Thay vào đó, nó sử dụng thư mục tmpfs hoặc Nix closure cho root filesystem.

Kiến trúc và Bảo mật

Nucleus tận dụng các nguyên thủy cô lập của nhân Linux:

• Namespaces: PID, mount, network, UTS, IPC, user, cgroup và cách ly thời gian tùy chọn.
• cgroups v2: Giới hạn tài nguyên (CPU, bộ nhớ, PID, I/O).
• pivot_root: Cô lập hệ thống tệp.
• Capabilities: Mọi capability đều bị loại bỏ theo mặc định.
• seccomp: Lọc syscall whitelist với các hồ sơ theo từng dịch vụ.
• Landlock: Kiểm soát truy cập hệ thống tệp dựa trên đường dẫn (Linux 5.13+).

Cài đặt

Bạn có thể cài đặt Nucleus thông qua Cargo:

cargo install nucleus-container

Hoặc qua Nix (được khuyến nghị để có bản dựng có thể tái tạo và tích hợp NixOS):

nix run github:wiggum-cc/nucleus

Với sự kết hợp giữa hiệu suất cao, mô hình khai báo mạnh mẽ và tập trung sâu vào bảo mật, Nucleus là một lựa chọn hấp dẫn cho các nhà phát triển đang tìm kiếm sự thay thế cho Docker trong môi trường Linux và NixOS, đặc biệt là cho các khối lượng công việc đòi hỏi sự cô lập nghiêm ngặt.