Firecracker

AWS Lambda や AWS Fargate の実行基盤として開発された Firecracker は、Linux の KVM（Kernel-based Virtual Machine）上で動作する。従来の VM は OS イメージ全体をロードするため起動に数十秒かかっていたが、Firecracker は不要なデバイスエミュレーションを徹底的に削ぎ落とし、シリアルポート・ネットワーク・ブロックストレージだけを仮想化する。この割り切りによって、メモリフットプリントは 5 MB 未満、起動時間は 125 ms 以下に抑えられている。

コンテナとの違い

コンテナ（Docker 等）はホスト OS のカーネルを共有するため、カーネル脆弱性が見つかった場合にテナント間の分離が破られるリスクがある。Firecracker は各ワークロードに独立したカーネルを割り当てるため、マルチテナント環境でも強固な分離を維持できる。一方で起動速度はコンテナとほぼ同等という点が、従来の VM との最大の差別化ポイントになる。

どんな場面で使われるか

もっとも身近な利用例は AWS Lambda だ。ユーザーが関数を呼び出すたびに Firecracker の microVM が立ち上がり、実行が終われば破棄される。1 台の物理サーバー上に数千の microVM を同居させても、互いのメモリ空間やファイルシステムは完全に隔離される。

サーバーレス以外にも、CI/CD パイプラインでビルドごとにクリーンな VM を使い捨てる用途や、エッジ拠点で限られたハードウェアリソースを効率よく分割するケースで採用が広がっている。Rust で実装されていることからメモリ安全性が高く、セキュリティ要件の厳しい金融・ヘルスケア分野でも評価されている。

制約と注意点

Firecracker は汎用 VM ではない。GPU パススルーや GUI 表示には対応せず、対応カーネルも Linux に限定される。Windows ワークロードを動かしたい場合や、GPU を使った推論処理が必要な場合は QEMU/KVM や専用インスタンスが依然として選択肢になる。