Hacker News Digest

• TinyKVM путают с PiKVM/PicoKVM (аппаратные KVM-переключатели) из-за схожего названия.
• Основной вопрос: можно ли использовать TinyKVM для изоляции GUI-приложений (например, Firefox) с ограниченным доступом к сети и файлам.
• TinyKVM сравнивают с Firecracker VM, но его фокус — на быстрой изоляции для серверного JS, а не на GUI.
• Упомянуты альтернативы: Qubes OS, Guix для изоляции и воспроизводимости, а также традиционные инструменты вроде bwrap/chroot.

Проект k7 представляет собой самохостинговую инфраструктуру для создания легковесных виртуальных машин в песочницах, предназначенную для безопасного выполнения ненадежного кода. Решение предлагает полный набор инструментов: CLI для управления, API для интеграции и Python SDK для разработчиков, что делает его универсальным решением для изоляции потенциально опасного кода.

Основное преимущество k7 - возможность развернуть собственную среду для выполнения кода без зависимости от облачных сервисов, что повышает безопасность и конфиденциальность. Проект особенно полезен для онлайн-судей программирования, образовательных платформ или сервисов, которым необходимо выполнять пользовательский код в изолированной среде.

• Проект Katakate использует Kata Containers и Firecracker для обеспечения изоляции, но это требует аппаратной виртуализации и может не подходить для всех пользователей.
• Проект не имеет бизнес-модели и остается полностью open-source, что вызывает вопросы о его устойчивости и развитии.
• Сравнение с другими решениями, такими как gVisor и E2B, показывает, что Katakate предлагает уникальное сочетание Kubernetes, Kata и Firecracker, но это может быть неудобно для пользователей, привыкших к другим инструментам.
• Пользователи выразили обеспокоенность о том, как Katakate справляется с такими вещами, как безопасность, масштабируемость и удобство использования, особенно в сравнении с другими решениями.
• Вопросы о том, как Katakate справляется с такими вещами, как изоляция, безопасность и масштабируемость, остаются открытыми, и сообщество ждет ответов.

Проект smolBSD позволяет создавать минималистичные BSD-образные операционные системы, собирая их из необходимых компонентов, прямо как конструктор. В основе — микроядро NetBSD, которое загружается буквально за миллисекунды. Пользователи могут добавлять только нужные сервисы, например, SSH или веб-сервер, и получать готовый к использованию образ.

Процесс сборки полностью автоматизирован: достаточно указать нужный сервис в конфигурации, и система сама скачает необходимые пакеты, соберёт образ и подготовит его к запуску. Результат — это минималистичный, но полностью функциональный экземпляр ОС, готовый к работе на любом совместимом железе или в виртуальной среде.

Главная фишка — скорость. Благодаря минимализму, системы на базе smolBSD загружаются практически мгновенно. Это делает их идеальными для edge-устройств, контейнеров или любых сценариев, где важна каждая миллисекунда.

Проект полностью открытый, и его уже можно свободно тестировать и использовать.

• Проект SmolBSD — это минималистичная сборка NetBSD, предназначенная для запуска внутри microVM (Firecracker) и контейнеров.
• Участники обсуждения отметили, что SmolBSD демонстрирует высокую скорость загрузки и минимальные требования к ресурсам, что делает его привлекательным для использования в качестве базового образа для контейнеров и микро-виртуализации.
• Некоторые участники выразили интерес к сравнению SmolBSD с другими минималистичными решениями, такими как FreeBSD и NanoBSD, а также к обсуждению того, какие именно преимущества предоставляет SmolBSD по сравнению с ними.
• Также было упомянуто, что SmolBSD может быть полезен для создания минималистичных образов для контейнеров и микро-виртуализации, и что он может быть использован как альтернатива для таких решений, как Talos или Flatcar Linux.

Bottlefire — превращает Docker-образы в единый исполняемый файл с микро-VM на Firecracker.
Запуск без root и настроек, где есть KVM.

curl -fL https://bottlefire.dev/run/

Собирается утилитой bake, внутри: сеть, порты, shared-папки.

Цены
Публичные образы — бесплатно.
Pro: 5 $/мес, 20 ГБ «активных» образов, любые регистри.

curl -fL -H "Authorization: Bearer …" -o app \
  https://images.bottlefire.dev/ghcr.io/org/app:1.0

Нужен больше или ECR/GCP — пишите.

Спонсорство от 50 $/мес — публикуй свои образы для всех.

• Участник спросил, можно ли «заморозить» microVM в bottlefire и возобновить позже — ответ: Firecracker умеет снимки, но в текущем формате пока не реализовано.
• Вопрос о запуске microVM в обычном облаке:部分 провайдеры (GCP, DigitalOcean) уже позволяют запускать Firecracker.
• Сеть у bake устроена через SOCKS5-прокси поверх tun2socks, используя сетёвой стек хоста.
• Проект по сути обёртка bake: с KVM можно запустить любой Docker-контейнер без установки Docker.
• Участники сравнили с docker2exe/dockerc, обсудили GUI-оболочку, 9p для rootfs и возможность адаптации под Apple Hypervisor.framework.