論文の概要: Goldilocks Isolation: High Performance VMs with Edera

• arxiv url: http://arxiv.org/abs/2501.04580v1
• Date: Wed, 08 Jan 2025 15:51:02 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-01-09 14:54:37.616267
• Title: Goldilocks Isolation: High Performance VMs with Edera
• Title（参考訳）: Goldilocksの分離 - Ederaを使用した高性能VM
• Authors: Marina Moore, Alex Zenla,
• Abstract要約: コンテナ化では、複数のアプリケーションが同じカーネルを共有し、ランタイムのオーバーヘッドを低減する。 これによりコンテナエスケープ攻撃が急増し、カーネルエクスプロイトによって攻撃者がオペレーティングシステム仮想化の分離から逃れることが可能になった。 コンテナ化のランタイムを改善するために準仮想化を利用する,最適化されたタイプ1ハイパーバイザであるEderaを紹介する。
• 参考スコア（独自算出の注目度）: 0.0
• License:
• Abstract: Organizations run applications on cloud infrastructure shared between multiple users and organizations. Popular tooling for this shared infrastructure, including Docker and Kubernetes, supports such multi-tenancy through the use of operating system virtualization. With operating system virtualization (known as containerization), multiple applications share the same kernel, reducing the runtime overhead. However, this shared kernel presents a large attack surface and has led to a proliferation of container escape attacks in which a kernel exploit lets an attacker escape the isolation of operating system virtualization to access other applications or the operating system itself. To address this, some systems have proposed a return to hypervisor virtualization for stronger isolation between applications. However, no existing system has achieved both the isolation of hypervisor virtualization and the performance and usability of operating system virtualization. We present Edera, an optimized type 1 hypervisor that uses paravirtualization to improve the runtime of hypervisor virtualization. We illustrate Edera's usability and performance through two use cases. First, we create a container runtime compatible with Kubernetes that runs on the Edera hypervisor. This implementation can be used as a drop-in replacement for the Kubernetes runtime and is compatible with all the tooling in the Kubernetes ecosystem. Second, we use Edera to provide driver isolation for hardware drivers, including those for networking, storage, and GPUs. This use of isolation protects the hypervisor and other applications from driver vulnerabilities. We find that Edera has runtime comparable to Docker with .9% slower cpu speeds, an average of 3% faster system call performance, and memory performance 0-7% faster. It achieves this with a 648 millisecond increase in startup time from Docker's 177.4 milliseconds.
• Abstract（参考訳）: 組織は、複数のユーザと組織間で共有されるクラウドインフラストラクチャ上でアプリケーションを実行する。 DockerやKubernetesなど、この共有インフラストラクチャ用の一般的なツーリングは、オペレーティングシステム仮想化を使用して、このようなマルチテナントをサポートする。 オペレーティングシステム仮想化(コンテナ化(containerization)として知られる)では、複数のアプリケーションが同じカーネルを共有し、ランタイムのオーバーヘッドを低減する。 しかし、この共有カーネルは大きな攻撃面を示しており、カーネルのエクスプロイトによって攻撃者が他のアプリケーションやオペレーティングシステム自体にアクセスするためにオペレーティングシステムの仮想化の隔離から逃れることができるようなコンテナエスケープ攻撃が急増している。 これを解決するために、いくつかのシステムはアプリケーション間のより強力な隔離のためにハイパーバイザ仮想化への回帰を提案している。 しかし、ハイパーバイザ仮想化の分離とオペレーティングシステム仮想化の性能とユーザビリティの両方を達成しているシステムは存在しない。 本稿では,ハイパーバイザ仮想化のランタイムを改善するために準仮想化を利用する,最適化されたタイプ1ハイパーバイザであるEderaを紹介する。 2つのユースケースを通して、Ederaのユーザビリティとパフォーマンスを説明します。 まず、Ederaハイパーバイザ上で動作するKubernetesと互換性のあるコンテナランタイムを作成します。 この実装は、Kubernetesランタイムのドロップイン代替として使用することができ、Kubernetesエコシステムのすべてのツールと互換性がある。 第二に、Ederaを使って、ネットワーク、ストレージ、GPUなど、ハードウェアドライバのドライバアイソレーションを提供しています。 このアイソレーションの使用により、ハイパーバイザや他のアプリケーションがドライバの脆弱性から保護される。 EderaのランタイムはDockerに匹敵するもので、cpu速度が.9%遅く、システムコールのパフォーマンスが平均3%速く、メモリパフォーマンスが0～7%速くなっています。 これにより、Dockerの177.4ミリ秒から起動時間が648ミリ秒増加した。

関連論文リスト

• I Know What You Sync: Covert and Side Channel Attacks on File Systems via syncfs [5.556839719025154]
  論理的分離を断ち切るファイルシステムを通して、新しいタイプのサイドチャネルを示す。 ファイルシステムはオペレーティングシステムにおいて重要な役割を担い、アプリケーション層と物理ストレージデバイスの間のすべてのI/Oアクティビティを管理する。 我々はLinuxとAndroidの両方をターゲットとする3つのサイドチャネル攻撃を構築した。
  論文  参考訳（メタデータ） (2024-11-16T20:40:08Z)
• Ditto: Elastic Confidential VMs with Secure and Dynamic CPU Scaling [35.971391128345125]
  Elastic CVM"とWorker vCPU設計は、より柔軟で費用対効果の高い機密計算環境を実現するための道を開いた。 Elastic CVM"とWorker vCPUの設計は、クラウドリソースの利用を最適化するだけでなく、より柔軟で費用対効果の高い機密計算環境の道を開く。
  論文  参考訳（メタデータ） (2024-09-23T20:52:10Z)
• Devlore: Extending Arm CCA to Integrated Devices A Journey Beyond Memory to Interrupt Isolation [10.221747752230131]
  Arm Confidential Computing Architectureは、Realmと呼ばれる抽象化でセンシティブな計算を実行する。 CCAは、プラットフォーム上の統合デバイスがレルムにアクセスすることを許可していない。 本稿では,Devloreについて述べる。
  論文  参考訳（メタデータ） (2024-08-11T17:33:48Z)
• vTensor: Flexible Virtual Tensor Management for Efficient LLM Serving [53.972175896814505]
  大規模言語モデル(LLM)は様々なドメインで広く使われ、数百万の日次要求を処理する。 大規模言語モデル(LLM)は様々なドメインで広く使われ、数百万の日次要求を処理する。
  論文  参考訳（メタデータ） (2024-07-22T14:37:58Z)
• Dynamic DNNs and Runtime Management for Efficient Inference on Mobile/Embedded Devices [2.8851756275902476]
  ディープニューラルネットワーク(DNN)推論は、モバイルおよび組み込みプラットフォームでますます実行されています。 システムレベルの性能とエネルギー効率を最大化する新しいDynamic Super-Networksを共同で設計した。 SOTAと比較すると、Jetson Xavier NXのGPU上でのImageNetを用いた実験結果は、類似のImageNet Top-1精度で2.4倍、類似のレイテンシで5.1%高速であることを示している。
  論文  参考訳（メタデータ） (2024-01-17T04:40:30Z)
• Microarchitectural Security of AWS Firecracker VMM for Serverless Cloud Platforms [9.345368209757495]
  FirecrackerはAmazon Web Services(AWS)がサーバレスクラウドプラットフォーム向けに開発した仮想マシンマネージャである。 私たちはAWSがFirecracker VMM固有のセキュリティをオーバーステートし、Firecrackerを使用するクラウドシステムを適切に保護するための不完全なガイダンスを提供していることを示しています。
  論文  参考訳（メタデータ） (2023-11-27T16:46:03Z)
• Harnessing Deep Learning and HPC Kernels via High-Level Loop and Tensor Abstractions on CPU Architectures [67.47328776279204]
  この研究は、効率的でポータブルなDeep LearningとHigh Performance Computingカーネルを開発するためのフレームワークを導入している。 1)プロセッシングプリミティブ(TPP)を用いた計算コアの表現と,2)高レベルな宣言的手法でTPPのまわりの論理ループの表現の2つのステップでカーネルの開発を分解する。 我々は、スタンドアロンカーネルと、さまざまなCPUプラットフォームにおける最先端実装よりも優れたエンドツーエンドワークロードを使用して、このアプローチの有効性を実証する。
  論文  参考訳（メタデータ） (2023-04-25T05:04:44Z)
• SwiftFormer: Efficient Additive Attention for Transformer-based Real-time Mobile Vision Applications [98.90623605283564]
  本稿では,2次行列乗算演算を線形要素乗算に効果的に置き換える,新しい効率的な付加的注意機構を提案する。 我々は"SwiftFormer"と呼ばれる一連のモデルを構築し、精度とモバイル推論速度の両面で最先端のパフォーマンスを達成する。 私たちの小さなバージョンでは、iPhone 14で8.5%のImageNet-1Kの精度が達成され、そのレイテンシは0.8msで、MobileViT-v2より2倍速くなります。
  論文  参考訳（メタデータ） (2023-03-27T17:59:58Z)
• MAPLE-Edge: A Runtime Latency Predictor for Edge Devices [80.01591186546793]
  汎用ハードウェアの最先端遅延予測器であるMAPLEのエッジデバイス指向拡張であるMAPLE-Edgeを提案する。 MAPLEと比較して、MAPLE-Edgeはより小さなCPUパフォーマンスカウンタを使用して、ランタイムとターゲットデバイスプラットフォームを記述することができる。 また、共通ランタイムを共有するデバイスプール上でトレーニングを行うMAPLEとは異なり、MAPLE-Edgeは実行時に効果的に一般化できることを示す。
  論文  参考訳（メタデータ） (2022-04-27T14:00:48Z)
• PLSSVM: A (multi-)GPGPU-accelerated Least Squares Support Vector Machine [68.8204255655161]
  Support Vector Machines (SVM) は機械学習で広く使われている。 しかし、現代的で最適化された実装でさえ、最先端ハードウェア上の大きな非自明な高密度データセットにはうまくスケールしない。 PLSSVMはLVMのドロップイン代替として使用できる。
  論文  参考訳（メタデータ） (2022-02-25T13:24:23Z)
• Optimizing Deep Learning Recommender Systems' Training On CPU Cluster Architectures [56.69373580921888]
  クラウドコンピューティングセンターのAIサイクルの大部分を占めるRecommender Systemsに注目します。 HPC用に調整された最新のCPUハードウェアとソフトウェア上で動作可能にすることで、パフォーマンスの2桁以上の改善を達成できます。
  論文  参考訳（メタデータ） (2020-05-10T14:40:16Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。