TinyKVM - Varnish 위에서 실행되는 빠른 샌드박스

11 hours ago 1

KVM 기반의 단일 프로세스 샌드박스
- 일반 리눅스 프로그램이나 특정 API를 사용하는 프로그램을 샌드박스에서 실행 가능
하드웨어 가상화를 사용해 네이티브 성능을 제공
KVM API의 일부분만 사용 → 코드베이스가 작고 효율적임

TinyKVM의 설계

정적 Linux ELF 프로그램 실행 지원
- 동적 실행 파일 지원은 추후 추가 예정
- 외부 HTTP 서버 또는 캐시에대한 액세스를 제공하기 위해 API로 확장도 가능
- 현재 AMD64(x86_64)에서 작동하며, AArch64(64비트 ARM) 포팅 계획 중
Hugepage 지원
- 게스트 페이지에 hugepage 생성 가능
- 호스트에서도 hugepage 사용 가능 → 성능 개선 효과
- 예: 2MB 페이지 할당 시 LLVM 컴파일 성능 5% 증가 확인
빠른 함수 호출
- 게스트에서 함수 호출 시 오버헤드는 2μs
- 타이머 없이 실행 시 오버헤드는 1.2μs로 감소
원격 디버깅 지원
- GDB로 원격 디버깅 가능
- 디버깅 후 정상적인 프로그램 재개 가능
Copy-on-Write 지원
- 자체 fork 기능 지원 → 메모리 복제 최소화 가능
- 예: 6GB 모델을 복제할 경우 인스턴스당 260MB 메모리만 필요
빠른 상태 초기화
- 게스트 상태를 빠르게 리셋 가능 → 보안 강화
- 요청마다 리셋하면 상태 노출 위험 감소
간소화된 코드베이스
- KVM API에서 약 42k LOC 사용
- TinyKVM 자체 코드베이스는 약 9k LOC → 경쟁 솔루션보다 훨씬 작음
- 예: Wasmtime 350k LOC, FireCracker 165k LOC
정적 페이지 테이블 생성
- 런타임 중 페이지 테이블 수정 불가 → 보안 강화
- 페이지 테이블 무결성 체크 수행
분리된 프로세스 컨텍스트
- KVM 게스트는 별도의 PCID/ASID 사용 → 스펙터(Spectre) 등 추측 실행 공격에 강함
보안 강화된 커널
- SMEP, SMAP 활성화
- 사용자 모드에서 CPU 예외 처리 가능

시스템 콜 처리

호스트와의 API 연결
- SYSCALL/SYSRET 또는 OUT 명령어를 통해 시스템 콜 수행
- 시스템 콜 수행 시 VM exit 발생 → 약 1μs 소요
- 작은 호출을 줄이고 큰 입출력 단위의 API 설계 권장

벤치마크

VM 호출 오버헤드
- VM 리셋 시 tail latency 측정
- 리셋 없이 단순 호출 시 오버헤드는 낮음
메모리 성능
- 메모리 성능은 정상 수준
- 예: HTTP 벤치마크에서 초당 1500개 AVIF 인코딩 가능
JPEG → AVIF 변환 성능
- 초당 약 1582개 이미지 변환 가능
- YUV 변환 경로를 사용해 무손실 변환 가능

빠른 샌드박스 성능의 이유

I/O 및 드라이버 미사용
- I/O, 드라이버, 가상 장치 없음 → 성능 저하 방지
- CPU 자원만 사용 → 네이티브 속도에 근접
Hugepage 최적화
- hugepage 사용으로 페이지 워크 감소 → 성능 개선
- 대규모 LLM 워크로드에서 99.7% 네이티브 성능 달성
빠른 VM 호출
- 게스트에서 함수 호출 시 오버헤드 최소화
- 네이티브 CPU 속도로 데이터 처리 가능