انتقل إلى المحتوى
عزل معدني — لا hypervisor مشتركKSM يشارك الصفحات المتطابقة عبر الحاوياتنواة Linux 7.0.2-hoody محصّنة + seccompتشفير قرص AES-256 · تبديل مشفرفضاء مفاتيح 2^192 على أزواج المشروع+الحاويةإلغاء فوري — حذف الحاوية = موت الرابط
عزل معدني — لا hypervisor مشتركKSM يشارك الصفحات المتطابقة عبر الحاوياتنواة Linux 7.0.2-hoody محصّنة + seccompتشفير قرص AES-256 · تبديل مشفرفضاء مفاتيح 2^192 على أزواج المشروع+الحاويةإلغاء فوري — حذف الحاوية = موت الرابط
عزل معدني — لا hypervisor مشتركKSM يشارك الصفحات المتطابقة عبر الحاوياتنواة Linux 7.0.2-hoody محصّنة + seccompتشفير قرص AES-256 · تبديل مشفرفضاء مفاتيح 2^192 على أزواج المشروع+الحاويةإلغاء فوري — حذف الحاوية = موت الرابط
عزل معدني — لا hypervisor مشتركKSM يشارك الصفحات المتطابقة عبر الحاوياتنواة Linux 7.0.2-hoody محصّنة + seccompتشفير قرص AES-256 · تبديل مشفرفضاء مفاتيح 2^192 على أزواج المشروع+الحاويةإلغاء فوري — حذف الحاوية = موت الرابط
الرئيسية / الطرق / الكفاءة والأمان
طريقة شاملة

شغّل عشرات الحاويات على خادم واحد دون التخلي عن العزل.

مشاركة ذاكرة KSM تعبئ الكثافة في المعدن الخام. Firecracker + LXC يفرضان عزلاً لكل حاوية على مستوى النواة.

KSM · LXC + Firecracker · AES-256 · فضاء مفاتيح الرابط 2^192 · الدفاع في العمق

مشاركة صفحات KSMLXC + Firecrackerفضاء مفاتيح الرابط 2^192AES-256 أثناء الراحة
دليل نموذج الأمان
الرئيسية / الطرق / الكفاءة والأمان / الكثافة
كثافة KSM

صفحات مشتركة، ذاكرة منفصلة.

Kernel Samepage Merging يدمج صفحات الذاكرة المتطابقة عبر الحاويات في صفحات فيزيائية واحدة. المزيد من الحاويات = كثافة أعلى، لا تدهور.

الصفحات المتطابقة تُلغى تكرارها

صفحات RAM ذات محتوى متطابق (مكتبات شائعة، OS أساسي، أوقات تشغيل مشتركة) تُدمج. تخزين واحد للذاكرة لعشرات الحالات.

العزل محفوظ

الحاويات لا تستطيع قراءة RAM بعضها. KSM هو تحسين تخزين — الصفحات المدمجة تصبح للقراءة فقط؛ الكتابة تُنشئ نسخاً خاصة.

لا عمل من جانب الحاوية

KSM على مستوى النواة. التطبيقات لا تحتاج معرفته. الحاوية ترى ذاكرة Linux طبيعية.

فائدة تعتمد على الحمل

الفائدة تتناسب مع مدى مشاركة الحاويات. تجمّعات متشابهة = إلغاء تكرار هائل. تجمّعات مختلفة تماماً = فائدة أقل.

الرئيسية / الطرق / الكفاءة والأمان / العزل
طبقات المحاكاة الافتراضية

LXC + Firecracker. مساحات أسماء النواة + micro-VMs.

Hoody يستخدم نموذج عزل ثنائي الطبقة. LXC يوفر عزل حاوية Linux خفيف الوزن؛ Firecracker يضيف حدود hardware-virtualized.

مساحات أسماء LXC

عملية وشبكة وتركيب ومستخدم وPID وIPC — كل حاوية لها منظورها الخاص من النواة. فصل خفيف الوزن.

Firecracker micro-VMs

حدود معزولة بالعتاد. تقنية عزل AWS Lambda. تُطبَّق عندما تستوجب الحاوية عزلاً بمستوى VM.

نواة محصّنة

قاعدة Linux 7.0.2-hoody مع تصليب أمني. مرشحات seccomp تحدّ من استدعاءات النظام التي يمكن للحاوية إجراؤها.

خط الأساس المعدني

الحاويات تعمل على عتاد مملوك للمستخدم. لا مشارك hypervisor مع مستأجرين آخرين. لا جيران ضوضاء.

الرئيسية / الطرق / الكفاءة والأمان / التشفير
البيانات أثناء الراحة

AES-256 في كل مكان تلمس فيه البيانات القرص.

تشفير نظام الملفات، تبديل مشفر، ملفات مؤقتة مشفرة. فتح عن بُعد عبر تقسيم فرعي من SSH.

نظام الملفات AES-256

كل بايت يُكتب على القرص مشفر. فقدان المحرك = لا شيء مقروء.

تبديل + ملفات مؤقتة مشفرة

صفحات التبديل والملفات المؤقتة لا تصل إلى القرص بنص واضح. تفريغات ذاكرة النواة مشفرة أيضاً.

فتح عن بُعد عبر تقسيم فرعي

يدعم تدفق الإقلاع فتح التشفير عن بُعد عبر SSH في initramfs. لا مفاتيح قرص مخزّنة فيزيائياً على الخادم.

الرئيسية / الطرق / الكفاءة والأمان / الروابط
عدم تخمين الرابط

2^192 تركيبة. القوة العمياء ليست الهجوم.

معرّفات المشروع 24 حرفاً سداسي عشري. معرّفات الحاوية 24 حرفاً سداسي عشري. الرابط الصالح يتطلب كليهما. فضاء المفاتيح 2^192 — بتريليون تخمين في الثانية، يستغرق الإحصاء الشامل أطول من عمر الكون. عدم القدرة على التخمين هو الإعداد الافتراضي، لا الطبقة الوحيدة.

فضاء مفاتيح الزوج

2^192

للتعداد بمعدل 1T/ثانية

أطول من عمر الكون

طبقات إضافية متاحة

JWT · كلمة مرور · IP · رمز

الفتح عبر الرابط هو الوضع الابتدائي. قيّد أي رابط بـ JWT أو HTTP Basic أو IP CIDR أو بيانات اعتماد Bearer لأي خدمة.

الرئيسية / الطرق / الكفاءة والأمان / الدفاع
الدفاع في العمق

ست طبقات مستقلة. فشل أي منها يبقي خمساً.

الأمان طبقات متراكمة، لا بوابة واحدة. كل طبقة فعّالة بشكل مستقل؛ معاً يجعلون الاختراق الشامل شبه مستحيل.

1

عدم تخمين الرابط

فضاء مفاتيح 2^192 على تركيبات المشروع+الحاوية. الرابط نفسه هو السر الأول.

2

عزل الحاوية

مساحات أسماء LXC + Firecracker micro-VMs. فصل على مستوى النواة.

3

جدار حماية على مستوى المضيف

قواعد الدخول والخروج مفروضة على المضيف، لا داخل الحاوية. مضادة للتلاعب.

4

أذونات البروكسي

مجموعات مصادقة JWT / كلمة مرور / IP / رمز مضافة فوق الروابط.

5

فصل المجالات

عزل المستأجرين على مستوى API. الرموز مقيّدة بمجالات محددة.

6

تشفير القرص

AES-256 أثناء الراحة. مساحة تبديل مشفرة. إقلاع بفتح عن بُعد.

الرئيسية / الطرق / الكفاءة والأمان / المراقبة
الرصد + MITM

كل شيء طلب HTTP قابل للفحص.

مسارات تدقيق موحّدة. كل إجراء ضد حاوية هو إدخال سجل بروكسي. أي خدمة يمكن اعتراضها وفحصها.

سجلات تدقيق موحّدة

سجلات البروكسي تغطي كل خدمة. استعلام وتصدير (NDJSON) وتجميع الإحصاءات — كل ذلك عبر /platform/control-plane.

MITM بالتصميم

أدرج وسيطة بين أي خدمة وعملائها. تُستخدم لبوابات أمان الذكاء الاصطناعي وامتثال السجلات والتحسين.

تشعيب المنصة

كل مستخدم يمكنه عمل MITM لـ API Hoody نفسه لتخصيص سلوك المنصة — دون تشعيب الكود.

الرئيسية / الطرق / الكفاءة والأمان / الإلغاء
إلغاء فوري

تشك في اختراق؟ احذف الحاوية.

كل رابط حاوية يموت في اللحظة التي تُحذف فيها الحاوية. لا انتشار DNS. لا بيانات مخزّنة. لا انتظار.

DELETE /api/v1/containers/ID

مكالمة API واحدة. مصادقة بـ JWT أو رمز Control Plane.

الرابط يتوقف عن التوجيه

البروكسي يزيل إدخال التوجيه. اسم المضيف يُرجع 404 فوراً — لا ستين ثانية لاحقاً.

إعادة الإطلاق في دقائق

أنشئ حاوية جديدة بمعرّف جديد. رابط جديد. الرابط القديم ميت إلى الأبد. لا بيانات اعتماد متبقية.

الرئيسية / الطرق / الكفاءة والأمان / البدء
ابدأ

الكثافة والعزل ليسا مقايضة هنا.

معدن خام. نواة محصّنة. قرص مشفر. ستة طبقات دفاع. كل هذه الخصائص متاحة بالفعل.

دليل الأمان

راجع أيضاً — /platform/proxy لأذونات الروابط ومجموعات المصادقة، /platform/control-plane لـ APIs جدار الحماية.