Dutzende Container auf einem Server ausführen, ohne Isolation aufzugeben.
KSM-Speicher-Sharing packt Dichte in Bare Metal. Firecracker + LXC erzwingen Container-spezifische Isolation.
KSM · LXC + Firecracker · AES-256 · URL 2^192 Schlüsselraum · mehrschichtige Verteidigung
Geteilte Seiten, separater Speicher.
Kernel Samepage Merging führt identische Speicherseiten über Container hinweg zu einzelnen physischen Kopien zusammen. Mehr Container = weniger Speicher pro Container.
Identische Seiten dedupliziert
RAM-Seiten mit identischem Inhalt (gemeinsame Bibliotheken, Basis-OS, gemeinsame Runtimes) werden zusammengeführt. 30 Node-Container zahlen nicht 30x für Nodes eigenen Speicher.
Isolation erhalten
Container können den RAM der anderen nicht lesen. KSM ist eine Speicheroptimierung — zusammengeführte Seiten werden Copy-on-Write. Jeder Schreibvorgang erzeugt sofort eine private Kopie.
Transparent für Anwendungen
Kein Code-Change nötig. KSM geschieht auf Kernel-Ebene. Anwendungen sehen normalen Speicher.
Lastabhaengiger Vorteil
Der Nutzen skaliert damit, wie viel Container gemeinsam haben. Aehnliche Stacks = riesige Deduplizierung. Voellig unterschiedliche Apps = weniger Dedup, aber Basislinie bleibt.
Jeder Container hat seinen eigenen Kernel.
LXC-Namespaces + Firecracker-MicroVMs = vollständige Prozess-Isolation ohne Hypervisor-Overhead.
LXC-Namespaces
Prozess, Netzwerk, Mount, User, PID, IPC — jeder Container hat seine eigene Sicht auf den Kernel. Standardmäßiger Linux-Mechanismus, kampferprobt.
Firecracker-Micro-VMs
Hardware-virtualisierte Grenzen. Die Isolationstechnologie von AWS Lambda. Eingesetzt, wenn ein Container eine noch haertere Barriere braucht.
Gehärteter Kernel
Linux 7.0.2-hoody-Basis mit Sicherheitshärtung. Seccomp-Filter beschränken, welche Syscalls ein Container ausführen kann.
Bare-Metal-Ausgangspunkt
Container laufen auf nutzer-eigener Hardware. Kein gemeinsamer Hypervisor mit anderen Mietern. Keine Noisy-Neighbor-Seitenkanaele von der Cloud-Infrastruktur.
Im Ruhezustand verschlüsselt.
Festplatte mit LUKS/AES-256 verschlüsselt. Swap verschlüsselt. Schlüssel nur im Speicher, nie auf Festplatte.
Dateisystem AES-256
Jedes auf die Festplatte geschriebene Byte ist verschlüsselt. Laufwerk verloren — nichts Lesbares verloren.
Verschlüsselter Swap + Temp
Swap-Seiten und Tempfiles landen nie im Klartext auf der Festplatte. Kernel-Speicher-Dumps sind ebenfalls verschlüsselt.
Remote-Entsperrung für Sub-Partitionen
Boot-Ablauf unterstützt Remote-Entschluesselung über SSH ins initramfs. Keine Festplatten-Schlüssel physisch neben den Daten gespeichert.
2^192 Kombinationen. Brute-Force ist nicht der Angriff.
Projekt-IDs sind 24 Hex-Zeichen. Container-IDs sind 24 Hex-Zeichen. Eine gueltige URL erfordert beide. Der Schlüsselraum beträgt 2^192.
Paar-Schlüsselraum
2^192
Bei 1 Bio./Sek. aufzaehlen dauert
länger als das Universum alt ist
Zusaetzliche Schichten verfügbar
JWT · Passwort · IP · Token
Offen-per-URL ist der Startmodus. Jede URL mit JWT, HTTP Basic, IP-CIDR oder Bearer-Token sperren via /platform/proxy.
Sechs unabhaengige Schichten. Eine Fehlfunktion lässt noch fünf uebrig.
Sicherheit ist ein Stack, kein Tor. Jede Schicht ist unabhaengig wirksam; zusammen macht ein einzelner Fehler das System ueberlebbar.
URL-Unerratbarkeit
2^192 Schlüsselraum bei Projekt+Container-Kombos. Die URL selbst ist das erste Geheimnis.
Container-Isolation
LXC-Namespaces + Firecracker-Micro-VMs. Kernel-Ebene-Trennung.
Host-Level-Firewall
Ingress- und Egress-Regeln am Host durchgesetzt, nicht innerhalb des Containers. Manipulationssicher.
Proxy-Berechtigungen
JWT / Passwort / IP / Token-Auth-Gruppen auf URLs aufgeschichtet.
Realm-Segregation
API-Ebene-Mandantentrennung. Tokens auf bestimmte Realms beschränkt.
Festplattenverschlüsselung
AES-256 at Rest. Verschlüsselter Swap. Remote-entsperrter Boot.
Alles ist eine inspizierbare HTTP-Anfrage.
Einheitliche Prüfpfade. Jede Aktion gegen einen Container ist ein Proxy-Log-Eintrag. Jeder Service kann per hoody-exec oder einem Proxy-Skript abgefangen werden.
Einheitliche Audit-Logs
Proxy-Logs decken jeden Service ab. Abfragen, exportieren (NDJSON), Stats-Aggregation — alles über /platform/proxy-Log-API.
MITM by Design
Middleware zwischen jeden Service und seine Clients einbauen. Wird für AI-Safety-Gates, Compliance-Logging, Rate-Limiting verwendet — kein Code in der App.
Platform-Fork
Jeder User kann die Hoody-API selbst abfangen, um das Plattformverhalten anzupassen — ohne den Codebase zu forken.
Breach vermutet? Container löschen.
Jede Container-URL stirbt in dem Moment, in dem der Container gelöscht wird. Keine DNS-Propagation. Keine Cache-Invalidierung. Keine veralteten Tokens.
DELETE /api/v1/containers/ID
Ein API-Aufruf. Authentifiziert mit deinem JWT oder Control-Plane-Token.
URL hoert auf zu routen
Proxy entfernt den Routing-Eintrag. Der Hostname gibt sofort 404 zurück — nicht 60 Sekunden später.
In Minuten neu starten
Neuen Container mit neuer ID erstellen. Neue URL. Alte URL ist für immer tot. Keine verbleibenden Credentials zum Rotieren.
Dichte und Isolation sind hier keine Kompromisse.
Bare Metal. Gehärteter Kernel. Verschlüsselte Festplatte. Sechs-Schichten-Verteidigung. Jede Eigenschaft gilt bereits bei deinem ersten Container.
Siehe auch — /platform/proxy für URL-Berechtigungen und Auth-Gruppen, /platform/control-plane für Realm-/Token-Verwaltung.