分離を犠牲にせず1台のサーバーで数十のコンテナを実行。
KSMメモリ共有がベアメタルに高密度をもたらします。Firecracker + LXCがコンテナごとの分離を強制します。URL推測不可能性、レルム分離、ホストレベルのファイアウォールが重なり — どれか1つが失敗しても、他の5つが止めます。
KSM · LXC + Firecracker · AES-256 · URL 2^192キースペース · 多層防御
共有ページ、分離メモリ。
Kernel Samepage Mergingはコンテナ間で同一のメモリページを単一の物理コピーに圧縮します。Debianイメージ、Nodeランタイム、Postgresインストール — サーバー上のすべてのコンテナが共有するすべてのバイトがRAMで1回カウントされます。
同一ページの重複排除
同一コンテンツのRAMページ(共通ライブラリ、ベースOS、共有ランタイム)がマージされます。1台のサーバー上の30のNodeコンテナは、1コンテナの30倍よりはるかに少ないメモリを消費します。
分離を維持
コンテナはお互いのRAMを読み取ることができません。KSMはストレージ最適化 — マージされたページはコピーオンライトになります。書き込みは即座にプライベートコピーをフォークします。
コンテナ側の作業なし
KSMはカーネルレベルです。アプリケーションはそれを知る必要がありません。コンテナは通常のLinuxメモリを参照し、ホストは物理的な重複排除を確認します。
負荷依存のメリット
メリットはコンテナが共有する量に比例します。類似スタック = 大きな重複排除。大きく異なるアプリ = 少ない重複排除ですが、ベースラインOSページはまだマージされます。
LXC + Firecracker。カーネル名前空間 + マイクロVM。
Hoodyは二重層分離モデルを使用しています。LXCは名前空間を通じて軽量なLinuxコンテナ分離を提供します。Firecrackerはより強力な分離が必要な場所にハードウェア支援のマイクロVM境界を追加します。ホストカーネルはseccompシステムコールフィルタリングを加えて強化されています(Linux 7.0.2-hoodyベース)。
LXC名前空間
プロセス、ネットワーク、マウント、ユーザー、PID、IPC — 各コンテナはカーネルの独自ビューを持ちます。標準的なLinuxメカニズム、大規模でテスト済み。
Firecrackerマイクロ VM
ハードウェア仮想化された境界。AWS Lambdaの分離技術。コンテナが名前空間だけよりもさらに強固な壁を必要とする場所に適用されます。
強化済みカーネル
セキュリティ強化付きのLinux 7.0.2-hoodyベース。Seccompフィルターがコンテナが行えるシステムコールを制限します。
ベアメタルベースライン
コンテナはユーザー所有のハードウェアで動作します。他のテナントとの共有ハイパーバイザーなし。上のクラウドプロバイダーからのうるさい隣人サイドチャンネルなし。
データがディスクに触れる場所すべてでAES-256。
ファイルシステム暗号化、暗号化スワップ、暗号化tempファイル。サブパーティション経由のリモートアンロック。ディスクは暗号文です; 復号化はブート時にRAMで行われます。
ファイルシステムAES-256
ディスクに書き込まれるすべてのバイトが暗号化されます。ドライブを失っても読み取り可能なものは何もありません。
暗号化スワップ + temp
スワップページとtempファイルは平文でディスクにアクセスしません。カーネルメモリダンプも暗号化されます。
サブパーティションリモートアンロック
ブートフローはinitramfsへのSSH経由でリモート復号化をサポートします。ディスクキーがデータとともに物理的に保存されることはありません。
2^192の組み合わせ。ブルートフォースは攻撃にならない。
プロジェクトIDは24の16進文字です。コンテナIDは24の16進文字です。有効なURLには両方が必要です。キースペースは2^192 — 1秒間に1兆回推測しても、列挙には宇宙の年齢より長い時間がかかります。推測不可能性はデフォルトの出発点であり、唯一のレイヤーではありません。
ペアキースペース
2^192
1T/sで列挙するまでの時間
宇宙の年齢より長い
追加の利用可能なレイヤー
JWT · パスワード · IP · トークン
URL公開が開始モードです。JWT、HTTP Basic、IP CIDR、またはBearerトークンで/platform/proxy経由で任意のURLをロックダウンできます — アプリケーションコードは不要です。
6つの独立したレイヤー。どれか1つが失敗しても、あと5つ残る。
セキュリティはゲートではなくスタックです。各レイヤーは独立して効果的です; 合わせて単一の障害を生き延びられます。
URL推測不可能性
プロジェクト+コンテナの組み合わせで2^192キースペース。URLそのものが最初のシークレット。
コンテナ分離
LXC名前空間 + Firecrackerマイクロ VM。カーネルレベルの分離。
ホストレベルのファイアウォール
イングレス + イグレスルールはコンテナ内部ではなくホストで強制。改ざん防止。
プロキシ権限
JWT / パスワード / IP / トークン認証グループがURLの上に重なります。
レルム分離
APIレベルのテナント分離。特定のレルムにスコープされたトークン。
ディスク暗号化
保存時AES-256。暗号化スワップ。リモートアンロックブート。
すべてが検査可能なHTTPリクエストです。
統合監査証跡。コンテナに対するすべてのアクションはプロキシログエントリです。hoody-execまたはhoody-curl経由でサービスをMITMして、サービスを変更せずにAI安全チェック、ログ記録、レート制限を追加できます。
統合監査ログ
プロキシログはすべてのサービスをカバーします。クエリ、エクスポート(NDJSON)、統計集計 — すべて/platform/proxyログAPI経由。
設計によるMITM
任意のサービスとそのクライアントの間にミドルウェアを挿入します。AI安全ゲート、コンプライアンスログ記録、レート制限に使用 — サービス変更不要。
プラットフォームフォーク
すべてのユーザーがHoody API自体をMITMしてプラットフォームの動作をカスタマイズできます — コードベースをフォークせずに。
侵害が疑われる?コンテナを削除してください。
すべてのコンテナURLはコンテナが削除された瞬間に消滅します。DNS伝播なし。キャッシュ無効化なし。ローテーションすべき古いトークンなし。URLがサーフェスでした; コンテナを削除するとサーフェスが完全に消えます。
DELETE /api/v1/containers/ID
APIコール1回。JWTまたはコントロールプレーントークンで認証。
URLのルーティングが停止
プロキシがルーティングエントリを削除。ホスト名は即座に404を返します — 60秒後ではなく。
数分で再起動
新しいIDで新しいコンテナを作成。新しいURL。古いURLは永久に消滅。ローテーションすべき残存クレデンシャルなし。
密度と分離はここではトレードオフではありません。
ベアメタル。強化済みカーネル。暗号化ディスク。6層防御。すべてのプロパティは最初のコンテナですでに真です。
関連情報 — /platform/proxyでURL権限と認証グループ、/platform/control-planeでレルム/トークン管理、/methods/access-networkでファイアウォール + イグレス。