跳转到内容
裸金属隔离——无共享 HypervisorKSM 在容器间共享相同页面加固版 Linux 7.0.2-hoody 内核 + seccompAES-256 磁盘加密 · 加密交换分区项目 + 容器组合的 2^192 密钥空间即时撤销——删除容器 = URL 失效
裸金属隔离——无共享 HypervisorKSM 在容器间共享相同页面加固版 Linux 7.0.2-hoody 内核 + seccompAES-256 磁盘加密 · 加密交换分区项目 + 容器组合的 2^192 密钥空间即时撤销——删除容器 = URL 失效
裸金属隔离——无共享 HypervisorKSM 在容器间共享相同页面加固版 Linux 7.0.2-hoody 内核 + seccompAES-256 磁盘加密 · 加密交换分区项目 + 容器组合的 2^192 密钥空间即时撤销——删除容器 = URL 失效
裸金属隔离——无共享 HypervisorKSM 在容器间共享相同页面加固版 Linux 7.0.2-hoody 内核 + seccompAES-256 磁盘加密 · 加密交换分区项目 + 容器组合的 2^192 密钥空间即时撤销——删除容器 = URL 失效
主页 / 方法 / 效率与安全
横切方法

在单台服务器上运行数十个容器,不牺牲隔离性。

KSM 内存共享将裸金属的密度最大化。Firecracker + LXC 强制执行容器级隔离。URL 不可猜测性、Realm 隔离和宿主机级别防火墙层层叠加——任意一层失效,其余仍可止损。

KSM · LXC + Firecracker · AES-256 · URL 2^192 密钥空间 · 纵深防御

KSM 页面共享LXC + Firecracker2^192 URL 密钥空间静态数据 AES-256
安全模型指南
主页 / 方法 / 效率与安全 / 密度
KSM 密度

共享页面,独立内存。

内核同页合并(KSM)将容器间相同的内存页合并为单个物理副本。基础 Debian 镜像、Node 运行时、Postgres 安装——服务器上所有容器共享的每一个字节,最终在 RAM 中只计一次。

相同页面去重

内容相同的 RAM 页(公共库、基础操作系统、共享运行时)被合并。同一服务器上的 30 个 Node 容器消耗的内存远少于 30 倍单个容器。

隔离性保持

容器之间无法读取对方的 RAM。KSM 是存储优化——合并后的页面变为写时复制,任何写操作立即创建私有副本。

容器侧零工作量

KSM 是内核级别的,应用无需了解它。容器看到正常的 Linux 内存,宿主机实现物理级去重。

依负载的收益

收益随容器共享程度扩展。相似技术栈 = 大量去重;差异很大的应用 = 去重较少,但基础操作系统页面仍会合并。

主页 / 方法 / 效率与安全 / 隔离
虚拟化层

LXC + Firecracker。内核命名空间 + 微型虚拟机。

Hoody 使用双层隔离模型。LXC 通过命名空间提供轻量级 Linux 容器隔离;Firecracker 在需要更强隔离的场景添加硬件辅助微型虚拟机边界。宿主机内核已加固(基于 Linux 7.0.2-hoody),并在顶层应用 seccomp 系统调用过滤。

LXC 命名空间

进程、网络、挂载、用户、PID、IPC——每个容器拥有内核的独立视图。标准 Linux 机制,已在规模化场景中经受考验。

Firecracker 微型虚拟机

硬件虚拟化边界,AWS Lambda 的隔离技术。在容器需要比命名空间更坚固的隔离壁时应用。

加固内核

基于 Linux 7.0.2-hoody 的安全加固版本,seccomp 过滤器限制容器可发起的系统调用。

裸金属基线

容器运行在用户自有硬件上。没有与其他租户共享的 Hypervisor,没有来自云服务商层面的嘈杂邻居侧信道。

主页 / 方法 / 效率与安全 / 加密
静态数据

数据接触磁盘的每个角落都有 AES-256。

文件系统加密、加密交换分区、加密临时文件,通过子分区远程解锁。磁盘是密文,解密在启动时的 RAM 中进行。

文件系统 AES-256

写入磁盘的每一个字节都经过加密,丢失驱动器也不会泄露可读内容。

加密交换分区 + 临时文件

交换页和临时文件不会以明文写入磁盘,内核内存转储也经过加密。

子分区远程解锁

启动流程支持通过 SSH 进入 initramfs 进行远程解密,磁盘密钥不与数据物理存放在一起。

主页 / 方法 / 效率与安全 / URL
URL 不可猜测性

2^192 种组合。暴力破解无从下手。

项目 ID 为 24 位十六进制,容器 ID 为 24 位十六进制,有效 URL 需要两者兼备。密钥空间为 2^192——以每秒万亿次猜测的速度,枚举所需时间远超宇宙年龄。不可猜测性是默认起点,而非唯一防线。

组合密钥空间

2^192

以每秒 1T 次枚举

远超宇宙年龄

可用的额外防护层

JWT · 密码 · IP · Token

「通过 URL 开放」是初始模式。通过 /platform/proxy 使用 JWT、HTTP Basic、IP CIDR 或 Bearer Token 锁定任意 URL——无需修改应用代码。

主页 / 方法 / 效率与安全 / 纵深防御
纵深防御

六层独立防御。任意一层失效,还剩五层。

安全是堆栈,而非单一闸门。每层独立有效,合在一起使单一故障可存活。

1

URL 不可猜测性

项目 + 容器组合的 2^192 密钥空间。URL 本身就是第一道秘密。

2

容器隔离

LXC 命名空间 + Firecracker 微型虚拟机。内核级别隔离。

3

宿主机级别防火墙

入站 + 出站规则在宿主机强制执行,而非容器内部。防篡改。

4

代理权限

JWT / 密码 / IP / Token 认证组,叠加在 URL 之上。

5

Realm 隔离

API 级别租户隔离,Token 限定在特定 Realm 范围内。

6

磁盘加密

静态数据 AES-256,加密交换分区,远程解锁启动。

主页 / 方法 / 效率与安全 / 可观测性
可观测性 + MITM

一切都是可检视的 HTTP 请求。

统一审计轨迹。针对容器的每个操作都是一条代理日志记录。任何服务都可以通过 hoody-exec 或 hoody-curl 进行 MITM,以添加 AI 安全检查、日志记录或限速,无需修改服务本身。

统一审计日志

代理日志覆盖所有服务,可通过 /platform/proxy 日志 API 查询、导出(NDJSON)和统计聚合。

设计内置 MITM

在任意服务与其客户端之间插入中间件,用于 AI 安全检查、合规日志记录、限速——无需修改服务。

平台自定义

每个用户都可以对 Hoody API 本身进行 MITM,以自定义平台行为——无需 fork 代码库。

主页 / 方法 / 效率与安全 / 撤销
即时撤销

怀疑遭到入侵?删除容器。

每个容器 URL 在容器被删除的瞬间失效。无 DNS 传播,无缓存失效,无需轮换的残余 Token。URL 是攻击面;删除容器即彻底移除攻击面。

DELETE /api/v1/containers/ID

一次 API 调用,使用 JWT 或控制平面 Token 认证。

URL 停止路由

代理立即移除路由条目,主机名即刻返回 404——不是 60 秒后。

分钟内重新部署

创建带新 ID 的新容器,新的 URL。旧 URL 永久失效,无残余凭据需要轮换。

主页 / 方法 / 效率与安全 / 开始
开始

密度与隔离在这里不是权衡。

裸金属。加固内核。加密磁盘。六层防御。第一个容器上,所有这些属性就已成立。

安全指南

另见——/platform/proxy(URL 权限和认证组)、/platform/control-plane(Realm/Token 管理)、/methods/access-network(防火墙 + 出站)。