Vercel Hive 平台深度解析

主要观点

Vercel 是一家云平台即服务（PaaS）公司，近期发布了其新的底层计算平台 Hive，该平台为其客户的构建任务提供基础设施支持。Hive 自 2023 年 11 月起被用于处理不可信和短暂的计算任务，旨在应对客户需求的增长，同时在多租户环境中保持安全性。

关键信息

1. Hive 的架构：

   • Hive 由多个称为“hive”的区域集群组成，每个集群独立运行，拥有自己的故障边界。

   • 每个集群包含以下关键组件：

     • Boxes：裸金属服务器。
     • Cells：虚拟机（VM）。
     • 控制平面：用于协调任务。
     • 专用 API：每个 Hive 实例都有一个专用的 API。

2. 技术细节：

   • 使用 KVM（基于内核的虚拟机） 和 Firecracker（AWS 开发的微虚拟机）技术，创建安全且隔离的运行环境。
   • 系统通过 Box Daemon 管理资源分配，并通过 Cell Daemons 控制执行客户工作负载的构建容器。

3. 构建流程优化：

   • 通过预热 Cells，大多数构建任务可以立即启动，无需等待虚拟机创建。
   • 构建完成后，Cell 会被销毁，保持平台的短暂性。

4. 安全与隔离：

   • 每个虚拟机分配专用的 CPU 和内存，磁盘和网络吞吐量根据整体容量和 Box 分配进行速率限制。
   • 使用 Linux 网络命名空间和 WireGuard 接口，确保所有 Cell 流量加密并通过安全隧道路由回客户基础设施。

5. 性能提升：

   • 相较于之前的 Fargate 解决方案，Hive 将安全构建的配置时间从 90 秒缩短至 5 秒。
   • 整体构建性能提升了 30%，部分归功于 Docker 镜像缓存优化，启动时间减少了约 45 秒。

6. 未来扩展：

   • Vercel 正在探索将 Hive 扩展到其他业务领域，尽管目前主要用于客户构建任务，但 Hive 被视为一个通用的计算平台，具有广泛的未来应用潜力。

重要细节

• 开发背景：Hive 的开发是为了满足客户需求的增长，同时确保在多租户环境中的安全性。
• 技术选择：Firecracker 作为微虚拟机技术，提供了快速启动（300 毫秒内）和安全隔离的优势。
• 与 Secure Compute 的集成：Hive 与 Vercel 的 Secure Compute 产品集成，支持使用私有网络连接进行敏感构建任务。
• 安全模型：通过 WireGuard 接口和 Linux 网络命名空间，确保所有流量加密并正确路由。

参考与扩展

• YouTube 视频：Codedamn 的 Mehul Mohan 解释了 Hive 的工作流程，强调了其处理不可信代码的能力。
• Sum Of Bytes 文章：Arpit Kumar 讨论了虚拟化技术在无服务器计算中的应用，特别提到 MicroVMs 在安全、隔离和性能之间的平衡。

总结

Vercel 的 Hive 平台通过创新的架构和技术选择，显著提升了构建任务的安全性、性能和效率。随着平台的不断优化和扩展，Hive 有望在更多领域发挥其作为通用计算平台的潜力。