Microsoft kondigt Hyperlight Wasm aan. Dit is een uitbreiding op het open-sourceproject Hyperlight.
Waar Hyperlight oorspronkelijk werd gepresenteerd als een ingebedde virtuele machine-manager voor kleine, veilige workloads, brengt Hyperlight Wasm nu ondersteuning voor WebAssembly-componenten in dit model. De software is inmiddels vrij beschikbaar als open-source op GitHub en werkt op Windows, Linux en macOS.
Hyperlight Wasm is ontworpen om WebAssembly (Wasm)-modules uit te voeren binnen een lichtgewicht, virtuele sandbox. Hierdoor kunnen applicaties op veilige wijze externe of onbetrouwbare Wasm-code draaien met minimale latentie en overhead. In plaats van een volledig besturingssysteem te laden, biedt Hyperlight alleen een geheugenbereik en een CPU aan de VM-guest. Dit maakt het systeem extreem snel, maar vraagt ook om andere vormen van compatibiliteit.
Developers kunnen bestaande toolchains gebruiken
Om die compatibiliteit te vergroten, maakt Hyperlight Wasm gebruik van WASI (WebAssembly System Interface) en het WebAssembly Component Model. Deze standaarden zorgen ervoor dat code uit allerlei programmeertalen binnen deze lichtgewicht VM kan draaien, mits gecompileerd naar het juiste wasm-doel. Dit betekent dat ontwikkelaars hun bestaande toolchains kunnen blijven gebruiken om applicaties te bouwen die nu ook draaien binnen Hyperlight-micro-VMs.
De Hyperlight Wasm-guest is sterk geïntegreerd met de populaire wasmtime runtime. Hierdoor kan code die voor wasmtime is gebouwd, ook zonder aanpassing draaien in Hyperlight. Denk hierbij aan toepassingen gebouwd met Rust, Python, JavaScript, C#, of andere talen die een Wasm-runtime kunnen inpakken. Zo bestaat er bijvoorbeeld al een JS-runtime genaamd StarlingMonkey, speciaal voor WebAssembly.
Meerdere beveiligingslagen
De combinatie van Hyperlight en WebAssembly biedt niet alleen snelheid, maar ook extra beveiligingslagen. Omdat Hyperlight Wasm bovenop een hypervisor draait én WebAssembly’s sandboxing gebruikt, krijgen aanvallers te maken met twee afzonderlijke beveiligingslagen. Zelfs als de sandbox wordt doorbroken, biedt de onderliggende VM extra bescherming.
Daarnaast zijn de prestaties sterk. Waar traditionele VM’s ongeveer 125 milliseconden nodig hebben om op te starten, draait Hyperlight Wasm een workload in 1 tot 2 milliseconden. In de toekomst mikt men op minder dan 1 milliseconde. Deze efficiëntie maakt het mogelijk om workloads dichter bij de gebruiker te plannen, zonder idle instanties. Dit vormt ook de basis voor toekomstige toepassingen zoals Azure Front DoorEdge Actions, die binnenkort in private preview gaat.