Linux tabanlı sistemlerde güvenlik ve yalıtımı bir adım öteye taşımak isteyen geliştiriciler için Nucleus, yeni bir konteyner çalıştırma ortamı sunuyor. Rust dilinde tek bir ikili dosya olarak geliştirilen bu araç, Docker'ın aksine dağıtım ve katman yönetimine odaklanmak yerine, ephemeral AI ajanları ve NixOS servisleri için optimize edilmiş bir yapıya sahip.
Nucleus'un temel tasarım hedefi, güvenlik ve tekrarlanabilirliği en üst düzeye çıkarmak. Bu doğrultuda, Docker'ın sunduğu birçok özellikten feragat edilerek, izolasyon mekanizmaları derinleştirilmiş. Örneğin, konteynerlerin kök dosya sistemi, geçici bellek (tmpfs) üzerine kopyalanabiliyor ya da Nix tarafından inşa edilmiş, salt okunur kapanımlar halinde monte edilebiliyor. Bu yaklaşım, özellikle güvenlik gerektiren ya da geçici çalıştırılacak iş yükleri için ideal bir çözüm sunuyor.
Güvenlik Odaklı Mimaride Derinlemesine İzolasyon
Nucleus'un güvenlik modeli, çok katmanlı bir savunma stratejisine dayanıyor. Varsayılan olarak tüm yetenekler devre dışı bırakılırken, yalnızca ~100 sistem çağrısı (syscall) için izin verilen bir liste sunuluyor — bu sayı Docker'ın yaklaşık 300 olan listesine kıyasla oldukça sınırlı. Ayrıca, zaman ve cgroup ad alanları da dahil olmak üzere 8'e kadar ad alanı kullanımı destekleniyor. Landlock LSM aracılığıyla da her servis için özel yol tabanlı erişim denetim listeleri oluşturulabiliyor.
Dışa yönelik ağ trafiği de varsayılan olarak engelleniyor. Sadece belirli CIDR blokları ya da DNS tarafından çözümlenen alan adları için ihtiyaç duyulan bağlantılar açık bırakılıyor. Bu kural, ad alanı düzeyindeki iptables kurallarıyla uygulanıyor. Güvenlik politikaları da şifreli hash değerleriyle doğrulanabiliyor; seccomp, yetenekler ve Landlock profilleri ayrı dosyalarda saklanıyor ve SHA-256 imzalarıyla doğrulanıyor.
gVisor Entegrasyonu ve NixOS Uyumu
Nucleus'un dikkat çekici özelliklerinden biri de gVisor'un birinci sınıf bir şekilde entegre edilmiş olması. Bu sayede, konteynerlerin çalıştırılması sırasında gVisor'un sunduğu izolasyon katmanlarından doğrudan faydalanılabiliyor. Ayrıca, ağ modları arasında özel bir "gvisor-host" modu da bulunuyor. Bu mod, yerel ağa doğrudan bağlantı kurmaktan farklı olarak, host ağından tamamen ayrışmış bir şekilde çalışıyor.
Üretim ortamlarında Nucleus, NixOS'un bildirimsel yapısına sıkı bir şekilde entegre oluyor. nucleus.lib.mkRootfs fonksiyonu, kilitli kapanımlar oluştururken, her dosya için SHA-256 imzalarını içeren bir manifest kullanarak doğrulama yapıyor. Bu yaklaşım, sistemin çalıştırılmadan önce bütünlüğünün garanti altına alınmasını sağlıyor. Nucleus, ayrıca NixOS modül sistemiyle tam uyumlu olarak çalışıyor.
Doğrulama ve Performans Testleri
Güvenlik ve doğruluğu sağlamak amacıyla Nucleus, TLA+ spesifikasyonları kullanılarak formal olarak doğrulanmış durumda. Apalache aracıyla yapılan doğrulama sürecinin yanı sıra, Rust implementasyonu da özellik tabanlı testlerle test ediliyor. Bu testler, spesifikasyonlara uygunluğu sağlamak için geliştirilmiş.
Performans açısından Nucleus, soğuk başlangıç süresinde yaklaşık 12 milisaniyelik bir gecikme sunuyor. Bu, yerel çalıştırma ortamlarına oldukça yakın bir performans anlamına geliyor. Ayrıca, Nucleus üzerinde yapılan PostgreSQL 18 pgbench testlerinde, bare metal performansına oldukça yakın sonuçlar elde edilmiş durumda.
Sınırlamalar ve Gelecek Yol Haritası
Her ne kadar Nucleus birçok avantaj sunsa da, bazı sınırlamaları da beraberinde getiriyor. Öncelikle, yalnızca Linux x86_64 mimarisi destekleniyor; macOS, Windows ya da BSD sistemlerinde çalıştırılması mümkün değil. Ayrıca, CNI, overlay ağları ya da küme orkestrasyonu gibi özellikler sunulmuyor. Nucleus Compose, sistem düzeyinde çalışan bir TOML DAG yapısı sunarken, Swarm ya da Kubernetes gibi platformlarla doğrudan entegrasyon sunmuyor.
Depolama alanına gelince, Nucleus varsayılan olarak ephemeral (geçici) depolama kullanıyor. Kalıcı veriler içinse, --volume bayrağıyla açıkça belirtilmiş bağlamalar gerekiyor. Güvenlik seviyesini artırmak isteyen kullanıcılar için --service-mode strict-agent seçeneğiyle ya da uzun ömürlü servisler için üretim modunu kullanmaları öneriliyor.
Nucleus, şu anda geliştirme aşamasında olan bir proje olarak öne çıkıyor. Gelecekte, daha fazla mimari desteği ve ek özelliklerin eklenmesi planlanıyor. Özellikle, güvenlik odaklı konteyner çalıştırma ihtiyacı olan kullanıcılar için Nucleus'un sunduğu izolasyon ve doğrulama özellikleri, dikkate değer bir alternatif oluşturuyor.
Yapay zeka özeti
Nucleus, NixOS entegrasyonu ile güvenlik ve yalıtımı öne çıkaran hafif bir konteyner çalıştırma runtime'ı. Ephemeral AI ajanları ve NixOS servisleri için optimize edilmiş.
