2 ფოტო — დააჭირე გასადიდებლად
EnvironmentI/O MethodAvg TPSAvg Latency
Baremetalworker100,2220.080 ms
Baremetalio_uring84,8950.096 ms
Nucleusworker105,9650.075 ms
Nucleusio_uring107,0390.074 ms
CapabilityDockerNucleus
Root filesystemLayered image (union mount)tmpfs directory (agent) or Nix closure (production)
Images / Dockerfile / registryYesNo — no images, layers, pull/push, or OCI image spec
Persistent storageNamed volumes + storage driversEphemeral tmpfs; persistence only via explicit --volume binds
Architecturedockerd daemon + socket APISingle binary, direct fork/exec; detached = systemd transient unit
NetworkingCNI plugins, overlay networksnone / host / bridge only
OrchestrationCompose, Swarmnucleus compose (single-host TOML DAG over systemd)
Default egressAllow-all outboundDeny-by-default; allow per CIDR/domain via namespace iptables
Filesystem ACLsAppArmor/SELinux profilesLandlock LSM, per-service, irreversible
gVisorOptional add-on runtimeFirst-class integrated runtime with explicit network modes
Security policiesBundled defaultsExternalized seccomp/caps/Landlock, SHA-256 pinned + trace-generated
ReproducibilityImage digestsNix closures, rootfs attestation, first-class NixOS module
VerificationTLA+ specs + model-based tests across subsystems
Default hardening~300 syscalls, some caps keptAll caps dropped, small seccomp allowlist, up to 8 namespaces
EnvironmentI/O MethodAvg TPSAvg Latency
Baremetalworker1,4905.38 ms
Baremetalio_uring1,3825.79 ms
Nucleusworker1,7574.55 ms
Nucleusio_uring1,5855.05 ms
RuntimeStartup Time
Nucleus12 ms
Docker~500 ms
ModeBehavior
bind-rwBind mount the host path read-write at /workspace (default).
bind-roBind mount the host path read-only at /workspace.
copy-in-outCopy the host path into a private staging directory, run against that staged tree, then sync changes back after exit.

ტექნოლოგიურმა საზოგადოებამ წარადგინა Nucleus — მინიმალისტური და უსაფრთხო კონტეინერების გარემო, რომელიც სპეციალურად Linux-ის სისტემებისთვისაა შექმნილი. ინსტრუმენტი მიზნად ისახავს ტრადიციული კონტეინერების გარემოსთვის დამახასიათებელი გადატვირთულობის შემცირებას და უსაფრთხოების ფენების გაძლიერებას.

Nucleus-ის მთავარი უპირატესობა მისი დეკლარაციული მოდელია. Nix-ის ეკოსისტემასთან მჭიდრო ინტეგრაციის წყალობით, დეველოპერებს შეუძლიათ სერვისების კონფიგურაცია წინასწარ განსაზღვრონ, რაც პროცესს უფრო სტაბილურს და აუდიტირებადს ხდის.

მუშაობის რეჟიმები და შესაძლებლობები

პლატფორმა სამ ძირითად რეჟიმს გვთავაზობს, რომლებიც სხვადასხვა ტიპის დატვირთვაზეა მორგებული:

  • Agent mode: სწრაფი სტარტის მქონე იზოლირებული გარემო AI აგენტებისთვის.
  • Strict agent mode: უსაფრთხოების მაღალი სტანდარტების მქონე რეჟიმი, რომელიც გამორიცხავს დაუცველ კომპონენტებს.
  • Production mode: მკაცრად იზოლირებული გარემო ხანგრძლივი სერვისებისთვის, რომელიც სრულად ეყრდნობა Nix-ის კონფიგურაციას.

სისტემა იყენებს Linux-ის ბირთვის მექანიზმებს, როგორიცაა namespaces, cgroups v2, seccomp და Landlock, რაც უზრუნველყოფს მყარ იზოლაციას ვირტუალური მანქანების ზედმეტი ხარჯების გარეშე. PostgreSQL-ის ტესტებში Nucleus-მა აჩვენა შესრულების მაჩვენებლები, რომლებიც თითქმის უტოლდება "bare-metal" სერვერების სიჩქარეს.

FeatureAgent ModeStrict Agent ModeProduction Mode
Service mode--service-mode agent (default)--service-mode strict-agent (alias: --service-mode mitos-agent)--service-mode production
Degraded securityAllowed with flagForbiddenForbidden
Chroot fallbackAllowed with flagForbiddenForbidden
Host networkingAllowed with flagNative host forbidden; gvisor-host allowed with gVisor + explicit opt-inNative host forbidden; gvisor-host allowed with gVisor + explicit opt-in
Cgroup limitsBest-effortRequired (fatal on create/apply failure)Required (fatal on create/apply failure)
Bridge DNSDefaults to 8.8.8.8/8.8.4.4Must be configured explicitlyMust be configured explicitly
RootfsHost bind mounts unless --rootfs or --agent-toolchain-rootfs is suppliedHost bind mounts unless --rootfs or --agent-toolchain-rootfs is suppliedPre-built Nix closure (--rootfs)
WorkspaceOptional /workspace; bind/copy-in-out for agentsOptional /workspace; bind/copy-in-out for agentsOptional, non-executable unless read-only or policy-specific
Egress policyOptionalOptionalDeny-all default where enforceable; unavailable with gvisor-host
Memory limitOptionalOptionalRequired
PID 1 initDirect execDirect execMini-init with zombie reaping + signal forwarding
Workload uid/gidRoot by defaultUser namespace remapping required when running as host rootConfigurable post-setup drop via --user / --group
SecretsIn-memory tmpfsIn-memory tmpfsIn-memory tmpfs with volatile zeroing
/procMounted normallyMounted normallyhidepid=2 (hides other processes)
Mount auditSkippedSkippedPost-setup flag verification (fatal)
Seccomp trace modeAllowedForbiddenForbidden
Landlock ABIBest-effortFull enforcement required on nativeV3 minimum required
Health checksOptionalOptionalOptional
sd_notifyOptionalOptionalOptional
Security policiesOptionalOptionalOptional (recommended)

Nucleus არ არის Docker-ის პირდაპირი ჩამნაცვლებელი. ის არ მუშაობს ტრადიციული იმიჯების ან რეესტრების კონცეფციით. პირიქით, მისი მიზანია უზრუნველყოს უსაფრთხო, აუდიტირებადი და რეპროდუცირებადი გარემო იქ, სადაც სტანდარტული კონტეინერიზაციის მეთოდები არასაკმარისია.

--nat-backendWhen usedImplementation
autoDefaultKernel bridge/veth/iptables when privileged, slirp4netns userspace NAT when rootless
kernelExplicit opt-inKernel bridge + veth + iptables MASQUERADE/DNAT
userspaceExplicit opt-inslirp4netns userspace NAT + API-socket port forwarding

პროექტი ორიენტირებულია NixOS-ის მომხმარებლებზე და მათზე, ვისაც სჭირდება სერვისების დეკლარაციული მართვა. ინტეგრირებული OpenTelemetry-ის მხარდაჭერა და სტრუქტურირებული აუდიტის ჟურნალები მას მიმზიდველს ხდის სისტემური ადმინისტრატორებისთვის, რომლებიც უსაფრთხოებას პრიორიტეტად მიიჩნევენ.

Container --networkgVisor --network flagDescription
nonenoneFully isolated (default for agents)
bridgehostNucleus prepares a bridge/userspace NAT namespace, then runsc inherits it
gvisor-hosthostgVisor hostinet mode; omits the OCI network namespace and requires --allow-host-network