Container: CoreOS setzt mit rkt 1.0 weiter auf Sicherheit

Die Linux-Distribution CoreOS hat nach etwas über einem Jahr Entwicklung ihre Container-Runtime rkt in der ersten stabilen Version 1.0 herausgegeben. Im Dezember 2014 hatte Alex Polvi, einer der Gründer und derzeitiger CEO von CoreOS, medienwirksam den ersten Prototyp(öffnet im neuen Fenster) von rkt vorgestellt. In der Ankündigung(öffnet im neuen Fenster) machte Polvi keinen Hehl daraus, dass er die bis dahin von CoreOS verwendete Docker-Runtime nicht für ausreichend sicher halte, da Docker unter anderen Kritikpunkten damals Root-Rechte benötigte.

Wie Docker auch ist rkt ein Kommandozeilentool zum Starten, Stoppen und Verwalten von Containern. Es folgt die Appcontainer-Spezifikation(öffnet im neuen Fenster) (appc), die das Format App Container Images (ACI) unterstützt. Mit Quay(öffnet im neuen Fenster) liefert CoreOS zudem ein Werkzeug aus, um beliebige Container-Images nach ACI zu überführen. Rkt 1.0 bleibt auch kompatibel zum Docker-Image-Format.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Barrierefreiheit – BFSG, WCAG & Co: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Exklusiv: Modern Desktop Administrator - Sicherheit und Compliance mit Microsoft Intune (E-Learning)

zum Kurs

CoreOS meldet für Version 1.0 stabile Schnittstellen, deren künftige Änderungen abwärtskompatibel sind und gegen die ab jetzt sicher entwickelt werden kann. In Sachen Sicherheit bietet rkt signierte und überprüfte App-Container-Images sowie Trennung von Privilegien. Es bietet Unterstützung für SELinux(öffnet im neuen Fenster) und TPM(öffnet im neuen Fenster) und kann Container mittels KVM(öffnet im neuen Fenster) isolieren.

Basierend auf Intels Clear-Container-Technologie(öffnet im neuen Fenster) und LKVM(öffnet im neuen Fenster) kann rkt zudem Container in eine virtuelle Maschine mit voller Isolation starten anstatt, wie üblich, einen Container unter Verwendung von Cgroups und Namespaces(öffnet im neuen Fenster) zu erstellen. Rkt benötigt keinen ständig im Hintergrund laufenden Daemon und arbeitet mit gängigen Init-Systemen wie Systemd oder Upstart zusammen.

Der Quellcode von rkt kann von Github(öffnet im neuen Fenster) heruntergeladen werden.

• Anzeige Hier geht es zu Docker: Das Praxisbuch für Entwickler und DevOps-Teams bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.