Container: Kubernetes 1.24 entfernt endgültig Docker-Support

Die Container-Orchestrierung Kubernetes ist in Version 1.24 erschienen. Damit setzt das Entwicklungsteam eine Funktion um, die seit Jahren vorbereitet wird: Die direkte Unterstützung für die Docker Engine wird beendet. Konkret bedeutet das, dass die bisher gepflegte Zwischenschicht Dockershim nicht mehr unterstützt und entfernt wird. Angekündigt hatten die Beteiligten den Schritt bereits Ende 2020.

Obwohl Kubernetes anfangs als Orchestrierung von Docker-Containern erstellt wurde, ist der nun umgesetzte Schritt letztlich wenig überraschend. Begonnen haben die Arbeiten im Grunde mit der Gründung des Moby-Projekts durch Docker, das die Software selbst in viele kleinere Komponenten aufgeteilt hat, und einer daraus folgenden Differenzierung dieser Teile.

Darüber hinaus steht die alternative Container-Laufzeitumgebung Containerd zur Verfügung, die das Kubernetes-Projekt bereits seit dem Frühjahr 2018 offiziell zur Nutzung unterstützt statt des deutlich größeren Docker-Daemons. Suse verzichtet in seiner Kubernetes-Distribution Kubic schon länger auf Docker. Auch Red Hat setzt in Openshift auf die Alternative CRI-O. Standardmäßig genutzt wird damit nur noch die CRI genannte Schnittstelle, so dass sich der Pflegeaufwand verringert.

Das Kubernetes-Team empfiehlt zu überprüfen, ob beim Kubernetes-Einsatz überhaupt noch eine Abhängigkeit zu Docker besteht und stellt für diesen Fall eine Migrationsanleitung bereit. In einer FAQ klärt das Team außerdem weitere Fragen. Das Support-Ende durch Kubernetes heißt aber nicht, dass die Docker Engine nicht mehr mit Kubernetes genutzt werden kann. Dafür sorgt eine Kooperation von Docker und Mirantis, die das Geschäft mit Docker-Enterprise übernommen haben. Der Code soll außerhalb von Kubernetes gepflegt werden und eine CRI-konforme Schnittstelle für die Docker-Engine-API bereit stellen. Der Code steht auf Github.

Beta-Experimente in Kubernetes

Mit der aktuellen Version 1.24 ändert das Kubernetes-Team außerdem seine Herangehensweise zur Aktivierung neuer, aber noch in Entwicklung befindlicher Funktionen. Bisher wurden als Beta-Version eingeführte neue APIs standardmäßig aktiviert. Das wird künftig nicht mehr umgesetzt. Für bereits als Beta veröffentlichte APIs soll das aber nicht gelten. Das Team testet darüber hinaus die Umsetzung der OpenAPI v3 als Beta-Version, ebenso wie die gRPC-Probes.

Neu ist auch, dass Kubernetes nun standardmäßig seine Release-Artifacts signiert und unterstützt eine experimentelle Funktion, um signierte Abbilder zu verifizieren. Die Arbeiten daran stellt die Community in einen größeren Zusammenhang zum Absichern der Software-Supply-Chain.