• IT-Karriere:
  • Services:

Linuxcon und Containercon 2016: Viele Container laufen in einer Sandbox-VM

Container wie von Docker oder CoreOS sind schlank und vielseitig einsetzbar, haben aber immer noch große Probleme mit der Sicherheit. Auf der Linux- und Containercon 2016 zeigt sich, dass viele Anbieter die Container inzwischen wieder in VMs einsperren. Klingt absurd, hat aber Vorteile.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon.
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon. (Bild: Linux Foundation/CC-BY 2.0)

Container sind beliebt, unter anderem weil sie so wenige Ressourcen verbrauchen. Selbst auf bescheideneren Servern lassen sich deutlich mehr Container unterbringen als klassische virtuelle Maschinen (VM). Die Folge ist ein wachsender Industrietrend: Alle wollen Container anbieten, so auch Intel.

Intel ist Vorreiter

Stellenmarkt
  1. Landis+Gyr GmbH, Nürnberg
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Der Anbieter setzt bereits seit 2015 auf Clear Containers, denn "Container sind unglaublich beliebt in der Cloud-Welt", wie es auf der Webseite heißt. Wer genau hinschaut, sieht aber schnell, dass es sich nicht direkt um Container mit Betriebssystem-Virtualisierung handelt, sondern um klassische Hypervisor-basierte virtuelle Maschinen, in denen Container laufen. Ja, das sei ein etwas unglücklich gewählter Name, gibt der Mann am Intel-Stand zu.

Die häufig als Container bezeichneten isolierten Prozesse nutzten Cgroups, Namespaces und weitere Funktionen des Kernels auf dem Hostrechner. Da sich die Container letztlich den Kernel des Hosts teilen, entsteht im Serverbereich ein Sicherheitsrisiko. Nutzt ein bösartiger Containerbetreiber eine Sicherheitslücke im Kernel aus, kann er womöglich auf die anderen Container zugreifen.

Intels Clear Containers stecken deswegen in virtuellen Maschinen, die ein Minimal-OS namens Clearlinux antreibt. Dafür nutzt das Unternehmen die hauseigene Virtualization Technology (VT). Das schützt die Container, erhöht aber auch den Fußabdruck im System. Letzteres sei leider so, erklärt Matthew Garrett, der sich bei Core OS um die Sicherheit kümmert. Wer mehr Sicherheit wolle, müsse mit Leistungseinbußen leben.

Die VM unter dem Container

Containerseitig hat Intel seine Clear-Container-Technologie auch für Rkt implementiert, die Containerlösung von Core OS. Bereits seit Version 0.8, die im August 2015 erschien, gibt es eine alternative Stage 1, die Rkt-Container virtualisiert. Daneben erwähnt Garrett noch die Fly Stage 1, mit der sich Anwendungen auf dem Host mit sämtlichen Privilegien betreiben lassen. Sie bieten also keinerlei Sicherheit. Wer Container jedoch nur intern verwende, ohne Zugang zum Internet, könne durchaus auf die schützenden Sandboxes verzichten, erklärt Garrett.

Auch klassische Virtualisierungsprojekte wie Xen unterstützen die Containerlösung Docker. Laut Community-Manager Lars Kurth bringt der Xenserver das dafür entworfene Mini OS mit, ein winziger OS-Kernel, den das Projekt zusammen mit den Hypervisor-Quellen verteilt. Es dient als Betriebssystem für sogenannte Stub Domains und als Basis für die Entwicklung von Unikerneln. Solche Kernel sind extrem klein und bieten gerade genug Betriebssystemfunktionen für die darauf laufenden Applikationen an.

Zuvor hatte das Xen-Projekt Mirage OS entwickelt, ebenfalls ein Unikernel-basiertes OS. Anfang 2016 allerdings kaufte Docker Unikernel Systems, das für die Entwicklung von Mirage OS zuständig war. Mittlerweile bietet Docker für die Mac-Version seiner Software im Paket mit Hypervisor-Technologie an, die auch Unikernel-Technik nutzt. Konkret startet mit Hyperkit ein leichtgewichtiger Hypervisor, der sich in Apples Hypervisor-Framework von MacOS einklinkt. Er ruft ein eingebettetes Linux auf, das wiederum die aktuelle Version der Docker Engine ausführt. Auch hier kommt also eine eher klassische Virtualisierung zum Einsatz.

Container versus Virtualisierung ist somit vereinfacht eine Entscheidung entweder für Leistung oder für Sicherheit. Ein Vorteil des Virtualisierungsansatzes dürfte sein, dass sich Container einfacher in bestehende Virtualisierungs-Setups integrieren lassen. Matthew Garrett von Core OS sieht den Mischansatz jedenfalls eher pragmatisch. Er glaubt, Container bieten eine Reihe anderer Vorteile, etwa die einfache Distribution, so dass die Performance ein wenig in den Hintergrund treten kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 12,49€
  2. (-43%) 22,99€
  3. 4,99€

abufrejoval 06. Okt 2016

Docker Container wurden primär für das Scale-Out entwickelt und weniger für das...


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Dreams im Test: Bastelwastel im Traumiversum
Dreams im Test
Bastelwastel im Traumiversum

Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
Ein Test von Peter Steinlechner

  1. Ausdiskutiert Sony schließt das Playstation-Forum
  2. Sony Absatz der Playstation 4 geht weiter zurück
  3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

    •  /