Abo
  • Services:
Anzeige
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon.
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon. (Bild: Linux Foundation/CC-BY 2.0)

Linuxcon und Containercon 2016: Viele Container laufen in einer Sandbox-VM

Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon.
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon. (Bild: Linux Foundation/CC-BY 2.0)

Container wie von Docker oder CoreOS sind schlank und vielseitig einsetzbar, haben aber immer noch große Probleme mit der Sicherheit. Auf der Linux- und Containercon 2016 zeigt sich, dass viele Anbieter die Container inzwischen wieder in VMs einsperren. Klingt absurd, hat aber Vorteile.

Container sind beliebt, unter anderem weil sie so wenige Ressourcen verbrauchen. Selbst auf bescheideneren Servern lassen sich deutlich mehr Container unterbringen als klassische virtuelle Maschinen (VM). Die Folge ist ein wachsender Industrietrend: Alle wollen Container anbieten, so auch Intel.

Anzeige

Intel ist Vorreiter

Der Anbieter setzt bereits seit 2015 auf Clear Containers, denn "Container sind unglaublich beliebt in der Cloud-Welt", wie es auf der Webseite heißt. Wer genau hinschaut, sieht aber schnell, dass es sich nicht direkt um Container mit Betriebssystem-Virtualisierung handelt, sondern um klassische Hypervisor-basierte virtuelle Maschinen, in denen Container laufen. Ja, das sei ein etwas unglücklich gewählter Name, gibt der Mann am Intel-Stand zu.

Die häufig als Container bezeichneten isolierten Prozesse nutzten Cgroups, Namespaces und weitere Funktionen des Kernels auf dem Hostrechner. Da sich die Container letztlich den Kernel des Hosts teilen, entsteht im Serverbereich ein Sicherheitsrisiko. Nutzt ein bösartiger Containerbetreiber eine Sicherheitslücke im Kernel aus, kann er womöglich auf die anderen Container zugreifen.

Intels Clear Containers stecken deswegen in virtuellen Maschinen, die ein Minimal-OS namens Clearlinux antreibt. Dafür nutzt das Unternehmen die hauseigene Virtualization Technology (VT). Das schützt die Container, erhöht aber auch den Fußabdruck im System. Letzteres sei leider so, erklärt Matthew Garrett, der sich bei Core OS um die Sicherheit kümmert. Wer mehr Sicherheit wolle, müsse mit Leistungseinbußen leben.

Die VM unter dem Container

Containerseitig hat Intel seine Clear-Container-Technologie auch für Rkt implementiert, die Containerlösung von Core OS. Bereits seit Version 0.8, die im August 2015 erschien, gibt es eine alternative Stage 1, die Rkt-Container virtualisiert. Daneben erwähnt Garrett noch die Fly Stage 1, mit der sich Anwendungen auf dem Host mit sämtlichen Privilegien betreiben lassen. Sie bieten also keinerlei Sicherheit. Wer Container jedoch nur intern verwende, ohne Zugang zum Internet, könne durchaus auf die schützenden Sandboxes verzichten, erklärt Garrett.

Auch klassische Virtualisierungsprojekte wie Xen unterstützen die Containerlösung Docker. Laut Community-Manager Lars Kurth bringt der Xenserver das dafür entworfene Mini OS mit, ein winziger OS-Kernel, den das Projekt zusammen mit den Hypervisor-Quellen verteilt. Es dient als Betriebssystem für sogenannte Stub Domains und als Basis für die Entwicklung von Unikerneln. Solche Kernel sind extrem klein und bieten gerade genug Betriebssystemfunktionen für die darauf laufenden Applikationen an.

Zuvor hatte das Xen-Projekt Mirage OS entwickelt, ebenfalls ein Unikernel-basiertes OS. Anfang 2016 allerdings kaufte Docker Unikernel Systems, das für die Entwicklung von Mirage OS zuständig war. Mittlerweile bietet Docker für die Mac-Version seiner Software im Paket mit Hypervisor-Technologie an, die auch Unikernel-Technik nutzt. Konkret startet mit Hyperkit ein leichtgewichtiger Hypervisor, der sich in Apples Hypervisor-Framework von MacOS einklinkt. Er ruft ein eingebettetes Linux auf, das wiederum die aktuelle Version der Docker Engine ausführt. Auch hier kommt also eine eher klassische Virtualisierung zum Einsatz.

Container versus Virtualisierung ist somit vereinfacht eine Entscheidung entweder für Leistung oder für Sicherheit. Ein Vorteil des Virtualisierungsansatzes dürfte sein, dass sich Container einfacher in bestehende Virtualisierungs-Setups integrieren lassen. Matthew Garrett von Core OS sieht den Mischansatz jedenfalls eher pragmatisch. Er glaubt, Container bieten eine Reihe anderer Vorteile, etwa die einfache Distribution, so dass die Performance ein wenig in den Hintergrund treten kann.


eye home zur Startseite
abufrejoval 06. Okt 2016

Docker Container wurden primär für das Scale-Out entwickelt und weniger für das...



Anzeige

Stellenmarkt
  1. kubus IT GbR, Dresden
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  4. IS4IT GmbH, Oberhaching


Anzeige
Spiele-Angebote
  1. 40,99€
  2. 6,99€
  3. (-66%) 16,99€

Folgen Sie uns
       


  1. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  2. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  3. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  4. Hashfunktion

    Der schwierige Abschied von SHA-1

  5. Cyberangriff auf Bundestag

    BSI beschwichtigt und warnt vor schädlichen Werbebannern

  6. Equal Rating Innovation Challenge

    Mozilla will indische Dörfer ins Netz holen

  7. Firmenstrategie

    Intel ernennt Strategiechefin und gründet AI-Gruppe

  8. APFS unter iOS 10.3 im Test

    Schneller suchen und ein bisschen schneller booten

  9. Starship Technologies

    Domino's liefert in Hamburg Pizza per Roboter aus

  10. Telekom Stream On

    Gratis-Flatrate für Musik- und Videostreaming geplant



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gesetzesentwurf: Ein Etikettenschwindel bremst das automatisierte Fahren aus
Gesetzesentwurf
Ein Etikettenschwindel bremst das automatisierte Fahren aus
  1. E-Mail-Lesen erlaubt Koalition bessert Gesetz zum automatisierten Fahren nach
  2. Autonomes Fahren Uber stoppt nach Unfall Versuch mit selbstfahrenden Taxis
  3. Tesla Autopilot Root versichert autonom fahrende Autos

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

  1. Re: Scheint so als würde denen das Geld langsam...

    plutoniumsulfat | 16:31

  2. Re: Aber das ZDF darf das

    Marcus1964 | 16:31

  3. Re: Schade. Anime Tipps?

    countzero | 16:30

  4. Re: Endlich wird aufgeräumt

    throgh | 16:29

  5. Re: Ein Hoch auf die Adblocker

    GnomeEu | 16:28


  1. 16:49

  2. 15:55

  3. 15:27

  4. 15:22

  5. 13:59

  6. 12:45

  7. 12:30

  8. 12:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel