Abo
  • Services:
Anzeige
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon.
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon. (Bild: Linux Foundation/CC-BY 2.0)

Linuxcon und Containercon 2016: Viele Container laufen in einer Sandbox-VM

Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon.
Container sind ein bestimmendes Thema im Linux-Umfeld - das zeigt sich auch an der Deko auf der LinuxCon. (Bild: Linux Foundation/CC-BY 2.0)

Container wie von Docker oder CoreOS sind schlank und vielseitig einsetzbar, haben aber immer noch große Probleme mit der Sicherheit. Auf der Linux- und Containercon 2016 zeigt sich, dass viele Anbieter die Container inzwischen wieder in VMs einsperren. Klingt absurd, hat aber Vorteile.

Container sind beliebt, unter anderem weil sie so wenige Ressourcen verbrauchen. Selbst auf bescheideneren Servern lassen sich deutlich mehr Container unterbringen als klassische virtuelle Maschinen (VM). Die Folge ist ein wachsender Industrietrend: Alle wollen Container anbieten, so auch Intel.

Anzeige

Intel ist Vorreiter

Der Anbieter setzt bereits seit 2015 auf Clear Containers, denn "Container sind unglaublich beliebt in der Cloud-Welt", wie es auf der Webseite heißt. Wer genau hinschaut, sieht aber schnell, dass es sich nicht direkt um Container mit Betriebssystem-Virtualisierung handelt, sondern um klassische Hypervisor-basierte virtuelle Maschinen, in denen Container laufen. Ja, das sei ein etwas unglücklich gewählter Name, gibt der Mann am Intel-Stand zu.

Die häufig als Container bezeichneten isolierten Prozesse nutzten Cgroups, Namespaces und weitere Funktionen des Kernels auf dem Hostrechner. Da sich die Container letztlich den Kernel des Hosts teilen, entsteht im Serverbereich ein Sicherheitsrisiko. Nutzt ein bösartiger Containerbetreiber eine Sicherheitslücke im Kernel aus, kann er womöglich auf die anderen Container zugreifen.

Intels Clear Containers stecken deswegen in virtuellen Maschinen, die ein Minimal-OS namens Clearlinux antreibt. Dafür nutzt das Unternehmen die hauseigene Virtualization Technology (VT). Das schützt die Container, erhöht aber auch den Fußabdruck im System. Letzteres sei leider so, erklärt Matthew Garrett, der sich bei Core OS um die Sicherheit kümmert. Wer mehr Sicherheit wolle, müsse mit Leistungseinbußen leben.

Die VM unter dem Container

Containerseitig hat Intel seine Clear-Container-Technologie auch für Rkt implementiert, die Containerlösung von Core OS. Bereits seit Version 0.8, die im August 2015 erschien, gibt es eine alternative Stage 1, die Rkt-Container virtualisiert. Daneben erwähnt Garrett noch die Fly Stage 1, mit der sich Anwendungen auf dem Host mit sämtlichen Privilegien betreiben lassen. Sie bieten also keinerlei Sicherheit. Wer Container jedoch nur intern verwende, ohne Zugang zum Internet, könne durchaus auf die schützenden Sandboxes verzichten, erklärt Garrett.

Auch klassische Virtualisierungsprojekte wie Xen unterstützen die Containerlösung Docker. Laut Community-Manager Lars Kurth bringt der Xenserver das dafür entworfene Mini OS mit, ein winziger OS-Kernel, den das Projekt zusammen mit den Hypervisor-Quellen verteilt. Es dient als Betriebssystem für sogenannte Stub Domains und als Basis für die Entwicklung von Unikerneln. Solche Kernel sind extrem klein und bieten gerade genug Betriebssystemfunktionen für die darauf laufenden Applikationen an.

Zuvor hatte das Xen-Projekt Mirage OS entwickelt, ebenfalls ein Unikernel-basiertes OS. Anfang 2016 allerdings kaufte Docker Unikernel Systems, das für die Entwicklung von Mirage OS zuständig war. Mittlerweile bietet Docker für die Mac-Version seiner Software im Paket mit Hypervisor-Technologie an, die auch Unikernel-Technik nutzt. Konkret startet mit Hyperkit ein leichtgewichtiger Hypervisor, der sich in Apples Hypervisor-Framework von MacOS einklinkt. Er ruft ein eingebettetes Linux auf, das wiederum die aktuelle Version der Docker Engine ausführt. Auch hier kommt also eine eher klassische Virtualisierung zum Einsatz.

Container versus Virtualisierung ist somit vereinfacht eine Entscheidung entweder für Leistung oder für Sicherheit. Ein Vorteil des Virtualisierungsansatzes dürfte sein, dass sich Container einfacher in bestehende Virtualisierungs-Setups integrieren lassen. Matthew Garrett von Core OS sieht den Mischansatz jedenfalls eher pragmatisch. Er glaubt, Container bieten eine Reihe anderer Vorteile, etwa die einfache Distribution, so dass die Performance ein wenig in den Hintergrund treten kann.


eye home zur Startseite
abufrejoval 06. Okt 2016

Docker Container wurden primär für das Scale-Out entwickelt und weniger für das...



Anzeige

Stellenmarkt
  1. Automotive Safety Technologies GmbH, Gaimersheim
  2. mobileX AG, München
  3. T-Systems International GmbH, München
  4. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. 543,73€
  3. (Core i5-7600K + Asus GTX 1060 Dual OC)

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Machen wir doch mal die Probe aufs Exempel

    GenXRoad | 04:03

  2. Re: Boah Heiko halt doch endlich deine dumme Fresse

    narfomat | 02:57

  3. Re: Unangenehme Beiträge hervorheben statt zu...

    klaus9999 | 02:44

  4. Warum?

    NeoXolver | 02:38

  5. Re: Jeder redet über FB-Mitarbeiter - keiner über...

    klaus9999 | 01:55


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel