Abo
  • IT-Karriere:

Railcar: Oracle veröffentlicht Container-Runtime und Debugger in Rust

Mit Railcar veröffentlicht Oracle auf Github eine Rust-Implementierung des OCI-Runtime-Spec. Crashcart ist ein Microcontainer Debugging Tool. Orcale bietet damit Alternativen zu den Diensten von Docker oder CoreOS.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Oracle baut sich eigene Container-Werkzeuge.
Oracle baut sich eigene Container-Werkzeuge. (Bild: Roy Luck, flickr.com/CC-BY 2.0)

Das neue Open-Source-Projekt Railcar von Oracle ähnelt der Referenzimplementierung der Container-Runtime von Runc, ist aber komplett in Rust geschrieben. Das soll für Speichersicherheit sorgen und ermöglicht es den Programmierern, sich nicht erst mit Garbage Collection und Multithreading beschäftigen zu müssen.

Stellenmarkt
  1. Ryte GmbH, München
  2. Zweckverband Bodensee-Wasserversorgung, Stuttgart

Oracle hat sich für diese Software entschieden, weil Go Probleme im Umgang mit Linux Namespaces hat und C nicht sicher genug ist. Rust bewegt sich zwischen beiden, erlaubt eine weitgehende Kontrolle über das Threading und kommt so auch mit Namespaces zurecht.

Das ebenfalls von Oracle vorgestellte Crashcart ermöglicht es hingegen, ein Image mit Linux-Binärdateien in einen Container zu laden. Ein Builder, der als privilegierter Container läuft, erzeugt aus einem Dockerfile ein crashcart_builder-Image. Den privilegierten Container braucht es, weil Crashcart das Image per Loopback-Mount auf Ext 3 erzeugt und dann Dateien hineinkopiert. Beim Erststart braucht das Image einige Zeit, weil im Hintergrund der Nix-Paketmanager die Binaries aus dem Quellcode erzeugt. Anschließend kann der User seine Binaries in einem Container seiner Wahl verwenden, zum Beispiel für Analysezwecke.

Oracle beschreibt auch die Herausforderungen beim Implementieren von Railcar. Probleme bereite es demnach unter anderem, ein Backend zur Zusammenarbeit mit Docker zu überreden, weil so viele verschiedene Prozesse involviert seien, was Debugging erschwere. Die Spezifikation sei zudem nicht vollständig, denn Containerd und Runc unterstützen bestimmte wichtige Aufrufe, die nicht in der Spezifikation stehen. Auch an anderen Stellen folgt das Duo nicht exakt der Spezifikation. So sollte ein zweifaches Löschen von Containern eine Fehlermeldung ausgeben, was nicht der Fall ist. Auch die Implementierung der Pre- und Poststart-Hooks sei nicht ganz einfach gewesen, wohl auch, weil die Spezifikation noch recht jung sei.

Nicht zuletzt gibt es Abweichungen von Runc: So erzeugt Railcar stets einen Initprozess, um Merkwürdigkeiten im Umgang mit Namespaces und PIDs zu umgehen. Mögliche ungewisse Auswirkungen könnte diese Entscheidung auf Stdout und Stderr haben, wenn man Railcar ohne Terminal betreibt, schreiben die Entwickler in einem begleitenden Blogpost. Dieses Problem wolle man als nächstes angehen, auch um Railcar kompatibler zu Runc zu machen. Ansonsten fehlt Railcar noch das stats-Kommando, automatische Tests gegen neuere Spec-Versionen stehen auch auf dem Fahrplan.

Insgesamt sei man aber sehr zufrieden mit der Wahl von Rust für das Projekt. Anders als Go habe man für die Rust-Implementierung keine C-Code-Injektion benötigt und man sei sehr zuversichtlich, was die Speichersicherheit von Railcar angehe. Die Startzeit für Container sei gut, hier bremse aber tatsächlich der Kernel: Das Anlegen von Cgroups und Network Namespaces sei das größte Hinderniss in dem Konstrukt. Sowohl Railcar als auch Crashcart stehen jeweils unter zwei Lizenzen, der Universal Permissive License (UPL) 1.0 und der Apache-Lizenz 2.0 und lassen sich auf Github herunterladen.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 0,49€
  3. 2,99€

Biterolf 06. Jul 2017

Und ich dachte, ich bin der einzige der so bekloppt denkt. Mehr Rust ist dann aber doch...


Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


        •  /