Open Source im professionellen Einsatz
Linux-Magazin 12/2016
Bild: Kristian Kißling, Linux-Magazin

Bild: Kristian Kißling, Linux-Magazin

Linuxcon und Containercon Europe 2016

Container Love

Auf der Linuxcon Europe Mitte Oktober in Berlin traf das Linux-Magazin unter anderem Kernelentwickler Greg Kroah-Hartman. Die Arbeit an Linux funktioniere nachhaltig, gab er zu Protokoll. Auf der zeitgleich stattfindenden Containercon kristallisierte sich als neue Vorliebe heraus, Container in schlanke VMs einzusperren.

462

Die Arbeit an Linux sei im Grunde meist egoistisch, erklärte Greg Kroah-Hartman am Rande der Veranstaltung im Hotel Intercontinental gegenüber dem Linux-Magazin. Der Reporter hatte gefragt, ob Linux nicht zu sehr den Bedürfnissen großer Unternehmen wie Red Hat folge. Der Entwickler sieht eher eine "symbiotische Beziehung", schließlich wollen alle Seiten, dass ihre Geräte laufen.

Wie ist es denn um den Nachwuchs bestellt? Auch hier sieht Greg Kroah-Hartman (Abbildung 1) keinen Notstand. An den Universitäten arbeiten Studierende mit Linux, auch Schulen setzen es mittlerweile ein. An jeder neuen Release arbeiten laut Kroah-Hartman etwa 200 neue Entwickler mit, Googles "Summer of Code" helfe ebenfalls.

Abbildung 1: Greg Kroah-Hartman hält das Entwicklungsmodell des Kernel für nachhaltig.

Und nein, der antiquiert wirkende Workflow über Mailinglisten sei für die Kernelentwicklung kein Hindernis. Im Gegenteil: Github skaliere für ein Riesenprojekt wie den Kernel einfach nicht, der Mailinglisten-Ansatz hingegen schon.

Container virtualisiert

Auf der Containercon spielten paradoxerweise VMs eine tragende Rolle. Klar ist: Container sind beliebt, weil sie wenig Ressourcen brauchen. Auf IBMs Linux One laufen laut Adam Jollans, zuständig für die Linux- und Open-Source-Strategie, rund 8000 VMs, aber etwa eine Million Container. Eine Folge: Alle wollen Container anbieten. So auch Intel. Der Konzern setzt auf Clear Containers, denn "Containers are immensely popular in the Cloud World", wie die Webseite weiß. Wer genau hinschaut, stellt jedoch fest, dass Intel die Container in virtuelle Maschinen einsperrt. Ja, Container sei ein etwas unglücklich gewählter Name, gibt der Mann am Intel-Stand zu.

Der Grund: Container sind effizient, haben aber ein Sicherheitsproblem. Nutzt ein böswilliger Containerbetreiber eine Lücke im Kernel aus, greift er womöglich auf die anderen Container zu, weil sich Container den Kernel des Hosts teilen. Intels Container stecken deswegen in VMs, die das Minimal-OS Clear-Linux antreibt. Das schützt die Container, braucht aber mehr Ressourcen.

Letzteres sei leider so, erklärt Matthew Garrett, der sich bei Core OS um die Sicherheit kümmert. Wer mehr Sicherheit wolle, müsse mit Performance-Einbußen leben. Rkt, die Container-Lösung von Core OS, bringe für Virtualisierung eine alternative Stage 1 mit. Wer Container nur intern verwende, dürfe durchaus auf schützende Sandboxes verzichten.

Stéphane Graber, der an LXC und LXD arbeitet, hält Container auch ohne VMs für absicherbar. Dafür nutze das Projekt User Namespaces. Sei der Kernel aktuell, sei das Sicherheitsrisiko gering.

Auch Xen und Huawei möchten Container lieber in VMs verpacken. Während Huawei dafür auf Micro-VMs setzt, verwies Xens Community-Manager Lars Kurth auf das für Xenserver entworfene Mini OS, einen winzigen Kernel, den das Projekt zusammen mit den Hypervisor-Quellen verteilt. Ganz auf Container verzichten, mochte dennoch niemand auf der Linux- und Containercon 2016.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.