Open Source im professionellen Einsatz

Linuxcon und Containercon 2016: Container in der Sandbox-VM

05.10.2016

Container sind schlank und vielseitig einsetzbar, haben aber ein größeres Problem: die Security. Auf der Linux- und Containercon 2016 zeigt sich, dass viele Anbieter die Container inzwischen wieder in VMs einsperren. Klingt absurd, hat aber Vorteile.

524

Container sind beliebt, unter anderem weil sie so wenig Ressourcen verbrauchen. Selbst auf bescheideneren Servern lassen sich deutlich mehr Container unterbringen als klassische virtuelle Maschinen. Eine Folge: Alle wollen Container anbieten, so auch Intel.

Der Anbieter setzt bereits seit 2015 auf Clear Containers, denn "Containers are immensely popular in the cloud world", wie es auf der Webseite heißt. Wer genau hinschaut, sieht aber schnell, dass es sich nicht direkt um Container mit Betriebssystem-Virtualisierung, sondern um klassische Hypervisor-basierte virtuelle Maschinen handelt, in denen Container laufen. Ja, das sei ein etwas unglücklich gewählter Name, gibt der Mann am Intel-Stand zu.

Tatsächlich setzt Intel auf die hauseigene Virtualization Technology (VT) und lässt Container in VMs laufen, die ein minimales Linux antreibt. Der Hintergrund: Die häufig als Container bezeichneten isolierten Prozesse (OS-Level-Virtualisierung) nutzen Cgroups, Namespaces und weitere Features des Hostrechner-Kernels. Da sie sich den Kernel des Hosts teilen, entsteht im Serverbereich ein Sicherheitsrisiko. Nutzt ein bösartiger Containerbetreiber eine Sicherheitslücke im Kernel aus, kann er womöglich auf die anderen Container zugreifen.

Intels Clear Containers stecken deswegen in virtuellen Maschinen, die ein Minimal-OS namens Clearlinux antreibt. Das schützt die Container erhöht aber auch den Fußabdruck im System. Letzteres sei leider so, erklärt Matthew Garrett, der sich bei Core OS um die Sicherheit kümmert. Wer mehr Sicherheit wolle, müsse mit Performance-Einbußen leben.

Containerseitig hat Intel seine Clear-Container-Technologie auch für Rkt implementiert, die Containerlösung von Core OS. Bereits seit Version 0.8, die im August 2015 erschien, gibt es eine alternative Stage 1, die Rkt-Container virtualisiert. Daneben erwähnt Garrett noch die Fly Stage 1, mit der sich Anwendungen auf dem Host mit sämtlichen Privilegien betreiben lassen. Sie bieten also keinerlei Sicherheit. Wer Container jedoch nur intern verwende, ohne Zugang zum Internet, könne durchaus auf die schützenden Sandboxes verzichten, erklärt Garrett.

Auch klassische Virtualisierungsprojekte wie Xen unterstützen Docker. Laut Community-Manager Lars Kurth bringt der Xenserver das dafür entworfene Mini OS mit, ein winziger OS-Kernel, den das Projekt zusammen mit den Hypervisor-Quellen verteilt. Es dient als Betriebssystem für Stub Domains und als Basis für die Entwicklung von Unikerneln. Solche Kernel sind extrem klein und bieten gerade genug Betriebssystem-Funktionen für die darauf laufenden Applikationen an.

Zuvor hatte das Xen-Projekt Mirage OS entwickelt, ebenfalls ein Unikernel-basiertes OS. Anfang 2016 allerdings kaufte Docker Unikernel Systems, die Firma hinter Mirage OS. Mittlerweile bietet Docker zum Beispiel die Mac-Version seiner Software im Paket mit Hypervisor-Technologie an. Konkret startet mit Hyperkit ein leichtgewichtiger Hypervisor, der sich in Apples Hypervisor-Framework einklinkt. Er ruft ein eingebettetes Linux auf den Plan, das wiederum die neueste Version der Docker Engine ausführt. Auch hier kommt also eine "klassische" Virtualisierung zum Einsatz.

Container versus Virtualisierung ist also vereinfacht eine Entscheidung für Performance oder für Sicherheit. Ein Vorteil des Virtualisierungsansatzes dürfte sein, dass sich Container einfacher in bestehende Virtualisierungs-Setups integrieren lassen. Matthew Garrett von Core OS sieht den Mischansatz jedenfalls eher pragmatisch. Er glaubt, Container bieten eine Reihe anderer Vorteile, etwa die einfache Distribution, so dass die Performance wenn nötig ein wenig in den Hintergrund treten kann.

Ähnliche Artikel

  • Linuxcon

    Auf der Linuxcon Europe Mitte Oktober in Berlin traf das Linux-Magazin unter anderem Kernelentwickler Greg Kroah-Hartman. Die Arbeit an Linux funktioniere nachhaltig, gab er zu Protokoll. Auf der zeitgleich stattfindenden Containercon kristallisierte sich als neue Vorliebe heraus, Container in schlanke VMs einzusperren.

  • Linuxcon & Containercon Europe 2016: "Let's Open Source some stuff"

    "Open-Source-Zeug raushauen" gehörte zu den Auftaktübungen der Linuxcon Europe 2016, die heute parallel zur Containercon Europe in Berlin startete. Nicht eine, sondern gleich vier Keynotes, führten die Besucher an das Thema Container, Linux und Open Source heran.

  • Docker-Port für MacOS X

    Mit einem Port für Mac OS X lässt sich die Containerlösung Docker auf einem Mac betreiben.

  • Programm von LiuxCon und ContainerCon in Berlin steht fest

    Die Linux-Foundation hat das Programm der von 4. bis 6. Oktober in Berlin unter einem Dach veranstalteten Konferenzen LinuxCon und ContainerCon bekannt gegeben. Am Freitag 7. Oktober gibt es noch ganztägige Tutorials zu besuchen

  • CaaS: Xen kooperiert mit Hyper

    Viele betrachten Container ja ohnehin als Hype-Thema. Da ist es nur folgerichtig, wenn Xen eine Partnerschaft mit einem Anbieter namens Hyper eingeht. Der liefert eine Hypervisor-agnostische Docker-basierte CaaS-Lösung.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.