Stärken und Schwächen von Docker und den Alternativen

Container-Technik: Docker & Co.

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska / Rainer Graefen

In Containern lebt die Anwendung mit ihren Abhängigkeiten; die Granularität ermöglicht eine größere Flexibilität bei der Anwendungsgestaltung, zusammen mit DevOPs-Methoden eine schnellere Entwicklung und Überarbeitung sowie eine bessere Auslastung der Systeme.
In Containern lebt die Anwendung mit ihren Abhängigkeiten; die Granularität ermöglicht eine größere Flexibilität bei der Anwendungsgestaltung, zusammen mit DevOPs-Methoden eine schnellere Entwicklung und Überarbeitung sowie eine bessere Auslastung der Systeme. (Bild: M. Johannsen/ Fotolia.com)

In nur zwei Jahren hat Docker das Datencenter im Sturm erobert. Die portable, systemagnostische Anwendungsvirtualisierung mit einer um bis zu 80 Prozent höheren Dichte gegenüber Hypervisor-gestützten VMs machte schnell von sich reden. Alternative Container-Technologien ließen nicht lange auf sich warten. Inzwischen hagelte es aber auch harsche Kritik gegen Docker. Was steckt hinter der Container-Revolution?

Container-Frameworks wie Docker erleichtern das Aufsetzen von portablen Anwendungsausführungsumgebungen und die Inbetriebnahme von virtualisierten Anwendungen und ermöglichen eine effizientere Nutzung der vorhandenen Ressourcen.

Bei Docker (alter Codename: „dotCloud“) handelt es sich um ein Framework zur Bereitstellung von Anwendungen in isolierten Laufzeitumgebungen. Es beinhaltet eine quelloffene Engine zum Erzeugen autarker Container für verteilte Applikationen, eine portable Runtime und eine Orchestrierungsplattform für Container-übergreifende Anwendungen.

Orchestrierung von Docker-Containern: ein Belastbarkeitstest von Google Kubernetes auf Microsoft Azure mit dem Webserver NGINX.
Orchestrierung von Docker-Containern: ein Belastbarkeitstest von Google Kubernetes auf Microsoft Azure mit dem Webserver NGINX. (Bild: Microsoft)

Was Docker von alternativen Lösungen unterscheidet, ist die einfache Portabilität der Laufzeitumgebung. Docker unterstützt LXC (Linux Containers) als einen von mehreren Laufzeittreibern für autarke Container.

Die beachtliche Portabilität von Docker schlägt sich in einer bemerkenswerten Popularität nieder: Bis Ende 2014 konnte das Framework 100 Millionen Downloads verzeichnen und wirbt mit inzwischen 85.000 „dockerisierten“ Anwendungen.

Container-Virtualisierung ist an sich eigentlich nichts Neues. Linux bietet eine eigene Virtualisierungsumgebung auf der Betriebssystemebene mit der Bezeichnung „LXC“ (Linux Containers mit Unterstützung für Portabilität zwischen Distributionen). Ein ähnliches Konzept auf FreeBSD nennt sich „Jails“. Auf Solaris/OpenSolaris gibt es schließlich die so genannten Zonen („Zones“).

Container-Technik und Hypervisor-Virtualisierung im Vergleich

Hypervisor-gestützte VM-Virtualisierung und Container-basierte Anwendungsvirtualisierung liegen vom Konzept her wie Tag und Nacht auseinander. Bei der Hypervisor-gestützten Virtualisierung wie sie beispielsweise in KVM (Kernel-based Virtual Machine) implementiert wurde verfügen die einzelnen VM-Instanzen über eigene, voneinander unabhängige Kernel, die alle auf dem so genannten Hypervisor aufsetzen.

Ergänzendes zum Thema
 
Background: Link-Sammlung zum Thema Container-Virtualisierung

Dieser Ansatz erhöht die Sicherheit durch eine lückenlose Trennung der VMs, erschwert jedoch wesentlich ihre Interoperabilität. Hypervisor-gestützte Virtualisierungslösungen bieten unter anderem VMware, Citrix und Microsoft an.

Container-Virtualisierung auf der Basis von LXC ermöglicht das Ausführen von einzelnen Anwendungen in einem Sandkasten der jeweiligen Laufzeitumgebung direkt auf dem Kernel des Host-Systems, also ohne einen Hypervisor. LXC nutzt Kernel-Features wie Kontrollgruppen („cgroups“) und Namensräume, um die Container und die darin eingeschlossenen Prozesse voneinander abzugrenzen, so dass sie auf einen gemeinsamen OS-Unterbau kollisionsfrei zugreifen können.

Bessere Ausnutzung der Systemressourcen

Der Ansatz verbessert die Auslastung vorhandener Systemressourcen und damit die Performance der Anwendungen gegenüber einem Hypervisor. Der LXC-Ansatz hat jedoch nach wie vor unter anderem den Nachteil, dass sich systemweite Änderungen wie Updates von dem Host-System auf die Container verteilen.

Container-Virtualisierung kann jedoch gravierende Sicherheitslücken eröffnen. So liefen LXC-Container bis Februar 2014 zwangsweise mit Root-Rechten des Host-Systems; inzwischen lassen sie sich auch im Userspace ausführen. (Der Docker-Daemon benötigt im Übrigen nach wie vor Root-Rechte.)

Der LXC-Ansatz kommt im Hinblick auf die Portabilität eines Deployments deutlich zu kurz: Es isoliert nur einzelne Prozesse in einem Kernel-spezifischen Sandkasten und erschwert oder verhindert gar die Übertragung der Container auf andere Hosts. Abhilfe schaffen Lösungen wie Docker.

Die Funktionsweise von Docker: Pro und Contra

Dank einer Abstraktionsebene, welche die LXC-Fähigkeiten des Linux-Kernels erweitert, erzeugt Docker eine einheitliche, vorhersehbare Laufzeitumgebung, die von der Host-Plattform nicht abhängt. Docker-Container sind daher nicht nur leichtgewichtig sondern vor allem portabel.

Dockers bemerkenswerte Fähigkeiten zur isolierten Bereitstellung von Anwendungen in portablen Containern eliminieren nicht nur das Problem von Software- und Infrastruktur-Abhängigkeiten, sondern erlauben eine höhere Auslastung bestehender Ressourcen (eine höhere Dichte als im Falle vollwertiger VMs).

Docker rühmt sich über 100 Millionen Downloads der eigenen Engine.
Docker rühmt sich über 100 Millionen Downloads der eigenen Engine. (Bild: Docker)

Ein Docker-Container beinhaltet kein Betriebssystem; das Framework nutzt den Kernel des Host-Systems, um die benötigten Ressourcen wie CPU-Zyklen, den Arbeitsspeicher, Blockspeicher-I/O und Netzwerkschnittstellen anzufordern und unter Verwendung von Technologien wie cgroups und Linux-Namensräumen der Anwendung in dem jeweiligen Container isoliert zur Verfügung zu stellen.

Zur Kommunikation mit dem Kernel nutzt Docker die integrierte „libcontainer“-Bibliothek, die quelloffene API „libvirt“, LXC oder ein „systemd“-Utility namens „systemd-nspawn“. Soweit so gut.

Übersicht der Docker-Schnittstellen zum Linux-Kernel
Übersicht der Docker-Schnittstellen zum Linux-Kernel (Bild: Docker)

Die praktische Implementierung von Docker wirft im Hinblick auf die Sicherheit einige berechtigte Fragen auf. Docker wurde als ein Daemon implementiert und läuft mit Root-Rechten des Host-Systems.

Die Sicherheitsimplikationen dieser Entscheidung liegen auf der Hand: eine Sicherheitslücke in einem einzelnen Container kann das gesamte Host-System kompromittieren. Ein Workaround besteht im Einsatz von „SELinux“ oder „AppArmor“ zur Prozessisolierung.

Inhalt des Artikels:

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43274540 / Outsourcing)