7. Juli 2017 Paul Rubens und Florian Maier *

Wofür Sie Container brauchen

Docker? Container? Wenn diese Begriffe in Ihrem Kopf nur Fragezeichen hinterlassen, sollten Sie unbedingt weiterlesen. [...]

GIBT ES KOSTENLOSE OPEN-SOURCE- MANAGEMENT-SYSTEME?

Ja. Das meistgenutzte und bekannteste, kostenlose Open Source Container-Management-System ist Kubernetes – ein Software-Projekt das von Google ins Leben gerufen wurde. Kubernetes stellt Funktionen zur Verfügung, um containerisierte Applikationen auszurollen, zu warten und zu skalieren.
WELCHE KOMMERZIELLEN CONTAINER-LÖSUNGEN GIBT ES?
Die bekannteste, kommerzielle Container-Management-Lösung ist Docker Enterprise Edition. Die Software bietet eine integrierte, getestete und zertifizierte Plattform für Applikationen, die auf Enterprise-Linux- oder Windows-Betriebssystemen und in Cloud-Umgebungen laufen.
Video: How Microsoft IT Leverages Docker Enterprise Edition for IT Agility
Darüber hinaus gibt es zahlreiche weitere Lösungen – einige davon nutzen proprietäre Software, die auf Kubernetes aufbaut. Die bekanntesten Beispiele für Container-Software dieser Art: CoreOS Tectonic, Red Hat Open Shift Container Platform und Rancher.
WIE SICHER SIND CONTAINER?
Viele Leute glauben, dass Container nicht so sicher sind wie virtuelle Maschinen. Der Grund: Wenn im Container Host Kernel eine Schwachstelle besteht, könnte diese einen Weg zu den anderen Containern ebnen, die ebenfalls den Kernel nutzen. Das stimmt im Fall eines Hypervisors auch – allerdings bietet dieser weit weniger Funktionalitäten als ein Linux-Kernel und weist deswegen auch eine wesentlich kleinere Angriffsfläche auf.
Video: Future of containers & security
In den letzten Jahren wurde außerdem viel Aufwand in die Entwicklung von Software gesteckt, die das Sicherheitsniveau von Containern verbessern soll. Einige Softwarelösungen – darunter auch Docker – beinhalten beispielsweise inzwischen eine signaturbasierte Infrastruktur, um zu verhindern, dass nicht vertrauenswürdige Container ausgerollt werden.
Trotzdem muss auch ein signierter Container nicht notwendigerweise sicher sein. Schließlich kann eine Schwachstelle in der Software auch erst nach der Signatur entdeckt werden. Deswegen bieten Docker und Co. auch Software an, die Security-Scans von Containern durchführt und die Administratoren alarmiert, wenn die Images Schwachstellen aufweisen, die ausgenutzt werden könnten.
Video: Twistlock provides tools and analytics that make it easier for developers Auch spezialisiertere Security-Softwarelösungen gibt es bereits am Markt. Twistlock bietet beispielsweise Software an, die das erwartete Verhalten eines Containers analysiert und Prozesse, Netzwerk-Aktivitäten und sogar Storage-Praktiken laufend auf Auffälligkeiten untersucht. Ein weiteres Unternehmen, das sich auf Container-Sicherheit spezialisiert hat ist Polyverse.
WELCHE LINUX-DISTRIBUTIONEN EIGNEN SICH FÜR CONTAINER?
Die meisten Linux-Distributionen sind unnötig mit Features überladen – wenn sie einfach nur als Container-Host zum Einsatz kommen sollen. Aus diesem Grund gibt es einige Distributionen, die speziell für den Betrieb von Containern ausgelegt sind. Dazu gehören:
  • Container Linux (vormals CoreOS Linux)
  • RancherOS
  • Photon OS
  • Project Atomic Host
  • Ubuntu Core
WAS, WENN ICH WINDOWS-USER BIN?
Docker läuft nicht nur auf allen Linux-Distributionen die neuer sind als Version 3.10, sondern auch auf Windows, seit Microsoft 2016 die Möglichkeit geschaffen hat, Windows Container unter Windows Server 2016 und Windows 10 zu betreiben. Diese Container sind auf Windows ausgelegt und können mit jedem Docker-Client oder mit Microsofts PowerShell gemanagt werden.
Video: Windows Containers and Docker: 101
Neben Windows und Linux läuft Docker auch auf den beliebten Cloud-Plattformen – etwa Amazon EC2, Google Computer Engine, Microsoft Azure oder Rackspace.
WERDEN CONTAINER VIRTUALISIERUNG ERSETZEN?
Das ist für die nähere Zukunft unwahrscheinlich. Und zwar aus mehreren Gründen. Einerseits besteht weiterhin die landläufige Meinung, virtuelle Maschinen seien Containern aufgrund ihrer Isolation in Sachen Security überlegen. Andererseits sind auch die Tools, die derzeit zur Verfügung stehen, um große Container-Mengen zu managen, nicht mit denen vergleichbar, die für das Management virtualisierter Infrastrukturen zum Einsatz kommen (beispielsweise VMware vCenter oder Microsoft System Center). Unternehmen die signifikante Beträge in diese Art der Software investiert haben, werden ihre virtualisierte Infrastruktur nicht ohne wirklich guten Grund aufgeben.
Was vielleicht noch wichtiger ist: Virtualisierung und Container werden mehr und mehr als komplementäre Technologien denn als Konkurrenzprodukte gesehen. Schließlich können Container auch in virtuellen Maschinen betrieben werden, um den Grad der Isolation – und damit das Sicherheitsniveau – anzuheben. Zudem macht es die Virtualisierung von Hardware deutlich einfacher, die für den Betrieb von Containern benötigte Infrastruktur zu managen. Es kann also durchaus nützlich sein, beide Technologien miteinander zu kombinieren.
Dieser Artikel basiert auf einem Beitrag der US-Publikation cio.com.
*Paul Rubens ist Journalist mit dem Fachgebiet Technologie und lebt in England und Florian Maier beschäftigt sich für die Computerwoche mit dem Themenbereich IT-Security