Kata Containers

Abwehrhaltung

Linux-Container sind so erfolgreich, weil sie leicht und schnell sind und sich in viele Anwendungsabläufe integrieren lassen. Mögliche Sicherheitsprobleme beim Betrieb von Containern ergeben sich jedoch, da sich die Container einen CPU-Kern, einen I/O-Pfad, dasselbe Netzwerk und den Speicher teilen. Deshalb sind Gefährdungen eines Containers potenziell auch Gefährdungen vieler anderer. Kata Containers will dieses Sicherheitsrisiko verringern. Ob dies gelingt und wie sich dies auf die Performance auswirkt, zeigt unser Test.
Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige ... (mehr)

Mit der steigenden Popularität von Docker beziehungsweise RunC-basierten Containern erhöht sich auch die Gefahr, dass Container zum Ziel eines Angriffs werden. In diesem Fall ist der Docker-Nutzer der Gelackmeierte, denn sobald der Angreifer aus dem Container "entweicht", kann er auf dem Server mit root-Rechten Schindluder treiben. Klassische virtuelle Maschinen sind insofern ein unsympathischer Ersatz, als dass sie sich durch extremen Ressourcenhunger und sehr langsame Startzeiten auszeichnen und nicht immer optimal administrieren lassen.

Kata-Container sind per se keine neue Technologie – die Vorgängerprojekte sind teilweise seit Jahren in aktiver Entwicklung. Einer der Gründe, warum Kata aktuell interessant ist, basiert auf einer kleinen Besonderheit der Docker-Umgebung. Druck aus der Community zwang die Docker-Entwickler dazu, ihre Virtualisierungsengine über ein offenes Interface anzubinden. Die als "Open Container Initiative" (OCI) bezeichnete Schnittstelle erwies sich für Kata als Glückfall, da sich das diesbezügliche Interface zur Interaktion mit Kata-Containern einspannen lässt. Für Administratoren bedeutet dies, dass sie die Verwaltung der Container sowohl per Docker als auch per Kubernetes vornehmen können. So lässt sich grob gesagt feststellen, dass eine Kata-Container-Applikation nur durch ihren etwas höheren Ressourcenverbrauch und den am Host laufenden qemu-Thread von einer gewöhnlichen Docker-Applikation zu unterscheiden ist.

Hardwarevoraussetzungen selbst Entwicklern unklar

Neue Technologien müssen unter Linux im Allgemeinen aus dem Quellcode durch Kompilation entstehen und oft geht einige Zeit ins Land, bevor Distributoren fertige Pakete bereitstellen. Durch die mittlerweile erhebliche Verbreitung von Kata blieb uns diese Arbeit erspart. Unter [1] finden sich die Installationsbefehle, die wir in einer Shell-Datei speicherten und

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019