Canonical bastelt weiter an sicheren Containern

05.11.2014

Zur LXC-Containertechnologie soll sich jetzt noch ein Hypervisor, der kein Hypervisor ist, gesellen, um Container sicherer zu machen.

Die Firma Canonical hat begonnen, an einem neuen Projekt namens LXD zu arbeiten, das LXC-Container sicherer machen soll. Dabei soll es sich um einen Hypervisor handeln, der eigentlich kein Hypervisor ist, aber dennoch kontrollieren kann, welche Aktionen die Container ausführen. Laut dem Design-Überblick des LXC-Programmierer Stéphane Graber handelt es sich allerdings um einen in Go geschriebenen Daemon, der die Verwaltung von LXC-Containern vereinfachen soll - Security-Maßnahmen wie SELinux und Apparmor eingeschlossen. Zusätzlich soll LXC damit einen Image-basierten Workflow erhalten (wie Docker), ebenso wie Snapshots und Live-Migration.

Zwar gelten Container seit dem Hype von Docker als die kommende Virtualisierungstechnologie, aber da Container an sich nichts anderes sind als eine Konfiguration von Ressourcenkontrolle und Namespaces, bieten sie gegenüber Vollvirtualisierung vergleichsweise wenig Sicherheit. Statt aber das Problem von Grund auf zu lösen, werden Container nun mit anderen Technologien wie SELinux und Apparmor kombiniert, um mutmaßlich mehr Sicherheit zu erreichen.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Ubuntu 15.04 kommt mit LXD und als Snappy Core

Canonical hat die Ubuntu-Version 15.04 veröffentlicht. In das „Vivid Vervet“ genannte Release integriert der Anbieter einen neuen Container-Hypervisor in das Open Source-Betriebssystem und bietet es erstmals auch als „Snappy Core“-Variante an.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019