:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfc19667755322546e8e914f17890d/0114256966.jpeg "Mehr am Bahnhof denn in der Berufsschule: Der angehende Fachinformatiker für Systemintegration Jonas Lohrmann beklagt lange Wege zur Berufsschule. (Bild: Lohrmann)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Docker-Einführung, Teil 3 Container als Linux-Kernel-Feature
Um die Popularität und Bedeutung von Docker zu verstehen, sollte man sich mit den Prinzipien von Linux-Containern auseinandersetzen. Dies erleichtert das Verständnis der Funktionsweise von Docker.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
In Kürze wollen wir uns der Installation und Inbetriebnahme von Docker auf verschiedenen Plattformen sowie den verfügbaren Clients und wichtigsten Befehlen zuwenden. Doch vorher wollen wir zunächst noch einmal darauf eingehen, dass Linux-Container kein von Docker implementiertes Feature sind.
Linux Container gibt es wie im ersten Teil dieser Serie erläutert schon weitaus länger. Eine der ältesten Realisierungen von Linux Containern sind BSDs Jails (Gefängnisse). Auch hier ging es primär darum, einzelne Prozesse in „andere“ root.-Verzeichnisse zu verschieben. So wurde beispielsweise verhindert, dass bei einem gekaperten Apache-Webserver nicht das Betriebssystem kompromittiert wird, sondern lediglich ein relativer Ordner.
Vorlage für die Idee ist das Unix-Kommando „change root“. Damit das zuverlässig funktioniert, müssen in solch einem relativen root-Folder selbstverständlich auch entsprechende Teilanwendungen und Abhängigkeiten bereitgestellt werden. Sie werden also sinngemäß mit in das Gefängnis eingesperrt.
Eine der ersten wirklich brauchbaren Implementierungen von Containern waren und sind Solaris-Zonen (Zones). Mit diesem Ansatz entschied sich der ehemalige Hersteller Sun (jetzt Oracle) seinerzeit bewusst gegen Virtualisierung auf Hardware-Ebene.
LXC und Docker
Im Gegensatz zu Docker lassen sich BSD Jails und Solaris Zones allerdings verhältnismäßig schwierig konfigurieren. Ferner mangelt es diesen Konzepten an Reproduzierbarkeit und entsprechenden Schnittstellen, wie LXC (Linux Containers) eine war und ist. Auch Docker nutzte bis zur Version 0.9 noch LXC als unabhängige Linux-Kernel-Schnittstelle, um die Kernel-Features von Linux-Container einzurichten.
:quality(80)/images.vogel.de/vogelonline/bdb/1460500/1460536/original.jpg "<p>In unserem Docker-Tutorial widmen wir uns den Vorzügen der Software-Containerisierung. Durch die Bildergalerie können Sie wahlweise mit den Pfeiltasten der Tastatur (← / →) oder mit den Schaltflächen über dem jeweiligen Bild navigieren.</p><br />")
:quality(80)/images.vogel.de/vogelonline/bdb/1460500/1460537/original.jpg "<p style=\"line-height: 1.5\"><big>Docker-Einführung, Teil 1</big><br /> <a href=\"https://www.dev-insider.de/docker-bereitstellung-unter-windows-a-751241/\" target=\"_blank\"><big><big><strong>Container – Idee, Architektur und Use Cases</strong></big></big></a><br />Rund um Docker hat sich ein breites Ökosystem an Lösungen von der eigenen Container-Engine bis zur Orchestrierung von Container-Clustern entwickelt. Im ersten Teil unserer Docker-Serie befassen wir uns mit den Vorzügen von Containern im Allgemeinen. <a href=\"https://www.dev-insider.de/docker-bereitstellung-unter-windows-a-751241/\" target=\"_blank\">>>> Zum Artikel <<<</a></p><br />")
:quality(80)/images.vogel.de/vogelonline/bdb/1460500/1460538/original.jpg "<p style=\"line-height: 1.5\"><big>Docker-Einführung, Teil 2</big><br /> <a href=\"https://www.dev-insider.de/images-und-container-unter-docker-a-735468/\" target=\"_blank\"><big><big><strong>Images und Container unter Docker</strong></big></big></a><br />Irgendetwas muss Docker besser machen, als andere bekannte Prinzipien und Methoden der Containerisierung und Isolierung. Im zweiten Teil des Docker-Workshops beleuchten wir daher das Konzept der Images, insbesondere den Unterschied zwischen Images und Containern. <a href=\"https://www.dev-insider.de/images-und-container-unter-docker-a-735468/\" target=\"_blank\">>>> Zum Artikel <<<</a></p><br />")
:quality(80)/images.vogel.de/vogelonline/bdb/1460500/1460539/original.jpg "<p style=\"line-height: 1.5\"><big>Docker-Einführung, Teil 3</big><br /> <a href=\"https://www.dev-insider.de/container-als-linux-kernel-feature-a-743997/\" target=\"_blank\"><big><big><strong>Container als Linux-Kernel-Feature</strong></big></big></a><br />Um die Popularität und Bedeutung von Docker zu verstehen, sollte man sich mit den Prinzipien von Linux-Containern auseinandersetzen. Dies erleichtert das Verständnis der Funktionsweise von Docker. <a href=\"https://www.dev-insider.de/images-und-container-unter-docker-a-735468/\" target=\"_blank\">>>> Zum Artikel <<<</a></p><br />")
Insofern war Docker ursprünglich eine Abstraktion über einer Schnittstelle zu speziellen Linux-Kernel-Features. Später hat Docker die Schnittstelle LXC durch eine eigene Implementierung namens „libcontainer“ ausgetauscht. Sie gilt heute als De-facto-Standard für diese Funktionalität, da sie auch von anderen Firmen wie Google oder Red Hat unterstützt wird.
Das libcontainer-Interface umfasst diverse Funktionalitäten, die von Docker wahrgenommen werden können. Docker selbst ist „nur“ ein Systemdienst, der auf höchster Ebene als root-Nutzer im Betriebssystem läuft und u. a über eine REST-API z. B. aus Webanwendungen heraus oder vom mitgelieferten Kommandozeile-Client bzw. bei Bedarf vom graphischen Client „Kitematic“ aus angesprochen wird.
In der vorangestellten Abbildung erzeugen und starten wir einen neuen Busybox-Container auf einem Windows-10-basierten Container-Hosts im Kitematic-Client im interaktiven Modus, weshalb automatisch eine Powershell geöffnet wird.
Klickt man auf „New“, landet man wieder in der Ansicht für Images und Repositories und kann weitere Container instanziieren bzw. besser „initialisieren“. Mehr zu Clients, Container-Hosts, Berechtigungen, Ports, Netzwerk und Storage sowie den Ausführungsmodi und vor allem zum automatisierten Bauen anhand von Dockerfiles in den kommenden Teilen.
Werfen wir zunächst noch einen tieferen Blick auf die Architektur, zunächst auf die Docker-Engine. Der Docker-Dienst greift auf die libcontainer-Bibliothek zurück und richtet je nach Konfiguration die entsprechenden Linux-Kernel-Features für die auszuführende Anwendung ein. Diese sind:
Control Groups: Unter Control Groups (kurz CGroups) versteht man unter Linux die Fähigkeit des Kernels, so genannte Ressource Limits zu definieren. Diese erlauben es, verschiedene Anwendungen zu limitieren und zwar in Form von Rechenzeit, die auf der CPU des Container-Hosts konsumiert werden darf. Man steuert so also indirekt der „Menge“ nutzbarer CPUs sowie der Speichermengen, die im Container genutzt werden können. Control Groups können aber auch viele andere I/O-affine Aspekte wie z. B. die Netzwerk-Nutzung steuern.
Namespaces: Der zweite wichtige Aspekt sind die so genannten Namespaces. Sie ermöglichen das eigentliche „Simulieren“ in sich geschlossener Umgebungen gegenüber der jeweiligen ausgeführten Anwendung. Somit wird der Anwendung nur derjenige Ausschnitt einer Umgebung „präsentiert“, der sie selbst betrifft.
Für die Anwendung sieht es so aus, als gäbe es tatsächlich eigene Mountpunkte, einen eigenen Hostnamen oder eigene virtuelle Netzwerkkarten und andere Geräte. Sichtbar sind dann immer nur genau jene Prozesse, die dem jeweiligen Container gehören“. Namespaces ermöglichen auch die Existenz eigene Nutzer, die unabhängig von Host-Betriebssystem sichtbar sind.
Capabilities: Ein weiteres wichtiges Linux-Kernel-Feature im Zusammenhang mit Container-Technik. Prinzipiell läuft jeder Linux-Container als Root-Nutzer. Mittels Capabilities lassen sich aber entsprechende „Fähigkeiten“ von den gestarteten Anwendungen „entfernen“ und nur on demand zuweisen, sodass eine Container-Anwendung, auch wenn sie mit Root-Rechten läuft, z. B. keine administrativen Tasks im Netzwerk ausführen oder den Container-Host herunterfahren kann.
Je nach verwendeter Linux-Distribution gibt es zusätzlich noch die Mandatory Access Control in Form von SELinux (Red Hat, CentOS) oder AppArmor (Suse, Ubuntu), die z. B. von Docker ebenfalls mit eingerichtet werden. Hierbei handelt es sich um zusätzliche Sicherheitsmechanismen im Linux-Kernel, die es ermöglichen die Anwendungen davon abzuhalten, unerwünschte Änderungen vorzunehmen.
Ferner nutzen Container-Lösungen zwecks Ermöglichung einer effizienten Dateisystem-Nutzung hierarchische Dateisysteme mit besonderen Fähigkeiten, wie z. B. AUFS oder ext4 mit devmapper auf Red Hat bzw. btrfs, einer anderen Art „versionierender“ Dateisysteme (Copy-On-Write).
Das letzte Kernel-Feature für Container, welches schon von Free BSD Jails verwendet wurde, ist „change root“, also die Fähigkeit des Linux-Kernels, den Mountpunkt des Root-Ordners zu verschieben, wodurch erst eine geschlossene Betriebssystemumgebung simuliert werden kann.
Gegenüber allen älteren beschriebenen Ansätzen zur Container-Virtualisierung kommt es den Machern von Docker zu Gute, die zum Teil komplexe Konfiguration all dieser Funktionalitäten extrem vereinfacht und in ein leicht handhabbares Framework eingebettet zu haben.
(ID:45458390)
:quality(80)/p7i.vogel.de/wcms/92/59/92590aed1abf8fb0c672632d24115081/0102822750.jpeg "runC lässt sich unabhängig von anderen Docker-Komponenten problemlos in Linux einbinden. (Bild: Joos / Canonical)")
:quality(80)/p7i.vogel.de/wcms/9b/c0/9bc0af6b797a856ce4e0d11fae79daff/0108738493.jpeg "Low-Level Container Runtimes werden üblicherweise nicht allein, sondern als Basis für Runtimes höherer Grade verwendet. (Bild: <a href=https://www.pexels.com/@julius-silver-240301/>Julius Silver</a>)")