Container-Technik rkt 1.0 CoreOS veröffentlicht sichere Docker-Alternative

CoreOS hat seine Container-Engine rkt in einer ersten stabilen Version 1.0 freigegeben. rkt kann nicht nur Docker-Container sondern auch andere appc-kompatible Container-Formate ausführen. CoreOS legt bei seinem Geschäftsmodell den Fokus besonders auf Sicherheit.

Was ist eigentlich das Problem mit Docker, dass sich zahlreiche Softwarehersteller nicht nur an einer Integration, sondern zunehmend auch an Verbesserungen oder Alternativen versuchen? Offenbar sind beim rasanten Aufstieg von Docker einige wichtige Aspekte, wie die Sicherheit, das Deployment und die Wartbarkeit von Containern auf der Strecke geblieben oder wurden bisher nicht optimal umgesetzt.

Red Hat über rkt

Führende Open-Source-Unternehmen wie Red Hat setzen zwar strategisch auf Docker, haben aber schon früh erkannt, dass Container und Container-Quellen signiert sein müssen. Zudem haben sich die Rothüte schon frühzeitig Gedanken über die Rolle von Docker-Containern als Micrososervices oder als Fundament für das Bereitstellen von Cloud-nativer Apps macht.

Zu Red-Hat-Strategie gehört aber auch die Aufgeschlossenheit gegenüber allen Open-Source-Technologien. So begrüßt man in Raleigh zwar den Ansatz von rtk/CoreOS durchaus, möchte aber offenbar einer weiteren Zersplitterung der Container-Technologie keinen Vorschub leisten.

CoreOS und Rocket

CoreOS, ein junges und im Vergleich zu Red Hat oder Google eher kleines Unternehmen, entwickelt seit seiner Loslösung von Docker als Folge einer Grundsatzdiskussion zum Thema Sicherheit von Containern und Austauchbarbarkeit von Docker-Komponenten Ende 2014 ein eigenes, auf das Ausführen von Linux-Containern spezialisiertes Betriebssystem der gleichen Bezeichnung CoreOS.

Mit Tectonic hat das Unternehmen zudem eine auf „Google Kubernetes“ basierende Technik für das Verteilen und Verwalten von Container-Apps in der Cloud entwickelt.

Eines der schwerwiegendsten Probleme mit Docker war aus Sicht der Spezialisten von CoreOS, dass Docker mit Root-Rechten auf dem Server läuft. Bei der zu Docker in direkter Konkurrenz stehenden Eigenentwicklungrkt handelt es sich ebenfalls um ein Kommandozeilen-Tool, das bestehende (Docker)-Container startet, stoppt und verwaltet. Die Abkürzung rtk versteht sich als phonetische Anspielung auf „Rocket“, daher die Rakete im Logo.

Rkt 1.0

rkt, die eigentliche Container-Engine von CoreOS ist nun knapp 12 Monate nach der initialen Veröffentlichung bei Version 1.0 angelangt, welche die Entwickler hinsichtlich der Schnittstellen und unterstützten Dateiformate nun für stabil halten. Künftige Erweiterungen sollen entweder rückwärtskompatibel sein oder Anwendern genügend Zeit für eine Umstellung einräumen.

Sicherheit über alles

Die wichtigste Eigenschaft von rkt soll auch in Zukunft der Sicherheitsaspekt sein. So unterstützt rkt unter anderem „SELinux“. Außerdem lassen sich Container auf Basis des im Linux-Kernels integrierten KVM-Hypervisors auch isolieren. Ferner unterstützt rkt TPM. Zudem müssen Container-Images zwingend signiert sein.

Das primäre Container-Format für rkt ist allerdings nicht Docker, sondern ist die App-Container-Spezifikation (appc). Diese soll fortan den Status eines unabhängigen Standards haben. Rkt kann auch Docker-Images direkt ausführen und benötigt dazu keinen im Hintergrund laufenden Daemon. Rkt funktioniert wahlweise in System-V-Init, Upstart- (Ubuntu) und Systemd-Umgebungen.

Der in Go verfasste Quellcode von Rkt steht auf Github zum Herunterladen zur Verfügung.

Ein Video erläutert die ersten Schritte mit rkt.

* Thomas Drilling ist Fachautor und bloggt über OpenSource-Themen auf DataCenter-Insider: „Drillings Open-Source-Eck“

(ID:44402109)