:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Virtual Networking mit Docker und OpenShift Funktionsweise von OpenShift 3.4
Red Hat OpenShift lässt sich als „OpenShift Container Platform“ in Eigenregie betreiben. Die Netzwerkvirtualisierung ist dabei ein wesentlicher Aspekt, der in diesem Beitrag beleuchtet werden soll.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Mit der Architektur von OpenShift haben wir uns bereits beschäftigt, in diesem Teil der OpenShift-Workshop-Reihe werfen wir einen Blick auf den Netzwerk-Layer. Dies ist essenziell für das Verständnis der Funktionsweise der Container-Kommunikation auf einen einzelnen Docker-Host und später in einem Kubernetes-Cluster.
OpenShift ist wie alle Cloud- und Virtualisierungslösungen sowie Container-Plattformen auf einen logischen Netzwerk-Layer angewiesen. OpenShift nutzt im Kernel Open vSwitch, wobei die Inter-Node-Kommunikation mit Hilfe via VXLAN als Transport-Netzwerk gekapselter logischer Netzwerke erfolgt. Containerisierte Workloads erfordern – auch wenn sie auf einen einzelnen Host residieren –, dass Anwendungen mit anderen Services sprechen können.
Ein containerisierter Applikationserver muss sich beispielsweise in irgendeiner Weise mit einer Datenbank im Container austauschen. Außerdem müssen in OpenShift gebaute Anwendungen auch von „außen“ nutzbar sein. Bevor wir aber einen Blick auf den Netzwerk-Layer von OpenShift werfen, schauen wir zunächst auf die Inter-Container-Kommunikation auf einem einzigen Docker-Host. Die lässt sich nämlich mit Linux-Bordmittel bewältigen.
Ein klassischer Docker-Host bindet hierzu schlicht die Container-Netzwerke, welche über ein virtuelles Ethernet-Device (z. B. eth0) verfügen, mit Hilfe eines einfachen Bridge-Device „docker0“ an den IP-Stack Hosts. Die IP-Adresse des Containers wird dabei vom Docker-Daemon verwaltet. Ähnlich arbeiten auch KVM-basierte Virtualisierungslösungen wie Red Hat Virtualization oder Oracle Virtual Box.
Wie schaut es aber bei Docker-Containern mit der Storage-Anbindung aus? Schließlich möchte man aus Containern heraus z. B. auch ein NAS ansprechen. Stateless Container sind zwar schick, aber letztendlich langweilig, könnte man keinen Status verwalten. Wie also bindet Docker beispielsweise NAS-Storage an Container an, ohne den Traffic über das Standard-Interface des Docker-Hosts zu leiten? Wir werden das Thema Storage-Nutzung in Container-Plattformen in einem weiteren Beitrag noch ausführlich beleuchten und schauen hier nur auf die „Berührungspunkte“ mit dem Netzwerk.
:quality(80)/images.vogel.de/vogelonline/bdb/1197400/1197415/original.jpg "Die OpenShift Container Platform von Red Hat ist eines der derzeit umfassendsten PaaS-Angebote auf dem Markt. (Red Hat)")
Effizienter entwickeln in der PaaS
Architektur von OpenShift 3.4
Bei klassischen Docker erfolgt ein IP-Storage-Zugriff aus einem Container nämlich problemlos über den Kernel-Stack des Docker-Hosts und damit einen völlig anderen Zugriffspfad. Der Kernel ist ja mittels iptables in der Lage, zwischen lokalen und Remote-Aufrufen zu unterscheiden und den Traffic passend zu routen, sodass IP-Storage-Zugriffe ihren Weg nach „außen“ finden.
Außen vor bleibt hier lediglich Objekt-Storage à la Amazon S3, der üblicherweise nicht über Kernel-Calls adressiert wird. REST-Aufrufe und die Docker-Bridge sorgen hier dafür, dass die Calls letztlich doch über das Default-Gateway nach außen geleitet werden. Übrigens funktioniert auch DNS standardmäßig in Docker-Containern, weil der Docker-Daemon Konfigurationdateien wie /etc/hosts, /etc/hostname oder /etc/resolv.conf beim Instanziieren des Containers anpasst.
SDS in OpenShift
Anders bei OpenShift: da die Plattform Container-Netzwerke über Node-Grenzen hinweg ermöglichen muss, benötigt es zwingend einen Software-Defined-Networking-Layer, der bei OpenShift mittels Open vSwitch realisiert ist. Open vSwitch beherrscht Security-Features wie VLAN-Isolation, Traffic Filtering und QoS, unterstützt zeitgemäße Monitoring-Funktionen, wie Netflow oder Port-Mirroring (SPAN, RSPAN) und lässt sich z. B via OpenFlow weitgehend automatisieren.
Das Design der Master-Node-Hosts ist übrigens in der umfangreichenSDN-Dokumentation von OpenShift sehr detailliert beschrieben.
Trotzdem soll OpenShift weitgehend kompatibel zum klassischen Docker bzw. zum Betrieb von Plain-Docker-Containern sein. Daher ergänzt OpenShift den Standard-Netzwerk-Stack des Docker-Hosts um zusätzliche Komponenten. So gibt es bei OpenShift-Nodes keine einzelne „docker0“-Bridge mehr, sondern zwei Bridge-Devices „lbr0“ und „br0“. Erstere ist eine klassische Linux-Bridge und „br0“, eine Open-vSwitch-Bridge, die über ein tun0-Device mit den Host-NICs kommuniziert, wobei beide miteinander über die zwei Devices „vlinbr“ und „vovsbr“ verbunden sind. Die nebenstehende Abbildung zeigt die Inter-Pod-Kommunikation in OpenShift.
Dabei kommunizieren klassische Docker-Container über die lbr0-Bridge, welche „OpenShift-intern“ auf „docker0“ „umgesetzt wird. Alles, was durch OpenShift, bzw. Kubernetes verwaltet wird, läuft dagegen über das Open-vSwitch-Gerät, im OpenShift-Regelbetrieb also jegliche Inter-Pod-Kommunikation.
:quality(80)/images.vogel.de/vogelonline/bdb/1206500/1206569/original.jpg "Die On-Premise-Installation von OpenShift 3.4 erfordert komplexe Vorbereitungen. (Red Hat)")
OpenShift On-Premise
OpenShift Container Plattform 3.4 installieren
Gestartet wird indes jeder Pod stets vom Docker-Daemon, hängt also initial zunächst an der „lbr0“ und bekommt von diesem auch seien IP-Adresse zugewiesen. Erst danach greift sich OpenShift diesen Endpunkt und biegt ihn auf das Open-vSwitch-Device um, sodass der Pod letztendlich zwar mit beiden Devices verbunden ist, in der Praxis aber kein Pod mehr über das lbr0-Device kommuniziert.
An der lbr0-Bridge hängt dann nur noch der Endpunkt für das Open-vSwitch-Gerät in Form des „vlinuxbr“-Devices. Somit ist jeder OpenShift-Pod über den durch OpenvSwitch und VXLAN-Tunnel realisierten logischen Netzwerk-Layer via Kubernetes orchestrierbar, bleibt aber trotzdem mit Docker bzw. für Docker-Aufrufe kompatibel.
Der VXLAN-Tunnel sorgt dabei als Transport-VLAN für die Node-to-Node-Kommunikation. Die Kommunikation zwischen klassischen Containern und OpenShift-Pods hingegen funktioniert aus Sicherheitsgründen ausschließlich über das lokale Interface und wird nicht via VXLAN an andere Knoten transportiert.
Externer Zugriff auf das Cluster Netzwerk
Erfordert ein Host von außerhalb der OpenShift Container Platform einen Zugriff auf das Cluster Network, gibt es zwei Möglichkeiten, dies zu realisieren. Das Operations-Team kann den Host als einen Platform-Node konfigurieren, ihn aber als unschedulable markieren, sodass der Master auf diesem keine Container verteilt. Dem Tagging und Labeling-Features von OpenShift wenden wir uns in einem künftigen Teil zu. Ferner könnte man einen Tunnel zwischen diesem Host und einem anderem Host „im“ Cluster-Network einrichten.
:quality(80)/images.vogel.de/vogelonline/bdb/1207200/1207228/original.jpg "Vor der Installation von OpenShift Container Platform steht die Konfiguration von Docker. (Gitlab)")
Vorbereitungen für OpenShift 3.4
Docker-Setup für die OpenShift Container Plattform
Als Alternative zum Default-SDN-Layer unterstützt OpenShift Container Platform Ansible Playbooks zum Installieren eines „flannel“-basierten Netzwerk-Layers. Dies ist vor allem dann nützlich, wenn die OpenShift Container Platform auf/in einer existierenden Cloud-Plattform wie OpenStack laufen soll und eine duale SDN-Konfiguration mit Open vSwitch auf “beiden” Plattformen vermieden werden soll.
Sicherheit bei OpenShift
OpenShift ist Multi-Tenant-fähig, so dass Applikationen mehrerer Mandanten auf einem Node laufen können. Dabei isolieren mittels SELinux (Security-Enhanced Linux) kreierte Security-Policies die einzelnen Instanzen voneinander. SELinux implementiert Mandatory Access Control (MAC), also eine „verpflichtende“ Zugangskontrolle und damit eine für eine PaaS unverzichtbare Vorrausetzung.
Während SELinux ein granulares Einrichten von zentral gesteuerten und überwachten Berechtigungen für Benutzer UND Applikationen erlaubt, sorgen Control Groups (cgroups) für das Aufteilen von Prozessoren, Speicher und I/O-Ressourcen zwischen den Applikationen. Entwickler können also die Ressourcennutzung (wie z. B. CPU-Time), den Speicherverbrauch oder die beanspruchte Netzwerkbandbreite im Detail steuern und damit Verarbeitungsprioritäten einrichten bzw. überwachen.
Mit cgroups lassen sich auch Policies zum Implementieren von SLAs umsetzen. Dabei isolieren „Kernel-Namespaces“ die Prozessgruppen so voneinander, dass sich die jeweiligen Ressourcen gegenseitig nicht beeinflussen können. Damit lässt sich die Sicherheit von Containern zumindest ansatzweise in die Nähe von virtuellen Maschinen bringen. Für die unter OpenShift laufenden Applikation sieht es dann so aus, als hätte sie exklusiven Zugriff auf eine einzelne Instanz von Red Hat Enterprise Linux, in Wirklichkeit teilt sie sich aber die Instanz mit anderen Applikationen.
Die geschilderten Sicherheitsmerkmale von OpenShift-Pods ähneln zwar denen von Docker- oder LXC-Containern (cgroups und namespaces gibt es auch hier). Zusammen mit SELinux erlauben sie aber eine noch striktere Trennung und existierten schon bei bzw. für OpenShift Online, das naturgemäß noch höhere Anforderungen an die Isolierung von Ressourcen untereinander stellt.
:quality(80)/images.vogel.de/vogelonline/bdb/1216900/1216953/original.jpg "Red Hat OpenShift Container Platform unterstützt zahlreiche Installations-Methoden. jede davon sollte anschließend validiert werden. (Red Hat)")
OpenShift Container Platform installieren
Der Quick Installation Mode von OpenShift
Artikelfiles und Artikellinks
(ID:44572018)
:quality(80)/p7i.vogel.de/wcms/de/a2/dea20c46c8cad55e5877a9a28680bbdd/0112952145.jpeg "Mit Podman Desktop können Developer ihre Container-Anwendungen lokal in einer ähnlichen Umgebung betreiben, wie später im produktiven Cluster. (Bild: Podman.io)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")