Ultra-Leichtgewichte

Linux-Varianten für ein „containerisiertes“ Datacenter

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska * / Ulrike Ostler

Das ideale Linux für Container-Anwendungen ist sowohl agil als auch gut abgesichert.
Das ideale Linux für Container-Anwendungen ist sowohl agil als auch gut abgesichert. (Bild: OpenClipart-Vectors - Pixabay.com / CC0)

Administratoren „containerisierter“ Anwendungen wünschen sich ihr Linux flink, performant und einbruchssicher. Zahlreiche Anbieter eilen mit ultra-leichtgewichtigen Distributionen zur Hilfe. Dieser Beitrag beleuchtet die verschiedenen Ansätze und die wichtigsten Anwendungsszenarien.

Als Linux im Laufe der Jahre zum Kraftpaket für Deployments der Enterprise-Klasse heranreifte, gewannen die führenden Distributionen an Vielseitigkeit und anspruchsvollen Features. Neuerdings ist eine derart üppige Ausstattung nicht für alle Einsatzszenarien gleichermaßen erwünscht.

Distributionen wie RHEL oder Suse wurden für langfristige Deployments entwickelt. Traditionell mussten sich Linux-Anbieter um alles andere außer der Größe der eigenen Distribution Gedanken machen; auch die Ressourcenanforderungen waren eher zweitrangig. Zu den Hauptkriterien zählten die Sicherheit, die Vollständigkeit und nicht zuletzt der gebotene Support. Diese Prioritäten haben sich nun aber im Laufe der Containerrevolution auf einmal geändert.

Verstärkt wächst der Bedarf nach „containerisierten“ Anwendungen, die aus einem umfassenden Leistungspaket in der Praxis kaum Gebrauch machen, können ohne unnötig Ressourcen zu verbrauchen. Hier heißt die Devise: Weniger ist mehr.

K.O. nach Punkten: Federleicht in der Schwergewichtsklasse

Vor knapp zwei Jahren waren Container, darunter Docker, nur einigen Linux-Entwicklern ein Begriff. In der Zwischenzeit ist das Interesse an Container-Technik förmlich explodiert.

Das Docker-Logo
Das Docker-Logo (Bild: Docker)

Der Sinn einer ultra-leichtgewichtigen Linux-Distribution besteht nicht darin, für jedes Problem eine Lösung bereits vorinstalliert parat zu haben, sondern ein minimales, agiles Betriebssystem zu bieten, welches bedarfsgerecht die nötige Funktionalität nachladen kann.

CoreOS, Inc. wagte sich als erstes Unternehmen mit einer leichtgewichtigen Cluster-fähigen Linux-Distribution hervor. Als dann Ende letzten Jahres Canonical mit „Ubuntu Core“ nachzog und von der IT-Branche mit ebenfalls großem Interesse aufgenommen wurde, stand plötzlich Red Hat unter Handlungszwang. Im April dieses Jahres stellte auch VMware unter der Bezeichnung „Photon“ eine eigene Lösung vor.

Ultra-leichtgewichtige Linux-Distributionen liegen somit klar im Trend. Es wimmelt bereits vor lauter interessanten Lösungen, welche auf die Bedürfnisse eines containerisierten Datencenters zugeschnitten wurden:

  • CoreOS,
  • Snappy Ubuntu Core,
  • VMware Photon,
  • Red Hat RHEL 7 Atomic Host (oder kurz: RHEL 7 AH),
  • RancherOS,
  • Intel Clear Linux.

Angesichts der Tatsache, dass führende Linux-Anbieter mit großem Eifer ultra-leichtgewichtige Distributionen für das Datencenter entwickeln, stellt sich die Frage, was diese Lösungen konkret leisten.

Snappy Ubuntu Core

Die eigene leichtgewichtige Linux-Distribution taufte Canonical auf den Namen „Snappy Ubuntu Core“. Snappy krönt mehrere Jahre Entwicklungsarbeit von Canonical im Rahmen von Projekten wie „JeOS“ (kurz für „Just Enough OS“) bis hin zu Ubuntu Touch (für Smartphones und Tablets).

Canonical positioniert Snappy Ubuntu Core als ein schnelles und leichtgewichtiges Linux-Betriebssystem für Datencenter, Clouds, Container und IoT-Geräte
Canonical positioniert Snappy Ubuntu Core als ein schnelles und leichtgewichtiges Linux-Betriebssystem für Datencenter, Clouds, Container und IoT-Geräte (Bild: Canonical)

Bei Snappy handelt es sich um ein ultra-schlankes Ubuntu-System auf einer nicht beschreibbaren Boot-Partition (ähnlich wie im Falle von Android, iOS oder Ubuntu Touch liegen die Apps an einem anderen Ablageort, sauber getrennt von Systemdateien) mit transaktionalen Updates und rigoroser Anwendungsisolierung.

Snappy debütiert unter anderem ein neues Packaging-Werkzeug, das sich des Kernel-Sicherheitssystems AppArmor zu Nutze macht, um die benötigte Anwendungsisolierung durchzusetzen. AppArmor bindet Attribute der Zugriffskontrolle an Anwendungen statt an Benutzer, um die Aktivitäten ausführbarer Software auf das Minimum der benötigten Berechtigungen zu beschränken.

Mit Ubuntus Snappy-Packaging-System hat sich Canonical vor allem drei Ziele vorgenommen:

  • verbesserte Sicherheit,
  • eine entwicklerfreundliche Umgebung,
  • ein auf Schlankheit getrimmtes, erweiterbares Betriebssystem mit schmerzlosen Updates.

Mit diesen Zielen vor Augen hat Canonical zwei Typen von Paketen eingeführt: „Frameworks“ und „Apps“. Bei Frameworks handelt es sich um eine direkte Erweiterung des Ubuntu-Core; Frameworks legen die benötigten Systemprivilegien anhand von Sicherheitsrichtlinien fest. Apps können ihre Abhängigkeiten von den benötigten Frameworks deklarieren. In diesem Modell handelt es sich beispielsweise bei Docker um ein Framework, während „dockerisierte“ Applikationen als Snappy-Apps eingerichtet werden und die Docker CLI aufrufen, um mden Lebenszyklus des Containers zu verwalten.

Das Paketsystem von Snappy Ubuntu Core verhält sich in der Praxis wie ein App-Store.

RHEL 7 Atomic Host (RHELAH) mit Atomic Updates und Rollbacks

Red Hat mag nicht der Erste gewesen sein, hat jedoch in einem cleveren Schachzug mit einem eigenen ultra-leichtgewichtigen Betriebssystem auf der Basis des Open Source-Projektes „Atomic“ nachgekartet.

Project Atomic bildet den Unterbau von RHEL 7 Atomic Host (RHELAH).
Project Atomic bildet den Unterbau von RHEL 7 Atomic Host (RHELAH). (Bild: Red Hat)

Im Rahmen von Project Atomic wurde eine Technologie zur Bereitstellung so genannter Atomic Hosts entwickelt, minimalistischer Editionen von RHEL/CentOS/Fedora für die möglichst effiziente Inbetriebnahme von Docker-Containern.

Bei „RHELAH“ handelt es sich um einen Container-Host zum sicheren und zuverlässigen Einsatz von containerisierten Applikationen im Datencenter und der Cloud. RHEL 6- und 7-Applikationen lassen sich für RHEL 7 AH verpacken und in Containern bereitstellen. Die Lösung adressiert traditionelle Bare-Metal-Systeme sowie virtuelle Maschinen in Datacenter.

Zu

Docker-Container in Red Hat Enterprise Linux Atomic Host
Docker-Container in Red Hat Enterprise Linux Atomic Host ( Bild red Hat)

den interessantesten Neuerungen in RHEL 7 AH zählen Atomic Updates und Rollbacks unter Verwendung eines Image-artigen Update-Mechanismus. Ein containersisiertes Atomic-Update lässt sich in einem einzigen Schritt herunterladen und einrichten. Da die vorherige Version der betreffenden Software bei dem Update-Vorgang unverändert erhalten bleibt, lässt sich der vorherige Zustand der Installation jederzeit wiederherstellen, Stichwort: Atomic-Rollback. (Bei einem System-Upgrade steht ein Neustart nach wie vor auf dem Programm.)

Integration von Red Hat Atomic Host und OpenShift
Integration von Red Hat Atomic Host und OpenShift (Bild: Red Hat)

Um die Sicherheit zu unterfüttern nutzt RHEL 7 AH unter anderem SELinux, cgroups und Kernel-Namesräume,. Auch so genannte super-priviligierte Container werden unterstützt.

Red Hat Enterprise Linux 7 Atomic Host (kurz: RHEL 7 AH) überzeugt mit einem überaus durchdachten und ausgereiften Konzept.

RHELAH versteht sich auf die Zusammenarbeit mit „Kubernetes“, Googles Orchestrierungssoftware für die Automatisierung verteilter Applikationen, sowie OpenStack und OpenShift.

RancherOS

Die Entwickler von „RancherOS“ haben sich zum Ziel gesetzt, eine Linux-Distribution für Docker-Container zu erschaffen. In RancherOS läuft Docker direkt auf dem Linux-Kernel (System Docker, PID1); dieser Container initiiert die benötigten Systemdienste in ihren eigenen Containern (den so genannten Systemcontainern).

Alle Dienste des User-Space laufen in ihren eigenen Containern (den so genannten User-Level Containern) innerhalb des so genannten User-Docker-Containers, der aus Sicherheitsgründen von einem separaten Docker-Daemon kontrolliert wird. Der Verlust aller User-Level-Containers geht an den Systemdiensten spurlos vorbei. Als Nebeneffekt nutzt RancherOS das Docker-Framework als Ersatz für einen Paketmanager.

Nutzung des Docker-Framework

Sowohl für Updates als auch für Rollbacks zeichnet in RancherOS das Docker-Framework verantwortlich. Die Docker-API soll die Orchestrierung ermöglichen (zum Beispiel mit einer Lösung namens Rancher desselben Anbieters).

RancherOS kann sich keinesfalls mit RHEL 7 AH messen, aber das war auch von vorne herein nicht das Ziel. RHEL 7 AH musste sich in das hauseigene RHEL 7 (und 6)-Ökosystem einbinden und das resultierende RHEL 7 AH-Image ist auch gut 10x Mal so groß wie jenes von RancherOS.

Die Entwickler von RancherOS konnten bisher noch keine Lösung für einen möglichen Absturz von systemd finden. Auch Fragen rund um die Sicherheit von vernetzten Containern blieben bisher unbeantwortet. Insofern handelt es sich bei RancherOS um nichts anderes als ein wagemutiges Experiment.

VMware Photon und VMware Lightwave

Mit Photon stellte VMware ein leichtgewichtiges Betriebssystem für „VMware vSphere“ und „VMware vCloud Air“, um sowohl traditionelle virtuelle Maschinen als auch Container nativ auf der eigenen Plattform unter einen Hut zu bringen. Nebenbei erwähnt ist es in vSphere und vCloud Air nun möglich, Container nicht nur isoliert, sondern sogar innerhalb einer virtuellen Maschine abgeschottet voneinander laufen zu lassen.

Photon, VMwares eigene Technologievorschau eines Linux-Container-Host mit Unterstützung für Docker, rkt und Pivotal Garden Container; außerdem ist Photon für den Einsatz mit VMware-Produkten wie vSphere optimiert.
Photon, VMwares eigene Technologievorschau eines Linux-Container-Host mit Unterstützung für Docker, rkt und Pivotal Garden Container; außerdem ist Photon für den Einsatz mit VMware-Produkten wie vSphere optimiert. (Bild: VMware)

Mit dem kürzlich vorgestellten Projekt „Lightwave“ entsteht laut VMware ein einzigartiger Sicherheitsunterbau für VMware Photon. Lightwave soll zentralisiertes Identitäts-Management bereitstellen, für die Schlüsselverwaltung verantwortlich zeichnen und zudem eine skalierbare Multi-Tenant-Architektur ermöglichen. Die Unterstützung für quelloffene Standards umfasst u.a. Kerberos, LDAP v3, SAML, X.509 und WS-Trust.

Das Projekt Lightwave erhöht die Sicherheit von virtuellen Maschinen und Containern.
Das Projekt Lightwave erhöht die Sicherheit von virtuellen Maschinen und Containern. (Bild: VMware)

Durch die Integration zwischen Photon und Lightwave sollen Administratoren befähigt werden, Richtlinien für die Sicherheit der Compute-, Storage-, Networking und Management-Infrastruktur festzulegen.

Schema der Funktionsweise von VMware Photon und Lightwave
Schema der Funktionsweise von VMware Photon und Lightwave (Bild: VMware)

VMware hat die Projekte Photon und Lightwave mehr oder weniger zeitgleich an den Start geschickt, um die Container-Sicherheit so rasch wie möglich zu verbessern. Dennoch liegen beide diese Technologien bisher noch nicht in einer produktionsreifen Fassung vor. Der Anbieter selbst stuft beide diese Lösungen bisher noch als eine Technology Preview ein und regt in VMTN-Foren und in GitHub die Diskussion über die Weiterentwicklung dieser Technologie an. VMware hofft, beide Projekte vor der „Black Hat USA“ im August 2016 fertig zu stellen.

Intel Clear Linux und Core OS mit Intel Clear Containers-Technik

Mit „Clear Linux Project“ für die Intel-Architecture hat sich der führende Chip-Hersteller an einer eigenen leichtgewichtigen Linux-Distribution versucht. Das Experiment führte zu einer Zusammenarbeit mit CoreOS.

Clear Containers machen sich die Virtualisierungstechnologie Intel VT zu Nutze.
Clear Containers machen sich die Virtualisierungstechnologie Intel VT zu Nutze. (Bild: Intel)

CoreOS Inc. hatte sich mit der gleichnamigen Cluster-fähigen Distribution das Ziel auf die Fahnen geschrieben, die Inbetriebnahme von verteilten Linux-Systemen zu vereinfachen, und konnte im Zuge der Zusammenarbeit dank Intels Hypervisor-basierter Clear Containers-Technologie mit Isolationsebenen die Sicherheit von Rocket-Containern deutlich verbessern.

Clear Containers bieten dank stärkerer Abschirmung beinahe denselben Schutz wie eine virtuelle Maschine und doch können sie für sich in Anspruch nehmen, nahezu die volle Leistung eines konventionellen Linux-Containers an den Tag zu legen. Während ein Container lediglich in Millisekunden hochfährt, braucht eine virtuelle Maschine zwischen mehreren Sekunden und einigen Minuten an Startzeit.

Die Highlights

Clear Containers, die in Intels Clear Linux debütierten, zählen nun zu den Highlights von CoreOS. Clear Containers machen sich Intels Virtualisierungstechnologie Intel VT zu Nutze. Durch den Verzicht auf die Nutzung generischer Hardware und den Einsatz halbwegs moderner Intel-Komponenten ließen sich zahlreiche Verbesserungen implementieren, darunter:

  • ein schneller und leichtgewichtiger Hypervisor mit der Bezeichnung „kvmtool“,
  • Optimierungen im Kernel und im systemd-Daemon,
  • Nutzung des DAX (Direct access)-Features des Linux-Kernels ab der Version 4.0,
  • Kernel-Same-Page-Merging auf dem Host,
  • Optimierung des Core-User-Space zur Reduzierung des Speicherverbrauchs.

Die Resultate können sich durchaus sehen lassen. So führt bereits die Nutzung einer Intel Core-CPU der vierten Generation in Kombination mit einem SSD zu merklich verbesserter Leistung. Anstatt in mehreren Sekunden oder Minuten startet ein Clear-Container bereits in unter 150 Millisekunden. Der Overhead pro Container fällt mit 18-20 MB vergleichsweise moderat aus.

In der Praxis lassen sich so über 3.500 Clear-Container pro Server mit 128 Gigabyte RAM starten. Zwar kommt man auf diese Weise nicht ganz auf die noch etwas höhere Performance eines Docker-Containers mit Kernel-Namespaces, aber die stark verbesserte Sicherheit, die mit Intels Technologie einher geht, rechtfertigt den geringen Overhead durchaus.

Mit der Clear Containers-Technologie trug Intel zur maßgeblichen Verbesserung von CoreOS im Hinblick auf die Handhabung von Containern bei.

Ergänzendes zum Thema
 
Das Fazit der Autoren

Die Autoren:

* Das Autoren-Duo Filipe Pereira Martins und Anna Kobylinska arbeitet bei Soft1T S.a r.l. Beratungsgesellschaft mbH McKinley Denali Inc. (USA).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44398789 / Betriebssysteme)