Was sind Container?

Das Ergebnis ist ein Container-Image, das auf einer Container-Plattform ausgeführt wird. Ein Container-Image stellt Binärdaten dar, die eine Anwendung und alle ihre Softwareabhängigkeiten enthalten. 

Die Containerisierung ermöglicht es, Anwendungen „einmal zu schreiben und überall auszuführen”, was die Portabilität erhöht, den Entwicklungsprozess beschleunigt, die Bindung an Cloud-Anbieterbindung verhindert und vieles mehr. 

Containerisierung und Prozessisolation gibt es schon seit Jahrzehnten². Ein historischer Moment in der Entwicklung von Containern war 1979 die Entwicklung von Chroot, das Teil des Betriebssystems Unix Version 7 ist. Mit Chroot wurde das Konzept der Prozessisolation eingeführt, indem es den Dateizugriff einer Anwendung auf ein bestimmtes Verzeichnis (das Stammverzeichnis) und dessen Unterverzeichnisse (oder Unterprozesse) beschränkte.

Ein weiterer bedeutender Meilenstein wurde 2008 erreicht, als Linux-Container (LXCs) in den Linux-Kernel implementiert wurden, wodurch die Virtualisierung für eine einzelne Instanz von Linux vollständig ermöglicht wurde. Im Laufe der Jahre haben Technologien wie FreeBSD-Jails und AIX-Workload-Partitionen eine ähnliche Virtualisierung auf Betriebssystemebene ermöglicht.

Während LXC eine bekannte Laufzeitumgebung bleibt und Teil des Linux-Distributions- und herstellerneutralen Projekts³ ist, sind neuere Linux-Kernel-Technologien verfügbar. Ubuntu, ein modernes Open-Source-Linux-Betriebssystem, bietet diese Funktion ebenfalls. 

Sehen Sie sich das Video an, um mehr über die Containerisierung zu erfahren:

Die meisten Entwickler betrachten das Jahr 2013 mit der Einführung von Docker als Beginn des modernen Container-Zeitalters. Docker ist eine Open-Source-Containerisierungs-Softwareplattform, die als  Platform as a Service (PaaS) fungiert und Entwicklern die Erstellung, Bereitstellung, Ausführung, Aktualisierung und Verwaltung von Containern ermöglicht.

Docker verwendet den Linux-Kernel (die Basiskomponente des Betriebssystems) und Kernel-Funktionen (wie Cgroups und Namespaces), um Prozesse zu trennen, damit sie unabhängig voneinander ausgeführt werden können. Docker konvertiert eine Anwendung und ihre Abhängigkeiten im Wesentlichen in einen virtuellen Container, der auf jedem Windows-, macOS- oder Linux-basierten Computersystem ausgeführt werden kann.

Docker basiert auf einer Client-Server-Architektur, wobei Docker Engine als zugrunde liegende Technologie dient. Docker bietet ein Image-basiertes Bereitstellungsmodell, das die gemeinsame Nutzung von Apps in verschiedenen Computerumgebungen vereinfacht. 

Um etwaige Missverständnisse auszuräumen: Der Namensgeber der Docker-Containerplattform bezieht sich auch auf Docker, Inc.⁴, das Produktivitätswerkzeuge auf der Grundlage seiner Open-Source-Containerisierungsplattform und des Docker-Open-Source-Ökosystems und der Docker-Community⁵ entwickelt.

Im Jahr 2015 gründeten Docker und andere führende Unternehmen der Container-Industrie die Open Container Initiative⁶ , die Teil der Linux Foundation ist. Dabei handelt es sich um eine offene Verwaltungsstruktur, die speziell zu dem Zweck gegründet wurde, offene Branchenstandards für Containerformate und Laufzeitumgebungen zu schaffen.

Docker ist mit einem Marktanteil von 82,84 % das meistgenutzte Tool zur Containerisierung.⁷

Der Betrieb von Hunderttausenden von Containern in einem System kann unüberschaubar werden und erfordert eine Managementlösung zur Orchestrierung. 

An dieser Stelle kommt die Container-Orchestrierung zum Einsatz, die es Unternehmen ermöglicht, große Mengen in ihrem gesamten Geschäftsablauf zu verwalten, und Folgendes bietet: 

• Bereitstellung
• Redundanz
• Zustandsüberwachung
• Ressourcenzuweisung
• Skalierung und Lastenausgleich
• Wechsel zwischen physischen Hosts

Neben anderen Container-Orchestrierungsplattformen (z. B. Apache Mesos, Nomad, Docker Swarm) hat sich Kubernetes zum Branchenstandard entwickelt.

Die Kubernetes-Architektur besteht aus aktiven Clustern, die es Containern ermöglichen, auf mehreren Maschinen und in verschiedenen Umgebungen ausgeführt zu werden. Jeder Cluster besteht in der Regel aus Worker-Knoten, auf denen die containerisierten Anwendungen ausgeführt werden, und Steuerungsplan-Knoten, die den Cluster steuern. Die Steuerungsebene fungiert als Orchestrator des Kubernetes-Clusters. Sie umfasst mehrere Komponenten: den API-Server (verwaltet alle Interaktionen mit Kubernetes), den Steuerungsmanager (verwaltet alle Steuerungsprozesse), den Cloud-Controller-Manager (die Schnittstelle zur API des Cloud-Providers) usw. Worker-Knoten führen Container mithilfe von Container-Laufzeiten wie Docker aus. Pods, die kleinsten bereitstellbaren Einheiten in einem Cluster, enthalten einen oder mehrere App-Container und teilen Ressourcen wie Speicher- und Netzwerkinformationen.

Kubernetes ermöglicht es Entwicklern und Betreibern, den gewünschten Zustand ihrer gesamten Containerumgebung über YAML-Dateien zu deklarieren. Anschließend übernimmt Kubernetes die gesamte Verarbeitung, um diesen Zustand einzurichten und aufrechtzuerhalten. Zu den Aktivitäten gehören das Bereitstellen einer bestimmten Anzahl von Instanzen einer bestimmten Anwendung oder Workloads, das Neustarten dieser Anwendung bei einem Ausfall, der Lastausgleich, die automatische Skalierung, Bereitstellungen ohne Ausfallzeiten und vieles mehr. Die Container-Orchestrierung mit Kubernetes ist auch für die kontinuierliche Integration und Bereitstellung (CI/CD) oder die DevOps-Pipeline von entscheidender Bedeutung – was ohne  Automatisierung nicht möglich wäre.

Im Jahr 2015 spendete Google Kubernetes an die Cloud Native Computing Foundation (CNCF)⁸, die unter der Schirmherrschaft der Linux Foundation stehende und herstellerunabhängige Open-Source-Plattform für Cloud-Computing. Seitdem hat sich Kubernetes zum weltweit am weitesten verbreiteten Container-Orchestrierungstool für die Ausführung von containerbasierten Workloads entwickelt. Einem CNCF-Bericht⁹ zufolge ist Kubernetes das zweitgrößte Open-Source-Projekt der Welt (nach Linux) und das primäre Container-Orchestrierungstool für 71 % der Fortune-100-Unternehmen. 

Container as a Service (CaaS) ist ein  Cloud-Computing-Service, der es Entwicklern ermöglicht, containerisierte Anwendungen zu verwalten und bereitzustellen, sodass Unternehmen jeder Größe Zugang zu portablen, leicht skalierbaren Cloud-Lösungen erhalten.

CaaS bietet eine cloudbasierte Plattform, mit der Benutzer containerbasierte Virtualisierungs- und Containerverwaltungsprozesse optimieren können. CaaS-Anbieter bieten unzählige Funktionen, darunter (aber nicht ausschließlich) Container-Laufzeiten, Orchestrierungsebenen und persistente Speicherverwaltung.

Ähnlich wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) ist CaaS von Cloud-Service-Anbietern (z. B. AWS, Google Cloud Services, IBM Cloud, Microsoft Azure) über ein nutzungsbasiertes Preismodell verfügbar, bei dem die Benutzer nur für die von ihnen genutzten Dienste bezahlen. 

Da Entwickler Container verwenden, um Microservice zu erstellen und auszuführen, gehen die Belange des Managements über die Lebenszyklusbetrachtungen einzelner Container hinaus und betreffen die Art und Weise, wie eine große Anzahl kleiner Dienste – oft als „Service Mesh” bezeichnet – miteinander verbunden sind und zueinander in Beziehung stehen. Istio erleichtert Entwicklern die Bewältigung der damit verbundenen Herausforderungen in Bezug auf Erkennung, Datenverkehr, Überwachung, Sicherheit und mehr. 

Knative (ausgesprochen 'key-neytive') ist eine Open-Source-Plattform, die einen einfachen Einstieg in das serverlose Computing ermöglicht. Dabei handelt es sich um ein Modell für die Entwicklung und Ausführung von Cloud-Computing-Anwendungen, mit dem Entwickler Anwendungscode erstellen und ausführen können, ohne Server oder Backend-Infrastruktur bereitstellen oder verwalten zu müssen.

 Anstatt eine laufende Code-Instanz bereitzustellen, die im Leerlauf auf Anfragen wartet, wird der Code bei Bedarf hoch- oder herunterskaliert, wenn die Nachfrage schwankt. Wenn der Code schließlich nicht mehr gebraucht wird, wird er wieder entfernt. Serverless verhindert die Verschwendung von Rechenkapazität und Energie und senkt Kosten, da Sie nur dann für die Ausführung des Codes zahlen, wenn er ausgeführt wird.

Container können überall eingesetzt werden, wodurch neue Angriffsflächen in der Umgebung der containerbasierten Umgebung entstehen. Zu den anfälligen Sicherheitsbereichen gehören Container-Images, Image-Register, Container-Laufzeiten, Container-Orchestrierungsplattformen und Host-Betriebssysteme.

Zunächst müssen Unternehmen die Containersicherheit in ihre Sicherheitsrichtlinien und Gesamtstrategie integrieren. Solche Strategien müssen bewährte Sicherheitspraktiken sowie cloudbasierte Sicherheitssoftwaretools umfassen. Dieser ganzheitliche Ansatz sollte so konzipiert sein, dass er containerisierte Anwendungen und die ihnen zugrunde liegende Infrastruktur während des gesamten Container-Lebenszyklus schützt.

Zu den besten Sicherheitspraktiken gehört eine Zero-Trust-Strategie, die davon ausgeht, dass die Sicherheit eines komplexen Netzwerks immer durch externe und interne Bedrohungen gefährdet ist. Darüber hinaus verlangen Container einen DevSecOps -Ansatz. DevSecOps ist ein Sicherheitsansatz, der die Integration von Sicherheitspraktiken in jeder Phase des Softwareentwicklungszyklus automatisiert – vom ersten Entwurf über die Integration, das Testen und die Bereitstellung bis hin zum Deployment.

Unternehmen müssen auch die richtigen Container-Sicherheitstools nutzen, um Risiken zu minimieren. Zu den automatisierten Sicherheitslösungen gehören Konfigurationsmanagement, Zugriffskontrolle, Scannen auf Malware oder Cyberangriffe, Netzwerksegmentierung, Überwachung und vieles mehr. 

Zusätzlich stehen Software-Tools zur Verfügung, die sicherstellen, dass containerisierte Workloads Compliance- und Regulierungsstandards wie der DSGVO, HIPAA usw. entsprechen.