Linux-Kernel : Container von Docker und CoreOS Rocket aktualisiert

, 12 Kommentare
Linux-Kernel: Container von Docker und CoreOS Rocket aktualisiert
Bild: Håkan Dahlström (CC BY 2.0)

Die Teams von Docker und CoreOS haben ihre Container-zentrierten Laufzeitumgebungen aktualisiert. Docker 1.10 und CoreOS Rocket 1.0 setzen beide auf verstärkte Sicherheit. Beide nutzen dazu unterschiedliche Funktionen des Linux-Kernels.

Docker 1.10 bringt Docker Compose in Version 1.6 mit. Hierbei handelt es sich um ein Werkzeug zur Orchestrierung von Docker-Applikationen mit multiplen Containern. Docker Compose nutzt jetzt die mit Docker 1.9 eingeführten verbesserten Fähigkeiten um Netzwerk- und Storagekapazitäten zu definieren. Zudem kann Compose sich jetzt in Repositories bedienen anstatt alle Images selbst zu bauen. Die Netzwerkfähigkeiten von Docker Engine wurden um die Zuweisung einer festen IP sowie um die Möglichkeit, mehrere Hostnamen pro Container zu vergeben, erweitert.

Bei der Sicherheit setzt Docker die Kernelfunktion Secure Computing Mode (seccomp) ein, die mit anpassbaren Profilen Systemaufrufe filtert und Sandboxes für Applikationen ermöglicht. Auch das Konzept der User-Namespaces ist dem Kernel entlehnt und erlaubt durch die feingranulare Steuerung der Zugriffsrichtlinien die Isolierung mehrerer User auf dem gleichen Docker Host.

YouTube-Video: rkt v1.0: Getting started

Direkte Konkurrenz

Nach rund 15 Monaten Entwicklungszeit hat die Linux-Distribution CoreOS jetzt Version 1.0 seiner Rocket ausgesprochenen Container-Laufzeitumgebung rkt vorgelegt. Rkt dient zum Starten, Stoppen und Verwalten von Containern. Auch die CoreOS-Entwickler haben weiter an der Verbesserung der Sicherheit gearbeitet. Immerhin war die bei Docker vor 15 Monaten monierte angeblich schlechte Sicherheit der Grund, eine eigene Umgebung in direkter Konkurrenz zu Docker zu starten. Rkt setzt dabei auf das App-Container-Format, kurz appc genannt, bleibt aber auch weiterhin mit Docker kompatibel

Rkt in Version 1.0 setzt bei der Sicherheit auf SELinux und TPM, Container können per Kernel-Virtualisierung mit KVM isoliert werden. Zudem werden alle Images signiert und CoreOS forciert die Validierung der Signatur. Die Schnittstellen des Kommandozeilentools rkt bezeichnet CoreOS als stabil, künftige Änderungen daran sollen abwärtskompatibel sein.

Unter Mithilfe von Clear Container aus Intels hauseigener Clear-Linux-Distribution und LKVM startet rkt Container aus Sicherheitsgründen alternativ in eine virtuelle Maschine.

Der Quellcode von rkt wird auf GitHub gehostet.

YouTube-Video: Best practices for building secure Docker images