Ein junges Projekt aus der OpenStack Foundation sorgt für Aufsehen
10 Dinge, die man über Kata Containers wissen sollte
| Autor / Redakteur: James Kulina / Ludger Schmitz
Fast jede Diskussion über Linux-Container kommt auf die Unterschiede zwischen Container-Technologie und Virtualisierung. Das quelloffene Kata-Containers-Projekt der OpenStack Foundation nutzt diese Unterschiede, um Container-Implementierungen sicherer zu machen.
Das Ziel des quelloffenen Kata-Containers-Projekts und der Community dahinter ist es, eine Standardimplementierung leichter virtueller Maschinen (VMs) zu entwickeln, die sich wie Container anfühlen und sich auch so verhalten, andererseits aber die Vorteile der Arbeitslast-Isolierung und Sicherheit von VMs bieten. Dadurch kann Kata einige der mit Containern verbundenen Bedenken zerstreuen, insbesondere hinsichtlich der Skalierung. Im Folgenden findet man zehn Punkte, die einen tieferen Einblick in Kata erlauben.
1. Wozu Kata, und warum genau jetzt?
Das Linux-Container-Modell ist nicht ohne Grund so erfolgreich: Container sind leicht, schnell und lassen sich in viele verschiedene Anwendungsabläufe integrieren. Allerdings gibt es mögliche Sicherheitsprobleme beim Betrieb von Containern, insbesondere bei Containern in einem Einzelbetriebssystem: Letztendlich teilen sich die Container einen Kern, einen I/O-Pfad, dasselbe Netzwerk, den Speicher usw. Deshalb sind Gefährdungen eines Containers potenziell auch Gefährdungen vieler anderer. Kata ist so ausgelegt, dass es über den Hypervisor dieses Sicherheitsrisiko verringern kann. So entsteht eine virtuelle Maschine, die aussieht und sich anfühlt, wie ein Container.
2. Verwaltung
Hinter dem Kata-Containers-Projekt steckt die OpenStack Foundation. Diese beabsichtigt, eine gewichtigere Rolle in der Open-Source-Bewegung einzunehmen, und Kata ist dabei der erste Vorstoß. Kata Containers gehört nicht zum „OpenStack-Projekt“, sondern ist viel eher ein unabhängiges Projekt mit eigener technischer Leitung und Mitarbeiterbasis. Neben OpenStack-betriebenen Clouds bietet der Fahrplan für Kata Containers auch Unterstützung für mehrere gängige Infrastrukturanbieter und Strukturen zur Container-Orchestrierung. Außerdem sind im Kata-Architekturausschuss auch Unternehmen wie Google und Microsoft vertreten.
3. Entstehung
Kata beruht auf „Intel Clear Containers“ und der „Hyper-runV“-Technologie. Intel und Hyper hatten zuvor eigene Container-Projekte mit unterschiedlichen Stärken: Intel konzentrierte sich dabei auf die Leistung, wohingegen Hyper plattformunabhängig war. Die beiden Projekte von Intel und Hyper gingen die Frage der Container-Sicherheit getrennt an, waren aber auch nicht vollständig voneinander isoliert, und ihre Ergebnisse waren sich zum Teil ähnlich. Beide zielten auf eine sehr wichtige Frage in containerisierten Umgebungen ab: Die Schichtung von Umgebungen wie Kubernetes auf OpenStack, OpenStack auf Kubernetes, oder auch Kubernetes auf OpenStack auf Kubernetes. Das Zusammenspiel von Containern ist eine Schicht im Stack, und Kata vereinfacht jetzt die Integration dieser Schichten bei gleichzeitiger Beibehaltung der Sicherheit.
4. Lizenzierung
Das Hosting von Kata Containers wird von Github unter der Apache-2-Lizenz gewährleistet. Wer einen Beitrag leisten möchte oder weitere Information wünscht, klickt einfach hier www.katacontainers.io.
5. Aufbau der Kata-Architektur
Das Kata-Containers-Projekt besteht jetzt zu Anfang aus sechs Bestandteilen: Agent, Runtime, Proxy, Shim, Kernel und ein Bündel mit QEMU 2.9. Es wurde so konzipiert, dass es unabhängig von der Architektur ist, auf mehreren Hypervisors läuft und kompatibel mit den Spezifikationen OCI für Docker-Container sowie CRI für Kubernetes ist, siehe Grafik.
6. Betriebssysteme, auf denen es läuft
Derzeit läuft Kata Containers nur auf Linux. Auf der Host-Seite gibt es Installationsanleitungen für einige verbreitete Distributionen. Außerdem gibt es Unterstützung für Clear Linux, Fedora und CentOS 7 rootfs-Images über den OSBuilder, mit dem man auch seine eigenen Gast-Images erstellen kann.
7. Integration von Kata mit bestehenden Container-Plattformen
Das Projekt verbindet die beiden am besten integrierten und virtualisierten quelloffenen Code-Basen und zielt auf eine offene Leitung („Governance“) ab. So unterstützt die Kata-Containers-Community unterschiedliche Architekturen und treibt die Akzeptanz der Technologie über mehrere Infrastrukturen und Container-Orchestrierungs-Communities voran. Zu diesen Communities zählen Kubernetes, Docker, OCI, CRI, CNI, QEMU, KVM und OpenStack. Die Kompatibilität mit OCI ermöglicht zum Beispiel die Verwendung von Docker-Images, ohne hierfür andere Werkzeuge zu benötigen. Außerdem ist Kata bereits beliebt mit Kubernetes und dessen Integration in die neue Technologie, weil Kubernetes schon in der Public Cloud läuft und Container orchestriert.
8. Ein paar Anwendungsfälle
Kata funktioniert gut in Umgebungen, in denen man die Effizienz eines Container-Stacks mit einer höheren Sicherheitsstufe braucht, als wenn Container nur Seite an Seite in einem einzelnen Kernel laufen. Dazu gehören die kontinuierliche Integration und Bereitstellung (CI/CD), virtualisierte Netzwerkfunktionen, Edge-Computing, Entwicklung und Test sowie Container als Dienst (CaaS). Darüber hinaus passt Kata mit seinem sehr kleinen Fußabdruck und der hohen Sicherheitsstufe sehr gut zu Nischen-Implementierungen, bei denen es nur begrenzte Ressourcen gibt. Kata Containers stehen noch ganz am Anfang, aber die technischen Grundlagen des Projekts (also Clear Containers und runV) sind weltweit bei großen Unternehmen im Einsatz, wie zum Beispiel bei JD.com, Chinas umsatzstärksten eCommerce-Unternehmen.
9. Wer hat Unterstützung zugesichert?
Schon seit Produktstart wird Kata von über 20 Unternehmen unterstützt, darunter 99cloud, AWcloud, Canonical, China Mobile, City Network, CoreOS, Dell/EMC, EasyStack, Fiberhome, Google, Huawei, JD.com, Mirantis, NetApp, Red Hat, SUSE, Tencent, Ucloud, UnitedStack und ZTE.
10. Was bedeutet „Kata“?
Der Name Kata kommt vom griechischen Wort Καταπίστευμα [ka-ta-PI-stev-ma], was so viel bedeutet wie „jemandem etwas anvertrauen“.
Kata Containers arbeitet daran, das Vertrauen von Organisationen zu gewinnen, die verstärkt Linux-Container nutzen möchten.
* James Kulina ist COO bei Hyper.
