„VMs wird es noch lange geben.“

Virtualisierung und/oder Containerisierung? Argumente aus der Praxis

| Redakteur: Ulrike Ostler

Container werden immer öfter als Cloud-Software-Infrastruktur verwendet
Container werden immer öfter als Cloud-Software-Infrastruktur verwendet (Bild: gemeinfrei olafpictures/pixabay / Pixabay)

Container und Funktionen als Service (FaaS), so heißt es, gehört die Zukunft der Software-Infrastrukturen. Ist dann noch Platz für klassische virtuelle Maschinen? Über dieses Thema sprach Ariane Rüdiger für DataCenter-insider.de mit Markus Schaub, Senior-Trainer bei Comconsult.

Immer mehr Software und Softwareservices werden in Containern bereitgestellt. Sogar VMware baut jetzt mit dem Projekt „Pacific“ seine eigene Container-Infrastruktur sozusagen auf VMware drauf. Die FaaS (Function as a Service)-Angebote der großen Provider boomen. Wozu dann überhaupt noch virtuelle Maschinen?

Markus Schaub: Erst einmal ist es so, dass Container gar nicht direkt auf Blech laufen. Sie brauchen auf jeden Fall ein Betriebssystem, auf dem sie aufsetzen. Das ist heute meistens „Linux“, man kann auch „MacOS“ und „Windows“ verwenden. Alle Container eines Systems teilen sich die Kernfunktionen und die Schnittstellen des Betriebssystems für den Hardwarezugriff. Wer es schafft, an die Hardware zu kommen, indem er die Sicherheitsmechanismen des Betriebssystems überwindet, kann auf alle Container zugreifen.

Container sind also unsicher?

Markus Schaub: Virtuelle Maschinen nutzen zumindest eigene Hardwarebereiche, die nur ihnen zugewiesen sind. Man ist nicht auf die Sicherheitsmechanismen der Betriebssysteme darunter angewiesen. Deshalb werden ja Container häufig in virtuelle Maschinen gepackt.

Das ist andererseits doppelter Infrastrukturaufwand. Ist es das wirklich, was Kunden heute wollen? Es heißt doch immer, man strebe nach einer schlanken IT.

Markus Schaub: Wenn ich unsere Kunden betrachte, wollen sie eindeutig Virtuelle maschinen (VMs) oder sie wollen sie mit Containern mischen. Die meisten richten sich nach ihrem Bauchgefühl, und das sagt ihnen, dass das Wichtigste eine ordentliche Isolierung relevanter Workloads ist.

Deshalb kaufen einige immer noch für jede bedeutende Anwendung einen Server. Einer unserer Kunden hat gerade aus diesem Grund wieder 1.000 Server angeschafft.

Das widerspricht doch sehr heftig den Ratschlägen von Fachleuten. Das Uptime Institut rät beispielsweise Kunden, die weniger als 25 Racks betreiben, ihre Infrastruktur aus Kostengründen ganz zu einem Co-Location-Anbieter zu verlegen.

Markus Schaub: Das ist hier in Deutschland ganz einfach anders. Einige Kunden suchen geradezu nach Gründen gegen die Cloud und Co-Location. Oft wird dann mit der DSGVO gewunken. Wir haben einen großen Kunden aus dem Gesundheitsbereich, der sogar die Spracherkennung selbst hostet, obwohl die Qualität viel geringer ist als etwa bei „Alexa“ oder „Siri“. Bei solchen Kunden ist einfach VMware State of the Art.

Nutzen solche Kunden Hybrid Clouds?

Markus Schaub: Ja, aber sie trennen den privaten und den public-Teil strikt, was im strengen Sinne bedeutet, dass es gar keine echte Hybrid-Infrastruktur ist. In der Cloud laufen Sachen wie Test, Datensicherung, Web-Services und „Office 365“, auf dem eigenen Rechenzentrum der ganze Rest. Co-Location ist den meisten wegen des Bandbreitenbedarfs viel zu teuer.

Aber wird beiCo-Location-Anbietern nicht viel Verbindungsaufwand durch Interconnect direkt im Co-Location-Rechenzentrum abgefangen?

Markus Schaub: Das gilt vielleicht für einige große Unternehmen an gut besetzten Standorten wie Frankfurt, aber nicht in der Fläche.

Zurück zu den Containern: Was denken Sie, wie sich deren Einsatz weiterentwickelt?

Markus Schaub: Wenn ich sage, VMs bleiben, heißt das nicht, dass Container nicht zunehmen. Mit Kubernetes gibt es jetzt einen Orchestrierer, der mit allen möglichen Containerformaten arbeiten kann.

Das meiste wird hier in Zukunft Open Source weiterentwickelt. Die ganz Großen wie AWS oder Google haben daran ein vitales Interesse. Sie wollen, dass die Container und ihre Orchestrierungs-Tools frei bleiben, sonst würden sie ja Unmengen Lizenzgebühren zahlen müssen.

"Virtuelle Maschinen wird es trotz Containern noch lange geben", Markus Schaub, Senior-Trainer bei ComConsult (Bild: ComConsult)
"Virtuelle Maschinen wird es trotz Containern noch lange geben", Markus Schaub, Senior-Trainer bei ComConsult (Bild: ComConsult) (Bild: ComConsult)

Ist Docker an dieser Situation gescheitert?

Markus Schaub: So könnte man das sehen. Docker hat versucht, ein Geschäft mit Images von Containern zu machen, die ja irgendwo aufbewahrt werden müssen. Aber das hat sich nicht gerechnet. Das ist kein Schaden; denn in der Open-Source-Community steht dank des Engagements der Großen genügend Geld für Container-Weiterentwicklung zur Verfügung.

Und worin sehen Sie die Rolle von FaaS?

Markus Schaub: FaaS hat auf jeden Fall seine Berechtigung und wird ja auch sehr gern genutzt. Man darf aber nicht vergessen, dass es sich da nicht um Anwendungen im klassischen Sinn handelt, sondern bloß um Funktionen, die irgendein Trigger aktiviert. Sie tun dann, was sie sollen - und das war‘s.

Der Trigger kann irgendein Ereignis sein – beispielsweise eine Reaktion auf das Web-API des Cloud-Providers, wenn es angesprochen wird. Der Provider verdient dann an solchen Triggern. Deshalb gibt es für alle drei Varianten - Virtuelle Maschinen, Container und FaaS - genug Platz.

Widerspricht das nicht DevOps als Entwicklungsparadigma? Das ist doch komplett auf Container ausgerichtet.

Markus Schaub: Nein, überhaupt nicht. Bei der Software-Entwicklung brauche ich ja Mandanten. In der Regel sind das drei, nämlich Entwicklung, Test und Betrieb. Diese werden wegen der strikten Trennung als VMs realisiert. In ihnen laufen die Container für die einzelnen Anwendungen oder Services. Das hat den Vorteil, dass ich dem Container, der im Entwicklungsbereich läuft, über Parametrisierung beim Transfer in den Test oder den Betrieb eine andere Betriebsumgebung mitgeben kann. Das ist für DevOps optimal.

Nochmal zurück zum Thema Container-Sicherheit: Es gibt doch Ansätze, Container inhärent sicher zu machen…

Markus Schaub:Sicher gibt es die. Beispielsweise das Open-Source-Projekt „Istio“. Dabei erhält jeder Pod - also eine zusammengefasste Gruppe von Containern - einen Container, der als https://-Server arbeitet.

Die Container im Pod kommunizieren mit Containern in anderen Pods ausschließlich über diesen Server, der als Proxy dient. Die Pods reden über die Server miteinander, das ist das Service Mesh, das von Istio gesteuert wird. Das alles funktioniert als Ergänzung zu Kubernetes, das im Kern der modernen Containerwelt steht.

Was passiert, wenn in ein solches Umfeld ein bösartiger Container eingeschleust wird?

Markus Schaub: `Mal angenommen, er gerät irgendwie in ein Containernetz. Weil er nicht über das richtige Zertifikat verfügt, kann er auch nicht kommunizieren und bleibt also isoliert.

Das spricht langfristig doch für einen Erfolg für Container gegenüber VMs, schließlich erzeugen letztere auch mehr Kosten.

Markus Schaub: Das Kostenargument stimmt tatsächlich; denn VMs kosten in der Cloud dreimal:

- erstens, weil sie überhaupt existieren - das betrifft die Kosten für den Speicherraum -
- zweitens, wenn sie aktiv werden
- und schließlich kostet der Traffic, den sie generieren.

Man kann sie relativ kostengünstig in der Cloud betreiben, wenn man sie mit einem Load Balancer koppelt, der sie nur bei Überschreitung bestimmter Leistungsschwellen startet und bei Unterschreiten anderer wieder abschaltet. Abgeschaltete Container verschwinden bis auf ihr Image, aus dem man aber beliebig viele VMs machen kann.

Aber: VMs sind eine etablierte Technologie, mit der man umzugehen weiß. Auch die Provider kombinieren vorläufig VMs und Container. Deshalb sehe ich kurzfristig keinen Grund, warum sie verschwinden sollten.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46378485 / Virtualisierung)