Was sind Container?

Container machen sich eine Form der Betriebssystemvirtualisierung zunutze, bei der Funktionen des Betriebssystemkernels (z. B. Linux-Namespaces und Cgroups, Windows-Silos und Jobobjekte) verwendet werden können, um Prozesse zu isolieren und die Menge an CPU, Speicher und Festplatte zu steuern, auf die diese Prozesse zugreifen können.

Container sind mobiler und ressourceneffizienter als Virtual Machines (VMs) und haben sich zu den De-facto-Recheneinheiten moderner cloudnativer Anwendungen entwickelt. Darüber hinaus sind Container für die zugrunde liegende IT-Infrastruktur, die hybride Multicloud-Einstellungen ermöglicht, von entscheidender Bedeutung – die Kombination von On-Premises, Private Cloud, Public Cloud und mehr als einem Cloud-Service von mehr als einem Cloud-Anbieter.

Laut einem Bericht von Business Research Insights¹ wurde der weltweite Markt für Containertechnologie im Jahr 2021 auf 496,4 Millionen US-Dollar beziffert und wird bis 2031 voraussichtlich 3123,42 Millionen US-Dollar erreichen, mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 19,8 %.

Eine Möglichkeit, einen Container besser zu verstehen, besteht darin, zu verstehen, wie er sich von einer herkömmlichen Virtual Machine (VM) unterscheidet, die eine virtuelle Darstellung oder Emulation eines physischen Computers ist. Ein virtueller Computer wird oft als Gast bezeichnet, während der physische Computer, auf dem er ausgeführt wird, als Host bezeichnet wird.

Virtualisierungstechnologie macht VMs möglich. Ein Hypervisor – eine kleine Softwarebene – weist jeder VM physische Rechenressourcen (z. B. Prozessoren, Arbeitsspeicher, Speicher) zu. Es hält jede VM von den anderen getrennt, sodass sie sich nicht gegenseitig stören. Jede VM enthält dann ein Gastbetriebssystem und eine virtuelle Kopie der Hardware, die für die Ausführung des Betriebssystems erforderlich ist, sowie eine Anwendung und die zugehörigen Bibliotheken und Abhängigkeiten. VMware war eines der ersten Unternehmen, das Virtualisierungstechnologie auf Hypervisor-Basis entwickelte und vermarktete.

Anstatt die zugrunde liegende Hardware zu virtualisieren, virtualisieren Container das Betriebssystem (in der Regel Linux), so dass jeder einzelne Container nur die Anwendung und ihre Bibliotheken und Abhängigkeiten enthält. Das Fehlen des Gastbetriebssystems ist der Grund, warum Container so leichtgewichtig und damit schneller und portabler als VMs sind.

Container und Virtual Machines schließen sich nicht gegenseitig aus. Ein Unternehmen könnte beispielsweise beide Technologien nutzen, indem es Container in VMs ausführt, um die Isolierung und Sicherheit zu erhöhen, und bereits installierte Tools für Automatisierung, Backups und Überwachung nutzt.

Einen genaueren Einblick in diesen Vergleich erhalten Sie unter „Container vs. VMs: Was ist der Unterschied?“ und schauen Sie sich dieses Video an:

Der Hauptvorteil von Containern, insbesondere im Vergleich zu einer VM, besteht darin, dass sie ein Abstraktionsniveau bieten, das sie leichtgewichtig und portabel macht. Zu ihren Hauptvorteilen gehören:

In einer IBM-Umfrage berichteten Entwickler und IT-Führungskräfte von vielen weiteren Vorteilen von Containern. Lesen Sie den vollständigen Bericht: Container im Unternehmen.

Container sind auf die Containerisierung angewiesen, die Verpackung von Softwarecode mit nur dem Betriebssystem (OS) und seinen relevanten Umgebungsvariablen, Konfigurationsdateien, Bibliotheken und Software-Abhängigkeiten.

Das Ergebnis ist ein Container-Image, das auf einer Container-Plattform ausgeführt wird. Ein Container-Image stellt Binärdaten dar, die eine Anwendung und alle ihre Softwareabhängigkeiten enthalten.

Die Containerisierung ermöglicht es, Anwendungen „einmal zu schreiben und überall auszuführen”, was die Portabilität erhöht, den Entwicklungsprozess beschleunigt, die Bindung an Cloud-Anbieter verhindert und mehr bietet.

Containerisierung und Prozessisolation gibt es schon seit Jahrzehnten². Ein historischer Moment in der Entwicklung von Containern war 1979 die Entwicklung von Chroot, das Teil des Betriebssystems Unix Version 7 ist. Mit Chroot wurde das Konzept der Prozessisolation eingeführt, indem es den Dateizugriff einer Anwendung auf ein bestimmtes Verzeichnis (das Stammverzeichnis) und dessen Unterverzeichnisse (oder Unterprozesse) beschränkte.

Ein weiterer bedeutender Meilenstein wurde 2008 erreicht, als Linux-Container (LXCs) in den Linux-Kernel implementiert wurden, wodurch die Virtualisierung für eine einzelne Instanz von Linux vollständig ermöglicht wurde. Im Laufe der Jahre haben Technologien wie FreeBSD-Jails und AIX-Workload-Partitionen eine ähnliche Virtualisierung auf Betriebssystemebene ermöglicht.

Während LXC eine bekannte Laufzeitumgebung bleibt und Teil des Linux-Distributions- und herstellerneutralen Projekts³ ist, sind neuere Linux-Kernel-Technologien verfügbar. Ubuntu, ein modernes Open-Source-Linux-Betriebssystem, bietet ebenfalls diese Funktionalität.

Sehen Sie sich das Video an, um mehr über die Containerisierung zu erfahren:

Die meisten Entwickler betrachten das Jahr 2013 mit der Einführung von Docker als Beginn des modernen Container-Zeitalters. Docker ist eine Open-Source-Containerisierungs-Softwareplattform, die als  Platform as a Service (PaaS) fungiert und Entwicklern die Erstellung, Bereitstellung, Ausführung, Aktualisierung und Verwaltung von Containern ermöglicht.

Docker verwendet den Linux-Kernel (die Basiskomponente des Betriebssystems) und Kernel-Funktionen (wie Cgroups und Namespaces), um Prozesse zu trennen, damit sie unabhängig voneinander ausgeführt werden können. Docker konvertiert eine Anwendung und ihre Abhängigkeiten im Wesentlichen in einen virtuellen Container, der auf jedem Windows-, macOS- oder Linux-basierten Computersystem ausgeführt werden kann.

Docker basiert auf einer Client-Server-Architektur, wobei Docker Engine als zugrunde liegende Technologie dient. Docker stellt ein auf Images basierendes Bereitstellungsmodell bereit, das die gemeinsame Nutzung von Apps in verschiedenen Computing-Umgebungen vereinfacht.

Um etwaige Missverständnisse auszuräumen: Der Namensgeber der Docker-Containerplattform bezieht sich auch auf Docker, Inc.⁴, das Produktivitätswerkzeuge auf der Grundlage seiner Open-Source-Containerisierungsplattform und des Docker-Open-Source-Ökosystems und der Docker-Community⁵ entwickelt.

Im Jahr 2015 gründeten Docker und andere führende Unternehmen der Container-Industrie die Open Container Initiative⁶ , die Teil der Linux Foundation ist. Dabei handelt es sich um eine offene Verwaltungsstruktur, die speziell zu dem Zweck gegründet wurde, offene Branchenstandards für Containerformate und Laufzeitumgebungen zu schaffen.

Docker ist mit einem Marktanteil von 82,84 % das meistgenutzte Tool zur Containerisierung.⁷

Der Betrieb von Hunderttausenden von Containern in einem System kann unüberschaubar werden und erfordert eine Managementlösung zur Orchestrierung.

An dieser Stelle kommt die Container-Orchestrierung ins Spiel, die es Unternehmen ermöglicht, große Mengen während ihres gesamten Lebenszyklus zu verwalten und Folgendes bereitzustellen:

• Bereitstellung
• Redundanz
• Zustandsüberwachung
• Ressourcenzuweisung
• Skalierung und Lastenausgleich
• Wechsel zwischen physischen Hosts

Neben anderen Container-Orchestrierungsplattformen (z. B. Apache Mesos, Nomad, Docker Swarm) hat sich Kubernetes zum Branchenstandard entwickelt.

Die Kubernetes-Architektur besteht aus aktiven Clustern, die es Containern ermöglichen, auf mehreren Maschinen und in verschiedenen Umgebungen ausgeführt zu werden. Jeder Cluster besteht in der Regel aus Worker-Knoten, auf denen die containerisierten Anwendungen ausgeführt werden, und Steuerungsplan-Knoten, die den Cluster steuern. Die Steuerungsebene fungiert als Orchestrator des Kubernetes-Clusters. Sie umfasst mehrere Komponenten: den API-Server (verwaltet alle Interaktionen mit Kubernetes), den Steuerungsmanager (verwaltet alle Steuerungsprozesse), den Cloud-Controller-Manager (die Schnittstelle zur API des Cloud-Providers) usw. Worker-Knoten führen Container mithilfe von Container-Laufzeiten wie Docker aus. Pods, die kleinsten bereitstellbaren Einheiten in einem Cluster, enthalten einen oder mehrere App-Container und teilen Ressourcen wie Speicher- und Netzwerkinformationen.

Kubernetes ermöglicht es Entwicklern und Betreibern, den gewünschten Zustand ihrer gesamten Containerumgebung über YAML-Dateien zu deklarieren. Anschließend übernimmt Kubernetes die gesamte Verarbeitung, um diesen Zustand einzurichten und aufrechtzuerhalten. Zu den Aktivitäten gehören das Bereitstellen einer bestimmten Anzahl von Instanzen einer bestimmten Anwendung oder Workloads, das Neustarten dieser Anwendung bei einem Ausfall, der Lastausgleich, die automatische Skalierung, Bereitstellungen ohne Ausfallzeiten und vieles mehr. Die Container-Orchestrierung mit Kubernetes ist auch für die kontinuierliche Integration und Bereitstellung (CI/CD) oder die DevOps-Pipeline von entscheidender Bedeutung – was ohne  Automatisierung nicht möglich wäre.

Im Jahr 2015 spendete Google Kubernetes an die Cloud Native Computing Foundation (CNCF)⁸, die unter der Schirmherrschaft der Linux Foundation stehende und herstellerunabhängige Open-Source-Plattform für Cloud-Computing. Seitdem hat sich Kubernetes zum weltweit am weitesten verbreiteten Container-Orchestrierungstool für die Ausführung von containerbasierten Workloads entwickelt. Einem CNCF-Bericht⁹ zufolge ist Kubernetes das zweitgrößte Open-Source-Projekt der Welt (nach Linux) und das primäre Container-Orchestrierungstool für 71 % der Fortune-100-Unternehmen.

Container as a Service (CaaS) ist ein Cloud-Computing-Service, der es Entwicklern ermöglicht, containerisierte Anwendungen zu verwalten und bereitzustellen. Dies bietet Unternehmen jeder Größe Zugang zu portablen, skalierbaren Cloud-Lösungen.

CaaS bietet eine cloudbasierte Plattform, mit der Benutzer containerbasierte Virtualisierungs- und Containerverwaltungsprozesse optimieren können. CaaS-Anbieter bieten unzählige Funktionen, darunter (aber nicht ausschließlich) Container-Laufzeiten, Orchestrierungsebenen und persistente Speicherverwaltung.

Ähnlich wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) ist CaaS von Cloud-Service-Anbietern (z. B. AWS, Google Cloud Services, IBM® Cloud, Microsoft Azure) über ein nutzungsbasiertes Preismodell verfügbar, das den Nutzern ermöglicht, nur für die von ihnen genutzten Dienste zu bezahlen.

Unternehmen nutzen Container für folgende Zwecke:

Neben Kubernetes sind zwei der beliebtesten Projekte im Containerökosystem Istio und Knative.

Da Entwickler Container verwenden, um Microservice zu erstellen und auszuführen, gehen die Belange des Managements über die Lebenszyklusbetrachtungen einzelner Container hinaus und betreffen die Art und Weise, wie eine große Anzahl kleiner Dienste – oft als „Service Mesh” bezeichnet – miteinander verbunden sind und zueinander in Beziehung stehen. Istio erleichtert Entwicklern die Bewältigung der damit verbundenen Herausforderungen in Bezug auf Erkennung, Datenverkehr, Überwachung, Sicherheit und mehr.

Knative (ausgesprochen 'key-neytive') ist eine Open-Source-Plattform, die einen einfachen Einstieg in das Serverless Computing ermöglicht. Dabei handelt es sich um ein Cloud-Computing-Modell für die Entwicklung und Ausführung von Anwendungen, mit dem Entwickler Code ausführen können, ohne Server oder Backend-Infrastruktur bereitstellen oder verwalten zu müssen.

Anstatt eine laufende Code-Instanz bereitzustellen, die im Leerlauf auf Anfragen wartet, wird der Code bei Bedarf hoch- oder herunterskaliert, wenn die Nachfrage schwankt. Wenn der Code schließlich nicht mehr gebraucht wird, wird er wieder entfernt. Serverless verhindert die Verschwendung von Rechenkapazität und Energie und senkt Kosten, da Sie nur dann für die Ausführung des Codes zahlen, wenn er ausgeführt wird.

Da Container bei der Softwareentwicklung und -bereitstellung in der Hybrid Cloud-Geschäftswelt eine wichtige Rolle spielen, müssen Unternehmen sicherstellen, dass ihre containerisierten Workloads vor externen und internen Sicherheitsbedrohungen geschützt sind.

Container können überall eingesetzt werden, wodurch neue Angriffsflächen in der Umgebung der containerbasierten Umgebung entstehen. Zu den anfälligen Sicherheitsbereichen gehören Container-Images, Image-Register, Container-Laufzeiten, Container-Orchestrierungsplattformen und Host-Betriebssysteme.

Zunächst müssen Unternehmen die Containersicherheit in ihre Sicherheitsrichtlinien und Gesamtstrategie integrieren. Solche Strategien müssen bewährte Sicherheitspraktiken sowie cloudbasierte Sicherheitssoftwaretools umfassen. Dieser ganzheitliche Ansatz sollte so konzipiert sein, dass er containerisierte Anwendungen und die ihnen zugrunde liegende Infrastruktur während des gesamten Container-Lebenszyklus schützt.

Zu den besten Sicherheitspraktiken gehört eine Zero-Trust-Strategie, die davon ausgeht, dass die Sicherheit eines komplexen Netzwerks immer durch externe und interne Bedrohungen gefährdet ist. Darüber hinaus verlangen Container einen DevSecOps -Ansatz. DevSecOps ist ein Sicherheitsansatz, der die Integration von Sicherheitspraktiken in jeder Phase des Softwareentwicklungszyklus automatisiert – vom ersten Entwurf über die Integration, das Testen und die Bereitstellung bis hin zum Deployment.

Unternehmen müssen auch die richtigen Container-Sicherheitstools nutzen, um Risiken zu minimieren. Automatisierte Sicherheitslösungen umfassen Konfigurationsmanagement, Zugriffskontrolle, Scannen nach Malware oder Cyberangriffen, Netzwerksegmentierung, Überwachung und weitere Aspekte.

Zusätzlich stehen Software-Tools zur Verfügung, die sicherstellen, dass containerisierte Workloads Compliance- und Regulierungsstandards wie der DSGVO, HIPAA usw. entsprechen.