Thought Leadership
Container sind seit einiger Zeit ein heißes Thema innerhalb der Virtualisierung. Hosting-Provider nutzen die Technologie schon seit Jahren, um Betriebskosten zu senken und gleichzeitig die Effizienz zu steigern. Für Unternehmen hingegen blieben Container bislang ein kleines Mysterium.
Die traditionelle Virtualisierung mittels Hypervisor verliert in modernen Rechenzentren langsam an Bedeutung. Ebenso wie sich Linux als Operating System durchgesetzt hat und mittlerweile auf breite Akzeptanz stößt, werden Container ihren Weg in den Mainstream finden und künftig in den Fokus von CIOs, CTOs und IT Professionals rücken. Und hier beginnt die Verwirrung.
Mit Container-Virtualisierung haben bislang erst wenige Unternehmen Erfahrung gesammelt, weshalb einige Mythen darüber verbreitet sind. Es ist daher höchste Zeit, die folgenden fünf Unwahrheiten zu entlarven:
1. Container sind nicht zuverlässig genug, um geschäftskritische Workloads zu unterstützen
Es ist schwer zu verstehen, woher dieses Gerücht kommt, denn Hosting-Provider verwenden die Technologie bereits seit über zehn Jahren zur Kostensenkung und Effizienzsteigerung ihrer Virtual Private Server (VPS). VPS kommen unter anderem bei Firmenkunden zum Einsatz, die darüber Web-Anwendungen und andere Dienste, wie zum Beispiel Kreditkartenzahlungen, abwickeln. Davon sind viele absolut geschäftskritisch für Unternehmen.
2. Container sind nicht sicher
Auch wenn diese Behauptung ein Mythos ist, kann man seine Ursprünge erahnen. In erster Linie wurden VPS-Hosting-Umgebungen anfänglich zu großen Teilen unter Linux entwickelt, und Sicherheit spielte keine übergeordnete Rolle für die ersten Linux-Container. Das trifft jedoch nicht auf moderne Container zu. In den vergangenen drei Jahren haben Parallels, Google und weitere Unternehmen daran gearbeitet, die notwendigen Sicherheitstechnologien auszubauen. Als Ergebnis verfügen heutige Upstream-Kernel über ausreichende Sicherheitsmerkmale, um Container hochsicher und vollständig isoliert anzubieten.
Ein anderer Ursprung für den Mythos der fehlenden Sicherheit bei Containern liegt in der granularen Eigenschaft der Technologie. Damit lässt sich ein hochsicherer, vollständig isolierter Container aufsetzen – aber eben auch ein sehr durchlässiger. Und wenngleich es gute Gründe für letztere Variante geben mag, ist diese Durchlässigkeit nicht immer gewollt. Obwohl sich Sicherheitsstandards für die meisten Computersysteme wie auch für Container an Best-Practise-Beispielen orientieren sollten, sind sie Container-Neulingen manchmal nicht bekannt oder werden nicht beachtet.
3. Container in virtuellen Maschinen erhöhen die Effizienz
Diesem Mythos liegt die Annahme zugrunde, den ersten und zweiten Mythos überwinden zu können, indem die Container innerhalb virtueller Maschinen laufen. Auch wenn das möglich ist, erhöht man damit nicht die Effizienz. Stattdessen verringern sich Dichte und Elastizität des Container-Systems und damit die beiden größten Vorteile dieser Technologie. Bei der Verwendung von Containern in virtuellen Maschinen hängen die Performance- Eigenschaften vom Hypervisor ab, der eine geringere Dichte bietet und weniger elastisch ist. Hinzu kommt, dass durch dieses Vorgehen eine zweite Virtualisierungsschicht hinzugefügt wird. Das erhöht den Verbrauch physikalischer Ressourcen und den Verwaltungsaufwand, da somit insgesamt drei Technologieschichten zu verwalten sind.
4. Alles, was ein Container kann, kann auch ein Hypervisor
An und für sich ist diese These richtig, denn beide sind Rechenumgebungen. Wenn aber in der Praxis Hypervisor und Container mit ähnlicher Dichte und Elastizität ausgestattet werden, können die Gast- und Host-Systeme eines Hypervisors fast bis auf das Gerüst zerlegt werden. Und selbst dann erreichen sie nicht die granularen und „gerade ausreichend“ bemessenen Virtualisierungseigenschaften von Containern. Es ist in etwa so, als wolle man einen quadratischen Baustein durch ein rundes Loch drücken. Mit einem großen Hammer mag es gehen. Es ist aber sicher nicht der beste Weg, um das gewünschte Resultat zu erzielen.
5. Ein Container ist ein Container
Um Container ist in letzter Zeit ein regelrechter Hype ausgebrochen. Kein Wunder also, dass auch einige Fehlinformationen über die Technologie im Umlauf sind. Ein gutes Beispiel dafür sind die unzähligen Gelegenheiten, bei denen wir den Ausdruck „Docker Container“ hörten. Die Wahrheit ist: Docker selbst ist kein Container. Docker ist ein System zur Bündelung und Auslieferung von Anwendungen und verhilft den Containern dadurch zu einer größeren Reichweite und Akzeptanz. Und damit Docker läuft, benötigt es nicht mehr als die „gerade-ausreichenden“ Virtualisierungseigenschaften der Container. Diese Verwechslung nährte vielfach die vier vorangegangenen Mythen. Die Aufklärung darüber sollte in Zukunft das Container-Verständnis wieder geraderücken.
So leicht lassen sich fünf gängige Container-Mythen auflösen. Selbstverständlich wird es auch zukünftig Anwender geben, die weiterhin Hypervisor für bestimmte Workloads einsetzten und dafür Kompromisse bei Dichte, Elastizität und Granularität in Kauf nehmen. Nichtsdestotrotz gibt es eine zunehmende Anzahl an Anwendungsfällen, die gemischte Umgebungen erfordern. Und während beide Technologien ihre Berechtigung haben, lösen Container Hypervisor langsam aber sicher als dominierende Virtualisierungstechnologie ab.
James Bottomley, CTO, Server Virtualization, Parallels, Inc.
