Das Docker-Ökosystem: Die beliebtesten Docker-Tools im Überblick

Seit dem Release v1.12 steht Docker für neuere macOS- und Windows-Rechner auch als native Desktop-Anwendung zur Verfügung. Nutzer älterer Systeme hingegen müssen auf die Docker-Toolbox zurückgreifen, um die Container-Plattform installieren zu können.

Bei der Docker-Toolbox handelt es sich um einen Installer, der die Einrichtung einer Docker-Umgebenen auf älteren Windows und macOS-System automatisiert. Die Software beinhaltet folgende Komponenten:

• Docker-Engine
• Docker-Machine
• Docker Compose
• Oracle VirtualBox
• die Docker-GUI Kitematic sowie
• eine für Docker konfigurierte Kommandozeilenoberfläche

Kern der Docker-Toolbox ist die Open-Source-Software Kitematic. Diese integriert sich in die Docker-Machine, um für die Installation der Container-Plattform auf Windows und Mac eine virtuelle Maschine auf Basis der Oracle VirtualBox bereitzustellen. Für die Arbeit mit Docker steht Nutzern eine grafische Benutzeroberfläche zur Verfügung, über die sich Container per Mausklick erstellen, starten und stoppen lassen. Eine Schnittstelle zum Docker-Hub ermöglicht es zudem, die Registry direkt aus der Desktop-App heraus zu durchsuchen und Images herunterzuladen.

Neben der GUI steht eine vorkonfigurierte Kommandozeilenoberfläche zur Verfügung. Sämtliche Änderungen, die Anwender über den einen Eingabeweg vornehmen, werden auch für den anderen Modus übernommen. Nutzer haben somit die Möglichkeit, nahtlos zwischen GUI und CLI zu wechseln, um Container auszuführen und zu steuern. Des Weiteren bietet Kitematic Funktionen, mit denen sich Ports automatisch zuordnen, Umgebungsvariablen definieren und Laufwerke (Volumes) konfigurieren lassen.

Auch wenn die Docker-Toolbox in der Docker-Dokumentation als veraltet (legacy) markiert ist, wird die Software nach wie vor unterstützt. Das Entwicklerteam empfiehlt jedoch den Einsatz der nativen Desktop-Apps Docker for Windows oder Docker for Mac, sofern deren Systemvoraussetzungen erfüllt werden.

Neben den Eigenentwicklungen der Docker Inc. finden sich diverse Software-Tools und Plattformen externer Anbieter, die Schnittstellen zur Docker-Engine bereitstellen oder speziell für die beliebte Container-Plattform entwickelt wurden. Zu den bekanntesten Open-Source-Projekten des Docker-Ökosystems zählen das Orchestrierungswerkzeug Kubernetes, das Cluster-Management-Tool Shipyard, die Multi-Container-Shipping-Lösung Panamax, die Continuous-Integration-Plattform Drone, das Cloud-Betriebssystem OpenStack und das auf dem Cluster-Manager Mesos basierende Datencenter-Betriebssystem Mesosphere DC/OS.

Nicht immer konnte Docker mit hauseigenen Orchestrierungswerkzeugen wie Swarm und Compose aufwarten. Zahlreiche Unternehmen investieren daher schon seit Jahren eigene Entwicklungsarbeit in maßgeschneiderte Tools, die den Betrieb der Container-Plattform in großen, verteilten Infrastrukturen erleichtern sollen. Zu den bekanntesten Lösungen dieser Art zählt neben Spotifys quelloffener Orchestrierungs-Plattform Helios das Open-Source-Projekt Kubernetes.

Bei Kubernetes handelt es sich um einen Cluster-Manager für containerbasierte Anwendungen, der zum Großteil von Google entwickelt wurde und heute unter der Schirmherrschaft der Cloud Native Computing Foundation (CNCF) steht.

Shipyard ist eine von der Docker-Benutzer-Community entwickelte Management-Lösung auf Basis von Swarm, die es Anwendern ermöglicht, Docker-Ressourcen wie Container, Images, Hosts und private Registrys über eine grafische Benutzeroberfläche zu verwalten. Diese steht als Webanwendung über den Browser zur Verfügung und unterscheidet sich damit von der Desktop-App Kitematic.

Die Software ist zu 100 Prozent mit der Docker-Remote-API kompatibel und nutzt die quelloffene NoSQL-Datenbank RethinkDB als Datenspeicher für Benutzeraccounts, Adressen und Ereignisse.

Neben Cluster-Management-Funktionen über eine zentrale Weboberfläche stellt Shipyard eine Benutzerauthentifizierung sowie eine rollenbasierte Zugangskontrolle zur Verfügung.

Die Software basiert auf dem Cluster-Management-Toolkit Citadel und besteht im Wesentlichen aus drei Grundkomponenten: Controller, API und UI.

• Shipyard-Controller: Der Controller ist die Kernkomponente des Management-Tools Shipyard. Der Shipyard-Controller interagiert mit der RethinkDB im Rahmen der Datenspeicherung und ermöglicht es, einzelne Hosts in einem Docker-Cluster anzusprechen und Ereignisse zu steuern.

• Shipyard-API: Bei der Shipyard-API handelt es sich um eine API auf Basis von REST. Alle Funktionen des Management-Tools werden über die Shipyard-API gesteuert.

• Shipyard-User-Interface (UI): Die Shipyard-UI ist eine AngularJS-App, die Anwendern eine grafische Benutzeroberfläche zur Verwaltung von Docker-Clustern im Webbrowser zur Verfügung stellt. Alle Interaktionen im User-Interface erfolgen über die Shipyard-API.

Weitere Informationen zu Shipyard finden Sie auf der offiziellen Website des Open-Source-Projekts.

Die Entwickler des quelloffenen Software-Projekts Panamax haben sich das Ziel gesetzt, die Bereitstellung von Multi-Container-Apps zu vereinfachen. Das kostenlose Tool bietet Nutzern eine grafische Benutzeroberfläche, über die sich komplexe Anwendungen auf Basis von Docker-Containern bequem per Drag-and-Drop entwickeln, bereitstellen und verteilen lassen.

Panamax ermöglicht es, komplexe Multi-Container-Anwendungen als sogenannte Application-Templates zu speichern und so mit nur einem Klick in Cluster-Architekturen zu verteilen. Über einen integrierten, auf GitHub gehosteten App-Marktplatz lassen sich Templates selbsterstellter Anwendungen in Git-Repositorys speichern und anderen Nutzern zur Verfügung stellen. Folgende Animation demonstriert das Panamax-Konzept unter dem Motto „Docker Management for Humans“:

Drone ist in Docker integriert und unterstützt diverse Programmiersprachen wie PHP, Node.js, Ruby, Go oder Python. Die Container-Plattform wird als einzige Abhängigkeit vorausgesetzt. Ihre persönliche Continuous-Integration-Plattform erstellen Sie mit Drone somit auf jedem beliebigen System, auf dem sich Docker installieren lässt. Drone unterstützt diverse Version-Control-Repositorys. Eine Anleitung zur Standardinstallation mit GitHub-Integration findet sich in der Dokumentation des Open-Source-Projekts unter readme.drone.io.

Die Steuerung der Continuous-Integration-Plattform erfolgt über ein Web-Interface. Über dieses laden Sie Software-Builds aus einem beliebigen Git-Repository, fügen sie zu Anwendungen zusammen und lassen das Ergebnis in einer zuvor definierten Testumgebung laufen. Dazu wird für jeden Software-Test eine .drone.yml-Datei definiert, in der Sie festlegen, wie die Anwendung erstellt und ausgeführt werden soll.

In folgendem Video gibt Drone-Mitentwicker Brad Rydzewski einen Einblick in die quelloffene Continuous-Integration-Plattform:

Dem Entwickler zufolge steht Anwendern mit Drone eine quelloffene CI-Lösung zur Verfügung, die die Stärken alternativer Produkte wie Travis und Jenkins in einer benutzerfreundlichen Anwendung vereint.

Über die sechs Kernkomponenten hinaus lässt sich die OpenStack-Architektur um diverse optionale Module erweitern:

• Horizon (Dashboard): Das OpenStack-Dashboard trägt den Spitznamen „Horizon“ und bietet Anwendern eine webbasierte, grafische Benutzeroberfläche, über die sich andere Komponenten wie Nova oder Neutron steuern lassen.

• Heat (Orchestrierung): Das optionale Modul Heat stellt einen Service bereit, über den sich aus mehreren Komponenten bestehende Cloud-Anwendungen via Templates orchestrieren lassen. Heat bietet dafür eine native REST-API und das Template-Format HOT. Alternativ wird das Template-Format AWS-Cloud-Formation sowie eine entsprechende Query-API unterstützt.

• Ceilometer (Telemetrie-Service): Mit Ceilometer seht für OpenStack ein zentraler Telemetrie-Service zur Verfügung, mit dem sich Daten für statistische Erhebungen im Rahmen der Abrechnung oder des Benchmarkings zusammentragen lassen.

• Trove (Database-as-a-Service): Bei Trove handelt es sich um eine Database-as-a-Service-Komponente, mit der sich relationale und nicht-relationale Datenbanken bereitstellen lassen.

• Zagar (Messaging): Das optionale Modul Zaqar (ehemals Marconi) erweitert OpenStack um einen Multi-Mandanten-Cloud-Messaging-Service für Webentwickler. Die Software bietet eine REST-API, über die Entwickler Nachrichten zwischen verschiedenen Komponenten einer SaaS- oder Mobile-App versenden können.

• Designate (DNS-Service): Designate bietet DNS-as-a-Service für OpenStack. Das Management von Domain-Records erfolgt über eine REST-API. Das Modul ist multi-mandantenfähig und nutzt Authentifizierungsfunktionen über eine Keystone-Integration.

• Barbican (Schlüsselmanagement): Das Modul Barbican stellt OpenStack eine REST-API zur Verfügung, über die sich Passwörter, Schlüssel und Zertifikate sicher speichern, verwalten und bereitstellen lassen.

• Sahara (Elastic Map Reduce): Die optionale Komponente Sahara ermöglicht es Anwendern, Hadoop-Cluster auf Basis von OpenStack zu erstellen und zu verwalten.

• Ironic (Bare-Metal-Treiber): Das Zusatzmodul Ironic ist ein Fork des baremetal-Treibers der Rechenkomponente Nova und bietet Nutzern von OpenStack die Möglichkeit, Bare-Metal-Machines statt virtuellen Maschinen bereitzustellen.

• Murano (Applikationskatalog): Murano bietet Entwicklern und Cloud-Administratoren die Möglichkeit, Anwendungen in einem durchsuchbaren, nach Kategorien sortierten Katalog bereitzustellen.

• Manila (Shared-File-System): Manila ist ein Zusatzmodul für OpenStack, das die Architektur des Cloud-Betriebssystems um ein gemeinsames und verteiltes Dateisystemen erweitert.

• Magnum (Container-API-Service): Eine wichtige Zusatzkomponente ist der API-Service Magnum, der Container-Orchestrierungs-Tools wie Docker Swarm, Kubernetes oder Apache Mesos als OpenStack-Komponenten verfügbar macht.

Aufgrund der modularen Erweiterbarkeit hat sich OpenStack als eines der führenden Betriebssysteme für den Aufbau und Betrieb Open-Source-basierter Cloud-Strukturen etabliert. Für Docker-Nutzer stellt OpenStack durch den Docker-Treiber für Nova eine leistungsstarke Plattform dar, mit der sich Container professionell in komplexen, verteilten Systemen ausführen und verwalten lassen.

DC/OS nutzt den verteilten System-Kernel der Mesos-Plattform. Dies ermöglicht es, die Ressourcen eines ganzen Rechenzentrums zu bündeln und in Form eines aggregierten Systems wie einen einzigen logischen Server zu verwalten. So steuern Sie ganze Cluster physischer oder virtueller Maschinen mit der gleichen Leichtigkeit, mit der Sie einen einzelnen Rechner bedienen.

Die Software vereinfacht die Installation und Verwaltung verteilter Anwendungen und automatisiert Aufgaben wie Ressourcenmanagement, Scheduling und Inter-Prozess-Kommunikation. Die Verwaltung eines Clusters auf Basis von Mesosphere DC/OS sowie aller darauf ausgeführten Dienste erfolgt zentral über ein Kommandozeilenprogramm (CLI) oder ein Webinterface (GUI).

DC/OS abstrahiert die Ressourcen des Clusters und stellt gemeinsame Dienste wie Service-Discovery oder Paket-Management zur Verfügung. Die Kernkomponenten der Software laufen in einem geschützten Bereich – dem Kernel-Space. Zu diesem gehören Master- und Agent-Programme der Mesos-Plattform, die für Ressourcenzuordnung, Prozessisolation und Sicherheitsfunktionen zuständig sind.

• Mesos-Master: Beim Mesos-Master handelt es sich um einen Master-Prozess, der auf einem Master-Knoten im Cluster läuft. Aufgabe des Mesos-Masters ist es, das Ressourcen-Management zu steuern und Tasks (abstrakte Arbeitseinheiten) zu orchestrieren, die auf einem Agent-Knoten ausgeführt werden. Dazu verteilt der Mesos-Master Ressourcen an registrierte DC/OS-Dienste und nimmt Ressourcenberichte von Mesos-Agents entgegen.

• Mesos-Agents: Bei Mesos-Agents handelt es sich um Slave-Prozesse, die auf Agent-Konten laufen und für die Ausführung der vom Master verteilten Tasks zuständig sind. Mesos-Agents liefern dem Mesos-Master regelmäßige Berichte über die im Cluster zur Verfügung stehenden Ressourcen. Diese werden vom Mesos-Master an einen Scheduler (z. B. Marathon, Chronos oder Cassandra) weitergeleitet. Dieser entscheidet, welcher Task auf welchem Knoten ausgeführt wird. Um einen Task auszuführen, startet der Mesos-Agent einen sogenannten Executor-Prozess, der isoliert in einem Container ausgeführt und verwaltet wird. Die Trennung der Prozesse erfolgt wahlweise über die Mesos Universal Container Runtime oder die Docker-Container-Plattform.

Alle anderen Systemkomponenten sowie Anwendungen, die von Mesos-Agents via Executor ausgeführt werden, laufen im User-Space. Zu den Grundkomponenten einer Standard-DC/OS-Installation gehören der Admin-Router, das Mesos-DNS, ein Distributed DNS-Proxy, der Load-Balancer Minuteman, der Scheduler Marathon, Apache ZooKeeper sowie Exhibitor.

• Admin-Router: Der Admin-Router ist ein speziell konfigurierter Webserver auf NGINX-Basis, der DC/OS-Dienste sowie zentrale Authentifizierungs- und Proxy-Funktionen zur Verfügung stellt.

• Mesos-DNS: Die Systemkomponente Mesos-DNS bietet Service-Discovery-Funktionen, die es den einzelnen Services und Anwendungen im Cluster ermöglichen, sich gegenseitig über ein zentrales Domain-Name-System (DNS) zu identifizieren.

• Distributed DNS-Proxy: Beim Distributed DNS-Proxy handelt es sich um einen internen DNS-Dispatcher (Verteiler).

• Minuteman: Die Systemkomponente Minuteman fungiert als interner Load-Balancer, der auf der Transport-Ebene des OSI-Referenzmodells (Layer 4) arbeitet.

• DC/OS Marathon: Marathon ist eine zentrale Komponente der Mesos-Plattform, die in Mesosphere DC/OS als init-System (ähnlich wie systemd) fungiert. Marathon startet und überwacht DC/OS-Dienste und Anwendungen in Cluster-Umgebungen. Darüber hinaus bietet die Software Hochverfügbarkeitsfunktionen, Service-Discovery, Load-Balancing, Health-Checks und eine grafische Weboberfläche.

• Apache ZooKeeper: Bei Apache ZooKeeper handelt es sich um eine quelloffene Software-Komponente, die Koordinationsfunktionen für den Betrieb und die Steuerung von Anwendungen in verteilten Systemen zur Verfügung stellt. Im Rahmen von Mesosphere DC/OS kommt ZooKeeper bei der Koordination aller installierten System-Dienste zur Anwendung.

• Exhibitor: Exhibitor ist eine Systemkomponente, mit der sich ZooKeeper auf jedem Master-Knoten im Cluster automatisch installieren und konfigurieren lässt. Darüber hinaus hält Exhibitor eine grafische Benutzeroberfläche für ZooKeeper-Anwender bereit.

Auf Cluster-Ressourcen, die via DC/OS aggregiert wurden, lassen sich diverse Workloads gleichzeitig ausführen. So ermöglicht das Cluster-Betriebssystem beispielsweise einen parallelen Betrieb von Big-Data-Systemen, Microservices oder Container-Plattformen wie Hadoop, Spark und Docker.

Mit Mesosphere Universe steht für DC/OS ein öffentlicher App-Katalog zur Verfügung. Über diesen installieren Sie Anwendungen wie Spark, Cassandra, Chronos, Jenkins oder Kafka bequem mit einem Klick über die grafische Benutzeroberfläche.

Darüber hinaus bietet der Einsatz einer Container-Plattform wie Docker die Chance, Anwendungen hinsichtlich der Punkte Geschwindigkeit, Performance und Change-Management zu optimieren. Bedenken bleiben jedoch in Bezug auf die Sicherheit der Container-Technologie.

Die Installation der Container-Engine vorausgesetzt, lassen sich containerbasierte Anwendungen auf jedem beliebigen System ausführen. Container beinhalten neben dem Code der eigentlichen Anwendung auch sämtliche Binärdateien und Bibliotheken, die für die Laufzeit der Anwendung benötigt werden. Dies vereinfacht vor allem das Deployment, die Verteilung von Software auf verschiedenen Systemen – und das nicht nur für neu entwickelte Anwendungen. Die Container-Technologie lässt sich auch effektiv einsetzen, wenn es darum geht, Legacy-Applications – also veraltete Anwendungen, die für das Tagesgeschäft nach wie vor unverzichtbar sind – in die Cloud zu überführen.

Ältere Software-Komponenten lassen sich aufgrund von Abhängigkeiten zu bestimmten Betriebssystemen, Frameworks oder Klassen oft nur schwer in Cloud-Infrastrukturen integrieren. Hier kann eine schlanke Container-Engine wie Docker eine Abstraktionsschicht bieten, die Code-Abhängigkeiten kompensiert, ohne dass Administratoren den Overhead eines virtuellen Betriebssystems in Kauf nehmen müssen.

Vergleicht man die Container-Technologie, die der Docker-Plattform zugrunde liegt, mit einer klassischen Hardware-Virtualisierung via VM, zeigen sich deutliche Unterschiede in Bezug auf Geschwindigkeit und Performance.

Da in Containern gekapselte Anwendungen direkt auf den Kernel des Hostsystems zugreifen, muss bei dieser Art der Virtualisierung kein separates Gastsystem gestartet werden. Statt eines Hypervisors kommt bei Docker eine leichtgewichtige Container-Engine zum Einsatz. Es entfällt somit nicht nur die Zeit für den Boot-Prozess einer virtuellen Maschine, sondern auch der Ressourcenverbrauch für das zusätzliche Betriebssystem. Container-Apps lassen sich somit schneller und ressourcensparender bereitstellen als Anwendungen auf Basis virtueller Maschinen. Dies ermöglicht es der Administration, deutlich mehr Container auf einem Hostsystem zu starten, als Gastsysteme auf einer vergleichbaren Hardware-Plattform unterzubringen wären. Kann ein Server beispielsweise 10 bis 100 virtuelle Maschinen beherbergen, ließen sich alternativ bis zu 1.000 Container bereitstellen.

Hinzu kommt, dass Container, die neben dem Anwendungscode lediglich Binärdateien und Bibliotheken beinhalten, deutlicher weniger Speicherplatz benötigen als eine virtuelle Maschine inklusive Anwendung und Betriebssystem.

Auch wenn in Containern gekapselte Prozesse auf demselben Kernel laufen, nutzt Docker eine Reihe von Isolationstechniken, um diese voneinander abzuschirmen. Im Fokus stehen dabei Kernfunktionen des Linux-Kernels wie Cgroups und Namespaces. Jeder Container bekommt einen eigenen Hostnamen, eigene Prozess-IDs und eine eigene Netzwerkschnittstelle. Darüber hinaus sieht jeder Container nur den ihm zugeordneten Ausschnitt des Dateisystems. Die Aufteilung der Systemressourcen wie Speicher, CPU und Netzbandbreite erfolgt über einen Cgroup-Mechanismus. Dieser sorgt dafür, dass jeder Container lediglich das ihm zugeschriebene Kontingent in Anspruch nehmen kann.

Dennoch bieten Container nicht denselben Isolationsgrad, der sich mithilfe virtueller Maschinen realisieren lässt. Kapert ein Angreifer eine virtuelle Maschine, hat dieser kaum Möglichkeiten, mit dem Kernel des zugrundeliegenden Hostsystems zu interagieren. Container als gekapselte Instanzen eines gemeinsamen Host-Kernels hingegen bieten Angreifern deutlich mehr Freiheiten.

Trotz der beschriebenen Isolationstechniken lassen sich aus Containern heraus wichtige Kernel-Subsysteme wie Cgroups sowie Kernelschnittstellen in den Verzeichnissen /sys und /proc erreichen. Diese bieten Angreifern die Möglichkeit, Sicherheitsfunktionen des Hosts zu umgehen. Zudem laufen alle Container auf einem Host-System im selben User-Namespace. Dies hat zur Folge, dass ein Container, der Root-Rechte zugesprochen bekommt, diese auch bei der Interaktion mit dem Host-Kernel behält. Administratoren sollten daher darauf achten, dass Container ausschließlich mit eingeschränkten Rechten starten.

Über Root-Rechte verfügt zudem der Docker-Daemon, der für die Verwaltung der Container auf dem Host-System zuständig ist. Ein Nutzer, der Zugriff auf den Docker-Daemon hat, erhält automatisch Zugriff auf alle Verzeichnisse, auf die der Daemon zugreifen kann, sowie die Möglichkeit, über eine REST-API via HTTP zu kommunizieren. Die Docker-Dokumentation empfiehlt daher, nur vertrauenswürdigen Nutzern Zugriff auf den Daemon zu gewähren.

Auch das Docker-Entwicklungsteam hat die genannten Sicherheitsbedenken als Bremse für die Etablierung der Container-Technologie auf Produktivsystemen erkannt. Neben den grundlegenden Isolationstechniken des Linux-Kernels unterstützen neuere Versionen der Docker-Engine daher die Frameworks AppArmor, SELinux und Seccomp, die als eine Art Firewall für Kernel-Ressourcen fungieren.

• AppArmor: Mit AppArmor lassen sich Zugriffsrechte von Containern auf das Dateisystem reglementieren.

• SELinux: SELinux bietet ein komplexes Regelsystem, mit dem Zugriffskontrollen auf Kernel-Ressourcen implementiert werden können.

• Seccomp: Mit Seccomp (Secure Computing Mode) wird der Aufruf von Systemcalls überwacht.

Darüber hinaus nutzt Docker sogenannte Linux-Capabilities, über die sich die Root-Rechte einschränken lassen, mit denen die Docker-Engine Container startet.

Weitere Sicherheitsbedenken bestehen zudem in Bezug auf Software-Schwachstellen innerhalb von Anwendungskomponenten, die über die Docker-Registry verbreitet werden. Da prinzipiell jeder Docker-Images erstellen und für die Community öffentlich zugänglich im Docker-Hub ablegen kann, besteht die Gefahr, schädlichen Code im Rahmen eines Image-Downloads ins eigene System einzuführen. Docker-Nutzer sollten daher vor dem Deployment einer Anwendung sicherstellen, dass der gesamte Code, der in einem Image zur Ausführung von Containern bereitgestellt wird, aus einer vertrauenswürdigen Quelle stammt. Docker bietet dafür im Rahmen der Enterprise-Edition (EE) der Container-Plattform seit Anfang 2017 ein Zertifizierungsprogramm an, über das Infrastruktur-, Container- und Plug-in-Anbieter Ihre Software prüfen und auszeichnen lassen können. Um ein Zertifikat zu erhalten, müssen folgende Voraussetzungen erfüllt sein:

• Infrastruktur-Zertifizierung: Software-Entwickler, die zertifizierte Infrastruktur-Komponenten für das Docker-Ökosystem bereitstellen möchten, müssen mithilfe entsprechender Tests nachweisen, dass ihr Produkt für eine Zusammenarbeit mit der Docker-Plattform optimiert wurde.

• Container-Zertifizierung: Ein Container wird nur dann mit dem offiziellen Docker-Zertifikat ausgezeichnet, wenn dieser gemäß Best Practices erstellt wurde und sämtliche Software-Tests, Schwachstellen-Checks und Sicherheitsüberprüfungen bestanden hat.

• Plug-ins: Ein Plug-in für Docker EE darf sich mit dem Docker-Zertifikat schmücken, wenn es gemäß Best Practices entwickelt wurde und sämtliche API-Compliance-Tests und Schwachstellen-Checks bestanden hat.

Neben einem Zugewinn an Sicherheit für Anwender sollen Docker-Zertifikate Software-Entwicklern eine Möglichkeit bieten, sich mit ihren Projekten von der Vielzahl der zur Verfügung stehenden Ressourcen abzuheben.

Die Container-Technologie ist auch in Deutschland kein Nischenthema mehr. Schon heute stellen marktführende Unternehmen wie Zalando, Otto oder Sixt Teile Ihrer IT auf Container-Systeme um. Die Technologie ist eine ressourcensparende Alternative zur klassischen Hardware-Virtualisierung und bietet sich damit vor allem für Unternehmen an, die interaktive Webanwendungen bereitstellen oder ein großes Datenaufkommen bewältigen müssen. Eine steigende Nachfrage wird in den kommenden Jahren vor allem im Bereich des E-Commerce erwartet. Bei Global Playern wie eBay und Amazon gehören Container bereits zur Standardtechnologie. Kleinere Onlinehändler werden nachziehen.

Derzeit hat sich das noch junge Software-Unternehmen Docker dank Open-Source-Konzept und Bemühungen zur Standardisierung binnen weniger Jahre einen Platz als technologischer Marktführer im Bereich Operating-System-Level-Virtualisierung errungen. Doch die Konkurrenz in der Container-Branche schläft nicht. Hier werden Anwender von der Innovationsgeschwindigkeit profitieren, die der verschärfte Wettbewerb unter den Anbietern von Container-Lösungen und Administrationstools mit sich bringt.

Bremsend haben sich in der Vergangenheit vor allem Sicherheitsbedenken auf die Verbreitung der Container-Technologie ausgewirkt. Die zentrale Herausforderung für Entwickler containerbasierter Virtualisierungstechniken ist eine Verbesserung der Prozessisolation im Linux-Kernel – ein Bereich, in dem in der Vergangenheit durch Projekte wie SELinux, AppArmor oder Seccomp bereits Fortschritte erzielt wurden.

Betrachtet man die hohe Annahmequote für Container, ist davon auszugehen, dass sich die Operation-System-Level-Virtualisierung auch langfristig als Alternative zu virtuellen Maschinen etablieren wird. Speziell das Docker-Projekt und sein rasant wachsendes Ökosystem bieten Unternehmen eine zukunftssichere Basis für den Betrieb von Software-Containern in der Entwicklung und im operativen Geschäft.