Container-Virtualisierung mit Docker

Transkript

1 1 Container-Virtualisierung mit Docker Christoph Schröder Universität zu Lübeck Zusammenfassung Virtualisierung auf Betriebssystem- Ebene hat in den letzten Jahren große Fortschritte gemacht. Dabei werden Anwendungen zusammen mit ihren Abhängigkeiten zu sogenannten Containern zusammengefasst. Unter Linux vereinfacht Docker den Betrieb von Containern und deren Konfiguration. Es bietet eine unkomplizierte Schnittstelle, über die sich Linux- Applikationen isoliert und performant in Container packen und ausführen lassen. Außerdem verfügt es über eine zentrale, erweiterbare Verwaltung und performante Übertragung von Containern. Dies erleichtert die Entwicklung von Anwendungen durch die einheitliche Entwicklungs-, Test- und Produktionsumgebung und spart Ressourcen während des Betriebs. Dadurch ist z.b. der Einsatz von Containern auf Rechenclustern möglich. Es ist anzunehmen, dass Docker aufgrund seiner Vorzüge in naher Zukunft in vielen Bereichen der Softwareentwicklung eine wichtige Rolle spielen wird. I. EINLEITUNG Virtualisierung spielt im Cloud Computing eine zentrale Rolle. Auf allen Ebenen von der Entwicklung bis zum Betrieb ermöglicht sie den flexibleren und effizienteren Einsatz von Ressourcen, die Vereinheitlichung von Umgebungen und erhöhte Sicherheit durch Isolation. Dies spart Zeit bei der Entwicklung, reduziert Kosten beim Betrieb von Servern und verringert das Fehlerpotential. Speziell im Bereich des Cloud Computings werden Dienste vorzugsweise lose gekoppelt [1]. Dies fördert eine modulare Entwicklung, einfache Skalierbarkeit und hohe Flexibilität. Komplexe Systeme bergen aber auch immer ein hohes Sicherheitsrisiko. Durch Isolation einzelner Prozesse werden im Fall eines Sicherheitslochs nur Teile des Systems kompromittiert. Neben der Virtualisierung ganzer Systeme, gibt es die Virtualisierung mittels Containern [2]. Dabei wird eine Anwendung nicht mit dem gesamten Betriebssystem in einer virtuellen Maschine gestartet, sondern es werden nur Applikationen mit ihren Abhängigkeiten virtualisiert. Sie sind in der Regel kleiner als Virtuelle Maschinen, starten schneller und ermöglichen eine feine Kontrolle der Zuordnung von Ressourcen (leichtgewichtig). Unter Linux nutzen Container verschiedene Virtualisierungs-Funktionen des Linux Kernels, wie die Dateisystem-Virtualisierung mittels chroot, wobei das Wurzelverzeichnis scheinbar verschoben wird. Ähnliche Container-Virtualisierungen für nicht Linux Systeme sind Solaris Zone [3], FreeBSD Jails [4] und Parallels Virtuozzo [5]. Unter Linux gehören zu den ersten Implementierungen VServer [6], OpenVZ [7], Linux Container (LXC) [2] und lmctfy [8]. Im Gegensatz zu VServer und OpenVZ werden LXC und lmctfy von aktuellen Linux Kernels ohne Modifikation unterstützt. Docker [9] basiert auf LXC und hat somit den Vorteil, unter allen aktuellen Linuxsystemen ohne Änderung zu laufen. Es erweitert LXC um eine einfache Schnittstelle für die Kontrolle und Verwaltung von Containern und übernimmt die Konfiguration der Inter-Container- Kommunikation. Es hat das Ziel, Anwendungen in Containern auf verschiedenen Systemen laufen zu lassen, ähnlich eines Hafenarbeiters, der Container auf verschiedene Schiffe verfrachtet (daher der Name Docker). Durch eine einem Versionskontrollsystem ähnlichen Verwaltung der Container sind Änderungen sehr klein und somit schnell zu übertragen. Damit ist es möglich, den gleichen Container, in dem eine Anwendung entwickelt wird, auf das Test- und Produktionssystem zu übertragen. Details der Container-Technologie und die Umsetzung von Docker sind unter II zu finden. Verschiedene Einsatzbereiche sind unter den Ergebnissen (III) dargestellt. In dieser Arbeit zeige ich, wie Docker mit den Möglichkeiten des aktuellen Linux Kernels eine Virtualisierung auf Betriebssystem-Ebene umsetzt und vergleiche dieses mit klassischen Virtuellen Maschinen. A. Container II. TECHNOLOGIE Das Container-Konzept beschreibt eine Virtualisierung auf Betriebssystem-Ebene. Systemressourcen werden einzelnen Programmen oder einer Menge von Diensten zugeordnet. Dabei wird der Kernel von allen auf einem System laufenden Instanzen (auch genannt Container, virtual private server (VPS) oder jails) geteilt (Abb. 1). Der Mehraufwand dieser Art der Virtualisierung ist dadurch gering oder nicht vorhanden. Es werden die normalen Systemaufrufe des Betriebssystems verwendet

2 2 App A App A App B VM Bins/ Libs Bins/ Libs Bins/ Libs Guest OS Guest OS OS Hypervisor (Type 2) Host OS Guest OS Container App A App A Bins/Libs App B App B App B App B Bins/Libs Host OS Docker Server Server Abbildung 1. Vergleich von Container- und Vollvirtualisierung. In einer Virtuellen Maschine wird immer ein vollständiges Gastsystem benötigt. Container hingegen benötigen nur die individuellen Bibliotheken und Programme, die von verschiedene Instanzen des gleichen Containers geteilt werden können. ([9], Learn More ) und keine Emulation oder Virtuelle Maschine benötigt wie bei der whole-system -Virtualisierung oder Para- Virtualisierung. Außerdem wird für den performanten Betrieb keine Hardware-Unterstützung benötigt. Zuerst vorgestellt wurden Container von Gaurav Banga et. al.[10]. Unter Linux ist eine verbreitete Implementierung LXC. Sie stellt die userspace-schnittstelle für die Container-Funktionen des Linux Kernels und basiert derzeit auf namespaces für die Prozessisolation, Apparmor und SELinux, um die Rechteverteilung für den Zugriff auf Ressourcen zu regulieren. Außerdem wird mit chroot das Wurzelverzeichnis scheinbar verschoben und über cgroups die begrenzte Nutzung von Ressourcen gewährleistet [2]. In unterschiedlichen Containern können verschiedene Bibliotheken und Programme installiert sein. Dadurch ist es möglich Container zu erstellen, die spezifische Aufgaben erfüllen. Altlasten können parallel zu moderner Software getrennt durch die Grenzen der Container operieren. Dabei sind in jedem Container die benötigten Versionen einer Bibliothek installiert. Ebenso können Teile eines Systems ausgetauscht werden, indem verschiedene Datenbank-Systeme in jeweils einem Container installiert werden. Darüber hinaus kann die gesamte Entwicklung durch Container vereinheitlicht werden. Anstatt getrennte Entwicklungs-, Test- und Produktionssysteme zu warten, werden alle Phasen in einem Container ausgeführt. Für den Übergang von einer in die nächste Phase wird der ganze Container von einem auf das nächste System übertragen. Konflikte durch verschiedene Softwareversionen in der jeweiligen Umgebung werden dadurch verhindert und das Einrichten eines neuen Systems beschränkt sich auf ein Kopieren des Containers. B. Docker Docker ist eine Software zum Bündeln von Software mit ihren Abhängigkeiten zu einem Container, der auf beliebigen Linux-Systemen ausgeführt werden kann. Es wird von der Firma dotcloud (seit Oktober 2013 Docker Inc.) entwickelt, die es seit März 2013 unter der Apache Lizenz 2.0 veröffentlicht hat [11]. Basierend auf Linux Containern bietet es eine eigene API (Application Programming Interface) und eine zentrale Verwaltung von Container-Abbildern. Die Hauptfunktionen von Docker sind [12]: Dateisystem Isolation Jeder Prozess läuft in einem separaten root-dateisystem. Ressourcen Isolation Systemressourcen wie CPU und Speicher können für jeden Container einzeln geregelt werden. Netzwerk Isolation Jeder Prozess-Container läuft in seinem eigenen Netzwerk-Namensraum mit einer separaten, virtuellen Netzwerkschnittstelle und IP- Adresse. Copy-On-Write Änderungen am Dateisystem eines Containers werden in eine neue Schicht gespeichert und nicht in das originale Abbild übernommen. Dies erlaubt ein schnelles Anlegen neuer Container und spart sowohl Arbeits- als auch Festplattenspeicher. Protokollierung Die Standard-Datenströme (stdout/stderr/stdin) jedes Containers werden protokolliert, um in Echtzeit oder als Stapel bearbeitet zu werden. Container Schichten Änderungen an Dateien in einem Container können zu einem neuen Abbild zusammengesetzt werden. Dieses kann als Grundlage für neue Container dienen. Interaktive Shell Docker kann ein Pseudo-Terminal anlegen und mit den Standard-Datenströmen verbin-

3 3 Abbildung 2. Das Dateisystem in einem Container wird per Union- Mount als Schicht auf das Basis-Abbild gelegt. Dateioperationen ändern nur die oberste Ebene. ([9], Documentation ) den, um eine interaktive Verbindung mit einem Container zu ermöglichen. Container Verwaltung Eine zentrale Verwaltung organisiert öffentliche und private Container. Docker besteht aus drei Teilen: Client, Daemon und Index+Registry. Der Client ist ein Kommandozeilen- Programm für die Kommunikation mit dem Daemon über einen UNIX Socket. Der Daemon läuft im Hintergrund und stellt die Systemfunktionen von Docker zur Verfügung. In einer Registry werden Container öffentlich oder privat gespeichert. Der Index verwaltet den Zugriff und verifiziert die Integrität dieser Container. Als simples Beispiel lässt sich ein Container mit dem Befehl docker run ubuntu echo 42 starten. Hierbei wird der gewünschte Container (ubuntu) über den Index geladen, falls keine lokale Kopie vorliegt. Die zwei letzten Argumente geben den Befehl und seine Parameter an, der im Container ausgeführt werden soll. In diesem Beispiel beendet der Container sich nach der Ausgabe von 42 wieder. Um eine interaktive Sitzung zu starten, wird der Container mit den Optionen docker run -i -t ubuntu bash gestartet. Dadurch wird ein Pseudo-Terminal angelegt und die Standard-Eingabe mit der Konsole verbunden. Neben der Möglichkeit Container interaktiv zu erstellen und zu konfigurieren, können sogenannte Dockerfiles angelegt werden. Diese ermöglichen eine einheitliche und automatisierte Konstruktion von Containern. C. Image Layers Virtuelle Maschinen beinhalten immer ein gesamtes Betriebssystem. Das Übertragen einer neuen Version auf eine große Menge anderer Systeme ist daher nur in begrenztem Umfang möglich. Docker Container sind durch die Schichtenarchitektur erheblich kleiner. Beim Starten eines Containers wird das root-dateisystem nicht wie bei einem gewöhnlichen Systemstart in den Lese- /Schreibmodus umgestellt. Stattdessen wird eine neue, beschreibbare Schicht mittels Union Mount hinzugefügt (Abb. 2). Diese sogenannten Layer können direkt auf dem Basisabbild eines Containers oder auf vorherigen Schichten liegen. Docker nutzt hierfür die Copy-On- Write Funktion von Aufs (advanced multi layered unification filesystem) [13], welches eine Implementierung des in [14] vorgestellten Union-Mounts implementiert. Seit Docker Version 0.7 werden außer Aufs, das in den meisten Kernels nicht aktiviert ist, auch das ebenfalls über dem eigentlichen Dateisystem arbeitende vfs unterstützt. Weiterhin kann mittels devicemapper eine Art der LVM Snapshot Funktion genutzt werden. Ein Docker Image besteht somit aus den Änderungen am Dateisystem zum Eltern-Image und einer spezifischen Konfiguration mit Referenz auf das übergeordnete Abbild. Durch die Layer entsteht eine einem Versionskontrollsystem ähnliche Historie der Container. Mit dem Befehl docker diff werden Änderungen in der oberen Schicht zu der darunter liegenden angezeigt. Abbilder sind unveränderbar und alle Änderungen werden in den Layern gespeichert. Um einen neuen Container auf Basis der Änderungen an einem anderen zu starten, wird mit dem Befehl docker commit ein neues Abbild aus den Änderungen erzeugt. Dieses kann wieder als neuer Container gestartet werden. D. Container Kommunikation Oft soll eine Anwendung in einem Container mit anderen Containern kommunizieren, einen Dienst nach außen anbieten oder eine gemeinsame Datenbasis nutzen. Docker stellt hierfür drei Mechanismen zur Verfügung: Kommunikation über TCP/IP, Datei-Container und das Einbinden von Teilen des Hostsystems. Zur Kommunikation über TCP/IP können Ports spezifiziert werden, die entweder für andere Container freigegeben werden (docker run -expose <container_port>...) oder vom Hostsystem zum Container umgeleitet werden (docker run -p <container_port>...). Wenn beim Weiterleiten keine weiteren Angaben gemacht werden, leitet Docker einen zufälligen, auf dem Hostsystem freien Port von allen Schnittstellen zu dem spezifizierten Port des Containers weiter. Bei jedem Start eines Containers ändert sich dessen virtuelle Adresse. Wenn also in einem Container eine Datenbankanwendung läuft und ein weiterer auf diese zugreifen möchte, muss er die

4 4 Adresse und den dynamisch zugewiesenen Port wissen. Dieses Problem löst Docker mit sogenannten Links. Beim Starten der Datenbank ist der Container mit einem eindeutigen Namen zu versehen. Der Client wird mit dem -link <server_name>:srv Argument gestartet. Dadurch ist im Client die Umgebungsvariable LINKED-SRV_PORT=tcp://<ip>:<port> gesetzt. Falls der Server ohne den Klienten neu gestartet werden muss und sich somit der Port ändert, muss diese Änderung z.b. durch einen Dienst für verteilte Konfiguration wie etcd [15] propagiert werden. Auf diese Weise können Anwendungen leicht in Komponenten aufgeteilt werden, die sich während des Lebenszyklus einer Anwendung unterscheiden. So laufen lokal, auf dem Testsystem und dem Produktionssystem Komponenten mit der gleichen Schnittstelle, aber unterschiedlichen Daten. Die Konfiguration muss für die einzelnen Phasen nicht angepasst werden. Wenn verschiedene Container auf die gleichen Daten zugreifen sollen, können Teile des Hostsystems direkt in den Container eingebunden werden. Diese Methode ist jedoch unflexibel, da die Daten rechnerspezifisch sind. Docker führt daher Data Volumes ein. Mit dem Befehl docker run -v /var/volume1 -name DATA busybox true wird ein Datenvolumen angelegt. Beliebig viele Container können mit dem Parameter -volumes-from DATA auf die Daten zugreifen. Änderungen an Dateien in einem Datenvolumen werden direkt ausgeführt. Dies bedeutet, dass bei einem Commit die Daten nicht gespeichert werden. III. ERGEBNISSE Docker ist noch ein sehr junges Projekt, von dem es wenige Erfahrungsberichte gibt. Allerdings existiert bereits eine breite Integration für bekannte Technologien wie OpenStack [16], Puppet [17] und Ansible [18]. Mit der Kooperation von Red Hat und Docker wird bald auch OpenShift [19] Docker unterstützen. Die schnelle Akzeptanz ist vor allem auf die bereits bekannten Eigenschaften der Container-Technologien zurückzuführen. A. Geschwindigkeit Virtualisierung fügt eine weitere Abstraktionsschicht zu einem System hinzu, was unweigerlich einen Geschwindigkeitsverlust gegenüber des direkten Betriebs einer Anwendung bedeutet. Zu unterscheiden sind zwei Arten: die Verzögerung beim Starten der Anwendung und das langsamere Ausführen verschiedener Operationen während des Betriebs. Die Verzögerung beim Start ist vor allem während der Entwicklung und des Testens hinderlich, kann aber auch bei Anforderungen Tabelle I GESCHWINDIGKEIT BEI SYSTEMOPERATIONEN MIT UNIXBENCH (MEHR PUNKTE SIND BESSER) [20] Original Container Gewinn % Pipe Durchsatz Systemcall Prozesserzeugung Pipe Contextwechsel Shellskripte (1 parallel) Shellskripte (8 parallel) an eine schnelle Skalierung kritisch sein. Das Starten einer Virtuellen Maschine (VM) erfordert auch immer den Start des Gastsystems oder das Laden des virtuellen Speicherabbilds. Container hingegen starten sehr viel schneller, da die Anwendung in dem chroot direkt ausgeführt wird. Auch wenn Container keine Hardware-Unterstützung benötigen, ist durch die dünnen Abstraktions-Schichten die Geschwindigkeit der virtualisierten Programme fast identisch mit der von direkt auf dem System laufenden Programmen. In [20] wird gezeigt, dass sich Container für die faire Jobverteilung in einem Rechencluster eignen. Dabei werden den Prozessen Ressourcen wie CPU- Zeit und Arbeitsspeicher zugeordnet. Im Gegensatz zur direkten Jobverteilung ohne Container und Ressourcen- Zuteilung ist eine regelkonforme Ressourcen-Nutzung zu sehen. Die Geschwindigkeit arithmetischer Operationen und das Kopieren von Dateien auf der Festplatte ist im Container nahezu identisch mit der nicht virtualisierten Ausführung. Bei Systemoperationen ist lediglich die Prozess-Erzeugung und der Pipekontext-Wechsel langsamer (Tabelle I). Ähnliche Ergebnisse zeigen die Untersuchungen von Xavier et al. Neben einem Geschwindigkeits-Vergleich von Linux VServer, OpenVZ, LXC und XEN [21], wird hier das Verhalten von mehreren parallel laufenden Containern mit eingeschränkten Ressourcen untersucht. Der Test basiert auf der Isolation Benchmark Suite [22]. Dabei laufen auf einem System zwei Gäste parallel und haben jeweils die Hälfte der Ressourcen zugewiesen bekommen. Zum Vergleich wurde der Benchmark für jedes System nur in einer Instanz ausgeführt. Vor allem die Beschränkung des Arbeitsspeicher führt hier zu einem deutlichen Geschwindigkeitsverlust bei der parallelen Ausführung mit Container-Virtualisierung. B. Sicherheit Die Sicherheit von Docker Containern hängt von drei Aspekten ab: der Sicherheit von Linux Containern, der

5 5 Angriffsfläche des Docker Daemons und dem Zusammenspiel zwischen Sicherheitsfunktionen des Kernels und Containern [23]. Docker Container sind eine Abstraktion von LXC Containern. Beim Starten eines Containers wird im Hintergrund lxc-start aufgerufen. Somit werden Docker Container durch alle aktuellen und auch zukünftigen Sicherheitsmechanismen von LXC geschützt. Für die Isolation werden eine Reihe von Namespaces und Control Groups angelegt. Namespaces verhindern, dass Prozesse in einem Container Prozesse von außerhalb oder in anderen Containern sehen oder beeinflussen können. Jeder Container hat außerdem seinen eigenen Netzwerk-Stack und somit keinen privilegierten Zugriff auf die Schnittstelle oder den Adapter eines anderen Containers. Eine Kommunikation kann nur nach den unter II-D beschriebenen Regeln erfolgen. Die zweite Basis von Containern sind Control Groups. Sie erlauben eine Zuteilung und Limitierung der Ressourcen zu einzelnen Prozessen. Auch wenn dies keinen direkten Einfluss auf die Sicherheit im Sinne des Zugriffs oder der Beeinflussung von Daten außerhalb eines Containers hat, so können einige denial-of-service Angriffe verhindert werden. Werden Container im Rahmen einer PaaS Architektur oder einem Rechencluster [20] eingesetzt, so kann eine konstante Leistung garantiert werden, obwohl einige Anwendungen sich absichtlich oder unabsichtlich falsch verhalten. Beide Mechanismen sind seit Mitte 2008 im Linux Kernel vorhanden. Namespaces sind aus dem OpenVZ Projekt entstanden, welches erstmals 2005 veröffentlicht wurde. Control Groups werden seit 2006 entwickelt und sind erstmals seit Kernel Version verfügbar. Der Code läuft somit schon seit mehr als fünf Jahren auf Produktionssystemen. Container führen in der Regel keine Operationen aus, die echte root-rechte benötigen. Daher startet Docker Container mit eingeschränkten Rechten. Es werden unter anderem Mount- Operationen verboten, der Zugriff auf RAW-Sockets und der Zugriff auf einige Dateioperationen wie das Anlegen von Device-Nodes verhindert. Sollte ein Eindringling in einem Container also root-rechte erlangen, so sind viele Angriffsmöglichkeiten auf das Hostsystem oder andere Container nicht vorhanden. Gerade in Verbindung mit zusätzlichen Sicherheitsmechanismen wie SE-Linux, grsecurity und AppArmor,..., wird somit ein hohes Maß an Sicherheit erreicht. Dies zeigt auch die Arbeit von Krishnan et al. [24], in der Container für die Isolation von Prozessen auf mobilen Systemen eingesetzt werden. IV. DISKUSSION Docker ermöglicht mit seinen vielseitigen Einsatzmöglichkeiten und der einfachen Handhabe den Einsatz in vielen Bereichen der Softwareentwicklung. Im Gegensatz zu Virtuellen Maschinen ist es leichtgewichtiger und schneller. Seine Isolation erhöht die Sicherheit gegenüber der direkten Ausführung von Anwendungen auf einem System ohne merkbaren Geschwindigkeitsverlust. Das Konzept der Container und die Unterstützung beim Migrieren auf verschiedene Systeme erleichtern die Arbeit durch das gemeinsame Packen von Anwendungen und Abhängigkeiten, sowie die geringe zu übertragende Datenmenge der Differenzen zu alten Versionen. A. Rolle von Docker Virtuelle Maschinen sind aktuell noch weiter verbreitet als Container. Sie haben den Vorteil der Abstraktion und Isolation von Anwendungen gegenüber einem direkten Ausführen auf dem Hostsystem. Doch die Nachteile beim Starten und Verteilen, sowie die limitierte Automatisierbarkeit beim Erstellen, verursachen einen erheblichen Mehraufwand in der Entwicklung und höhere Kosten im Betrieb. Dem gegenüber stehen automatisierte Orchestrierungs-Lösungen, die durch eine einheitliche Konfiguration das problemlose Portieren von Anwendungen ermöglichen sollen. Dies ist in der Praxis allerdings oft nicht ausreichend, da viel Wissen über die Zielsysteme benötigt wird. Docker kombiniert die Vorteile beider Technologien. Dockerfiles beschreiben die Konstruktion von Containern und LXC bietet die Isolation sowie die Zuordnung und Begrenzung von Ressourcen. Docker kann somit im gesamten Entwicklungsprozess eingesetzt werden, indem alle Schritte in einem oder vorzugsweise mehreren verknüpften Containern ablaufen. Die Anwendung kann so auf dem Entwicklungs-, Test- und Produktionssystem ohne Änderungen genutzt werden. Laufen viele Prozesse in einem System parallel und voneinander isoliert, wie es bei einem PaaS-System, einem Rechencluster oder bei der Simulation von Netzwerksystemen [25] der Fall ist, so bieten Container eine leichtgewichtige Abstraktion. Docker stellt außerdem eine einfache Schnittstelle für die Kontrolle der Container bereit, die eine einfache Integration in neue und bestehende Systeme ermöglicht. B. Docker in der Praxis Container werden bereits in vielen Bereichen eingesetzt. Projekte wie OpenShift, OpenStack und Puppet unterstützen Docker schon oder haben die Integration angekündigt. Unternehmen wie Baidu haben sich für die Umstellung ihrer PaaS Dienste für Docker entschieden. In der aktuellen Version 0.7 wird Docker jedoch noch nicht für den produktiven Einsatz empfohlen. Bis zur

6 6 Version 1.0 sind noch einige Probleme zu beheben. Zwar wird mittlerweile keine aufs-unterstützung im Kernel mehr benötigt, aber es werden aktuell keine beliebig großen Container unterstützt und Docker läuft ausschließlich auf x86 64 Systemen. Die Entwicklung geht jedoch schnell voran. Seit der Veröffentlichung des Projekts vor sieben Monaten haben bereits über 290 Personen über Github an der Entwicklung mitgewirkt. V. ZUSAMMENFASSUNG Docker Container ermöglichen eine leichtgewichtige, portable Virtualisierung. Die Entwicklung, das Testen und das Bereitstellen von Anwendungen werden durch die schnelle Startzeit, das erleichterte Verwalten von Abhängigkeiten und die geringe Größe vereinfacht. Gegenüber virtuellen Maschinen sind Container bezüglich Geschwindigkeit, Isolation und Sicherheit oftmals noch unterlegen. Allerdings ist zu erwarten, dass in naher Zukunft durch die aktive Entwicklergemeinschaft und Unterstützung von Unternehmen wie Docker Inc., Red Hat, Baidu und Spotify dieser Rückstand aufgeholt werden kann. Es ist anzunehmen, dass Docker aufgrund seiner Vorzüge nicht nur im Cloud Computing, sondern in vielen Bereichen der Softwareentwicklung eine wichtige Rolle spielen wird. LITERATUR [13] J. R. Okajima, Aufs - advanced multi layered unification filesystem version, [Zugriff ]. [Online]. Available: [14] J. Pendry, U. Sequent, and M. McKusick, Union mounts in 4.4 BSD-lite, AUUGN, [15] etcd, [Zugriff ]. [Online]. Available: com/coreos/etcd [16] OpenStack, [Zugriff ]. [Online]. Available: http: //openstack.org [17] L. Kanies, Puppet, [Zugriff ]. [Online]. Available: [18] Ansible, [Zugriff ]. [Online]. Available: http: // [19] R. Hat, OpenShift, [Zugriff ]. [Online]. Available: [20] J. Hong, P. Balaji, G. Wen, B. Tu, J. Yan, C. Xu, and S. Feng, Container-Based Job Management for Fair Resource Sharing, Supercomputing, pp , [21] P. Barham, B. Dragovic, K. Fraser, S. Hand, T. Harris, A. Ho, R. Neugebauer, I. Pratt, and A. Warfield, Xen and the art of virtualization, ACM SIGOPS Oper. Syst. Rev., vol. 37, no. 5, pp , [22] J. N. Matthews, W. Hu, M. Hapuarachchi, T. Deshane, D. Dimatos, G. Hamilton, M. McCabe, and J. Owens, Quantifying the performance isolation properties of virtualization systems, in Proc Work. Exp. Comput. Sci. ACM, 2007, p. 6. [23] Docker Security, [Zugriff ]. [Online]. Available: [24] N. Krishan, S. Hitefield, and T. Clancy, Multipersona Hypovisors: Securing Mobile Devices through High-Performance Light-Weight Subsystem Isolation, Virginia Polytechnic Institute & State University, Tech. Rep., [25] G. Calarco and M. Casoni, On the effectiveness of Linux containers for network virtualization, Simul. Model. Pract. Theory, vol. 31, pp , Feb [1] D. Kaye, Loosely coupled: the missing pieces of Web services. RDS Strategies LLC, [2] LXC - Linux Containers, [Zugriff ]. [Online]. Available: [3] D. Price and A. Tucker, Solaris Zones: Operating System Support for Consolidating Commercial Workloads. in LISA, vol. 4, 2004, pp [4] P.-H. Kamp and R. N. M. Watson, Jails: Confining the omnipotent root, in Proc. 2nd Int. SANE Conf., vol. 43, 2000, p [5] I. Parallels, An introduction to os virtualization and parallels virtuozzo containers, Parallels, Inc, Tech. Rep., [6] B. des Ligneris, Virtualization of Linux based computers: the Linux-VServer project, in High Perform. Comput. Syst. Appl HPCS th Int. Symp. IEEE, 2005, pp [7] OpenVZ Projekt, [Zugriff ]. [Online]. Available: [8] G. Inc, lmctfy - Let Me Contain That For You, [Zugriff ]. [Online]. Available: [9] Docker, [Zugriff ]. [Online]. Available: http: // [10] G. Banga, P. Druschel, and J. C. Mogul, Resource Containers : A New Facility for Resource Management in Server Systems in server systems, Computer (Long. Beach. Calif)., vol. 33, pp , [11] Docker GitHub, 2013, [Zugriff ]. [Online]. Available: [12] A. Avram, Docker: Automated and Consistent Software Deployments, 2013, [Zugriff ]. [Online]. Available: