OpenInfra Summit 2023: Die Zukunft von Open-Source-Projekten

Von Loki bis Azimuth OpenInfra zwischen lähmendem Erfolg und ungelösten, neuen Aufgaben

01.08.2023 Von Ulrike Ostler 12 min Lesedauer

So sieht Erfolg aus: Die OpenInfra Foundation umfasst eine Community von 110.000 Personen aus 187 Ländern. Das wichtigste Projekt ist nach wie vor „Openstack“ auch wenn sich etwa „StarlingX“, „Kata Containers“ und „Swift“ mausern. Doch wie sieht die Zukunft der Open-Source-Projekte aus? Besucher des Vancouver „OpenInfra Summit“ entwickeln die Projekte stetig weiter, aber neue gab es nicht zu verkünden und erst recht keine bahnbrechenden.

OpenInfra-Veranstaltungen und -Abeitsgruppen gibt es in vielen Ländern. Auf der Bühne des „OpenInfra Summit“, der Mitte Juni in Vancouver stattgefunden hat, finden sich einige der Organisatoren.
(Bild: OpenInfra Foundation)

Es war der 22. OpenInfra-Summit, wenn man ihn als den Nachfolger des „OpenStack-Summit“ durchgehen lässt, und der dritte in Vancouver. 2010 startete das Projekt OpenStack und 2015 machte der Summit hier das erste Mal Station.

Doch was für ein Unterschied: Waren 2015 Tausende vor Ort, sind es heuer noch rund 750 gewesen, so der Veranstalter; die meisten davon haben zugleich auch Vorträge oder Übungs- und Diskussionsrunden geleitet. Damals waren zwei OpenStack-Releases im Jahr noch zu wenig, heute gibt es nur noch eins. Damals gab es Sponsoren in Mengen, heuer nicht einmal einen Sponsor für das Mittagessen der Teilnehmer – 2019 stellte etwa Suse seine „OpenStack Cloud“ ein. Damals wollte man seitens der Foundation die Entwickler separieren, um mehr Ruhe in die Entwicklungen zu bringen, und heute? Sie stecken wohl zumeist in Cloud-Native- respektive Kubernetes-Projekten.

Dabei gehörte Kubernetes zu den Projekten, die durch OpenStack angestoßen wurden und von Beginn an starke Unterstützung fanden. So hat Thierry Carrez, Geschäftsführer, OpenInfra Foundation, in seinem Part der Keynote die Entwicklung der OpenOnfra wie folgt überrissen: „Angefangen mit OpenStack, der ersten Cloud mit universellem Fokus; führte zum Aufstieg anderer Projekte wie ‚Ceph‘, ‚OpenvSwitch‘, ‚KVM‘ und Kubernetes; dazu kamen Kata Containers und StarlingX – Lösungen, die zwischen Hardware und Anwendungen angesiedelt sind.“

Thierry Carrez, Geschäftsführer der OpenInfra Foundation, hat auf dem „OpenInfra Summit“, der vom 13. bis zum 15 Juni in Vancouver stattfand, bekannt gegeben, dass die Foundation regionale Zentren in Europa und Asien eröffnet.
(Bild: OpenInfra Foundation)

Das gemeinsame Ziel beschreibt er unter den Stichworten Open Source, Infrastruktur und Standardisierung: Open Source bedeute in erster Linie quelloffen, sowie das Schaffen gesunder, „nachhaltiger Gemeinschaften, die langlebige Infrastruktursoftware produzieren.“ Infrastruktur geht über Openstack hinaus, ist „programmierbare Infrastruktur, auf der Anwendungen laufen und auf der Innovationen möglich sind“, mithilfe von Standardisierungen, die zugleich eine offene Zusammenarbeit bei gemeinsamen Lösungen ermöglichen aber auch deren sowie Monetarisierung und Differenzierung.

Die Erfolge

„Wir haben es geschafft“, so Carrez. Er zählt auf:

Aus 150 Community-Mitgliedern sind 110.000 geworden.

OpenStack hat 40+ Millionen Kerne und wächst schnell weiter.

Kata-Containers, im Wesentlichen eine Hypervisor-basierte Isolierung pro Container-Pod, sichert Container-Workloads bei der Ant Group und den größten Zahlungsabwickler der Welt, Alipay, der täglich mehr als 100 Millionen Zahlungen pro Tag verarbeitet und wird von mehr als 1 Milliarde Nutzern verwendet.“

Doch es gebe noch mehr zu erforschen, zum Beispiel Software zur Integration neuer Hardware-Funktionen, etwa GPUs, Verschlüsselung und das An- und Abschalten von Kernen um Strom zu sparen, sowie mehr Open-Source-Komponenten in proprietären Cloud-Stacks. Jüngstes Beispiel ist die Integration von Kata Containers in das „Azure“-Angebot von Microsoft (siehe Kasten: „Kata Containers in AKS“).

Kennen Sie Loki?

Loki ist eine Figur aus der nordischen Mythologie, ein Ase. Wikipedia leitet den Namen „Loptr“, was altnordisch „der Luftige“ oder „Luftgott“ bedeutet. Dieser Ausdruck ist jedoch eher im Sinne von „Luftikus“ zu verstehen. Im Umfeld von OpenInfra allerdings ist die Bezeichnung ein Akronym aus Linux, OpenStack, Kubernetes-Infrastruktur. Das Cern etwa benutzt Loki zur Verarbeitung von Forschungsdaten in etwa 300.000 Kernen, die von OpenStack, hier als Datacenter-Betriebssystem, und insbesondere von „OpenStack Magnum“ für K8s-Cluster verwaltet werden.

Bild des in Ketten gelegten Loki, von der Kirkby Stephen Parish Church.
(Bild: / CC BY 4.0)

Auch China Telecom nutzt Loki in über 700 Rechenzentren. Bloomberg – das Unternehmen erhielt in diesem Jahr den OpenInfra-End-User-Preis – stellt Nachrichten und Finanzinformationen mithilfe von 400.000 Kernen und OpenStack, Hunderten von Bare-Metal- und virtuellen K8s-Clustern dar.

StarlingX feiert den 5. Geburtstag

Wenn sich die Infrastruktur von einem einzelnen Computer oder Datacenter zu einem geografisch verteilten System entwickeln muss, kommt StarlingX ins Spiel. Das OpenInfra-Projekt hat die Komponenten des Loki-Stacks, fusioniert diese Elemente und fügt fehlende Teile hinzu, um wichtige Infrastrukturen außerhalb der Rechenzentren bereitzustellen. Aus der Taufe gehoben wurde StarlingX bei einem Summit in Vancouver vor fünf Jahren.

Wie Jeff Gowan, Marketing Director bei Wind River, dem Hauptsponsor des Summit 2023, ausführt, soll StarlingX die Infrastruktur für die nächste Generation von Cloud Native sein. Während OpenStack die Infrastruktur für die Bereitstellung von virtuellen Maschinen in großem Umfang bietet, „Es hat uns geholfen zu realisieren, was vor zehn Jahren noch als Science-Fiction gegolten hat“, so Gowan, stoße das Projekt in einer Welt selbstfahrender Autos, immer- und überall verfügbarer Konnektivität, Drohnen und Intelligenter Städte an seine Grenzen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

„Zum Glück“, sagt Gowan, „kam 2014 Kubernetes auf den Markt. Kubernetes ist für massiv verteilte Systeme“ – geografisch verteilt, Tausende von Systemen, Unterstützung für Container und virtuelle Maschinen von Anfang an, hochleistungsfähige Lösungen in Bezug auf Latenz und Betriebszeit, einfache automatisierte Bereitstellung, operative Benutzerfreundlichkeit wie zentralisierte Verwaltung und automatische Updates. „Das Rechenzentrum sieht anders aus. Jetzt hat es vielleicht Räder oder Flügel, wie bei einem Auto oder einem Düsenjäger.“

Elke Witmer-Goßner (rechts), Chefredakteurin CloudComputing-Insider, befragt DataCenter-Insider-Chefredakteurin Ulrike Ostler.
(Bild: Vogel IT-Medien GmbH)

Für Leser beziehungsweise Hörer, die Podcast lieben, haben Elke Witmer-Goßner, Chefredakteurin von CloudComputing-Insider, und Ulrike Ostler, Chefredakteurin von DataCenter-Insider, einen Kommentar zum OpenInfra Summit aufgenommen.

Die Podcast-Folge #15 von DataCenter Diaries „Elke fragt, Ulrike antwortet: Kommentar der DataCenter-Insider-Chefredakteurin zum OpenInfra Summit 2023“ findet sich auf Spotify, Apple Podcasts, Deezer, Amazon Musik und Google Podcasts.

Gowan setzt hinzu: „Wenn wir nur aus der Perspektive eines Rechenzentrums denken, werden wir buchstäblich in die Enge getrieben und sind nicht in der Lage, die neuen Anwendungsfälle und Anforderungen zu erfüllen.“ Die verteilten Standorte sollten seiner Ansicht nach als Clouds und Sub-Clouds in einem verteilten System betrachtet werden und nicht als separate, eigenständige Einheiten.

Um fünf, zehn oder 1.000 Standorte zu verwalten, von denen jeder seine eigenen Anforderungen in Bezug auf Software-Installationen, Updates, Versionskontrolle, Verfügbarkeit, Betriebszeit, Lastausgleich und Disaster Recovery hat, müsse man sie als Kollektiv betrachten. StarlingX löst Aufgaben wie:

Wie sind alle Standorte auf dem neuesten Stand zu halten und auf dieselbe Version zu synchronisieren ohne den Dienst zu unterbrechen?

Wie sieht es mit dem Sicherheits-Management aus?

Wie wird die Orchestrierung aller erforderlichen Updates und Anwendungen unterstützt?

Sobald eine Lösung implementiert ist, wie lässt sich dann skalieren?

Zu Letzterem bringt Gowan ein Beispiel aus dem eigenen Unternehmen: In den vergangenen zweieinhalb Jahren habe Wind River sein „Studio“ mithilfe von Verizon 5G auf 10.000 Standorte, Tendenz steigend, ausgeweitet. Er macht zudem deutlich, wie dringend neben der Skalierung Echtzeit in diesem Umfeld ist: „Was auch immer es ist, die verteilte Cloud-Technologie wird Folgendes ermöglichen:

Verfolgung von Vermögenswerten in Echtzeit mit Hilfe von Trackern, Sensoren, Kameras, Verkehrsströmen, Luftraum, usw.

Vorausschauende Wartung durch Anwendung von Algorithmen des maschinellen Lernens zur Vorhersage, um Ausfälle vorherzusagen und sie zu beheben, um Ausfallzeiten zu begrenzen.

Fernüberwachung von Flotten, Optimierung von Routen und Reduzierung von Treibstoffkosten.

Einsatz von mobilen Anwendungen.

Datenanalyse und -verarbeitung zur Verbesserung des Betriebs.

In all diesen Anwendungen werde sie benötigt. StarlingX und die jüngsten „Intel-Xeon“-Prozessoren harmonierten bereits; ARM sei vor Kurzem der StarlingX-Community beigetreten.

Die Zukunft mit generativer KI

Spricht Gowan auch von Anwendungen in verteilten Umgebungen, die erst noch „erfunden“ werden (müssen), ist das ganz sicher im Umfeld generativer Künstlicher Intelligenz der Fall. Wie auch im Cloud-Native-Umfeld steht die OpenInfra-Foundation quasi unter Schock, wenn es um die Veröffentlichung von „ChatGPT“ durch OpenAI geht. Der Nvidia-Chef spricht vom „iPhone-Moment“ der Künstlichen Intelligenz.

Die Open-Source-Welt hat diesem noch nicht wirklich etwas entgegen zu setzen; eigentlich dürfte der geneigte Anwender von der OpenInfra Foundation einiges erwarten, ist in diesem Umfeld Infrastruktur ein mehr als bedeutsames Momentum. Der Betrieb von ChatGPT soll rund 500.000 Dollar pro Tag kosten. Welches Unternehmen kann sich das leisten?

Mark Collier, COO der OpenInfra Foundation: „Der Markt für Künstliche Intelligenz wird bis 2030 auf 1,5 Billionen Dollar anwachsen, ... “
(Bild: Vogel IT-Medien GmbH)

Nun zumindest hat Mark Collier, COO der OpenInfra Foundation das Thema auf die Keynote-Bühne gebracht. „Der Markt für künstliche Intelligenz wird bis 2030 auf 1,5 Billionen US-Dollar anwachsen, und jedes große IT-Unternehmen baut seine eigene KI-Strategie auf.“ Und seiner Einschätzung nach sind die Voraussetzungen für den Einsatz von Open-Source-Techniken, im Zweifelsfall verbandelt mit OpenInfra-Technologien gar nicht so schlecht.

Mark Collier, COO der OpenInfra Foundation, mit einem eher berüchtigten, geleakten Post: „Aber die unbequeme Wahrheit ist, dass wir nicht in der Lage sind, dieses Wettrüsten zu gewinnen und OpenAI ist es auch nicht. Während wir uns gestritten haben, hat eine dritte Fraktion still und leise unser Mittagessen gegessen.“
(Bild: Vogel IT-Medien GmbH)

Collier zitierte ein berühmt gewordenes Google-Leck: „Aber die unbequeme Wahrheit ist, dass wir nicht in der Lage sind, dieses Wettrüsten zu gewinnen und OpenAI ist es auch nicht. Während wir uns gestritten haben, hat eine dritte Fraktion still und leise unser Mittagessen gegessen.“

Collier kommentiert weiter: 1,5 Billionen ist eine Menge zu essen. Ich für meinen Teil hoffe, dass die Open-Source-Fraktion in den kommenden Jahren gut essen wird.“ Open-Source-Modelle seien schneller, anpassungsfähiger, privater und fähiger. „Sie können mit 100 US-Dollar und 13 Milliarden Parameter mehr Dinge tun, als wir mit 10 Millionen US-Dollar und 540 Milliarden Parameter. Und sie tun dies in Wochen, nicht in Monaten.“

Open Source und KI

Collier: „Vor 3 Monaten dachten wir, dass nur Unternehmen mit Milliarden von US-Dollar diese Modelle herstellen könnten, und jetzt reduziert Open Source das auf Laptops mit einer GPU. Die disruptive KI ist bereits disruptiv.“ Anders als die Sprecher der CloudNative Computing Foundation auf der „KubeCon/CloudNativeCon“ in Amsterdam vor Kurzem, sieht Collier bereits eine glänzende Zukunft der generativen KI in der Software-Erstellung voraus: „Eine der unmittelbarsten Auswirkungen von KI ist die Art und Weise, wie Code erstellt wird.“

Doch ganz ohne Warnung kommt auch er nicht aus: „Einige Entwickler machen sich das zunutze, aber die Wahrheit ist, dass wir noch nicht wissen, welche langfristigen Auswirkungen auf die Art und Weise, wie Software produziert wird.“ Allerdings gebe es schon erste Auswirkungen. So schlage sich die Python-Community bereits mit Code-Reviews von KI-generiertem Code herum.

Angst vor KI und Angst vor Regulierung

Und es gehe Angst um. Beispielsweise versuchten Regierungen, KI zu regulieren. „Dies ist einer der Gründe, warum wir OpenInfra Asia und OpenInfra Europe gegründet haben“, sagt Collier (siehe Kasten: „OpenInfra Foundation gründet regionale Zentren in Asien und Europa“)

OpenInfra Foundation gründet regionale Zentren in Asien und Europa

Die OpenInfra Foundation hat regionale Hubs in Europa und Asien eröffnet, OpenInfra Asia und OpenInfra Europe sollen die regionale Resilienz fördern und die Beiträge zu politischen Fragen koordinieren, um sicherzustellen, dass wichtige Open-Source-Infrastrukturtechnologien weiterhin offen entwickelt werden.

Die Regionen Asien und Europa haben in den letzten Jahren ein schnelles Wachstum erfahren und stellen derzeit 32,5 Prozent beziehungsweise 38,8 Prozent der Mitglieder der OpenInfra Foundation. Allerdings, so Thierry Carrez, Geschäftsführer der OpenInfra Foundation, hätten in beiden Regionen aber auch die Herausforderungen an Open Source und die globale Zusammenarbeit zugenommen: Er sagt: „Die Welt hat sich verändert, und Open Source braucht regionale Stabilität und Maßnahmen, um sicherzustellen, dass lebenswichtige Softwaretechnologien weiterhin offen entwickelt werden.“

Zu den Herausforderungen zählt er explizit die digitale Souveränität in der EU: „Die OpenInfra Foundation bringt aktiv ihre Bedenken zum Ausdruck, einschließlich der Bedenken über die derzeitige Formulierung im EU Cyber Resilience Act im Hinblick auf Open Source Software. Dies ist ein Beispiel für regionale Politiken und Verordnungen, die - ob unbeabsichtigt oder absichtlich - negative Auswirkungen auf Open-Source-Infrastrukturtechnologien haben könnten.“ Andere Beispiele seien Vorschläge zur Regulierung der Rolle von Open Source in Technologien der künstlichen Intelligenz wie ChatGPT.

Die Gründung regionaler Organisationen der OpenInfra-Gemeinschaft soll ihr ein rechtliches Standing geben, um an politischen Diskussionen teilzunehmen, und einen stärkeren Mechanismus, um den Einfluss der teilnehmenden Organisationen zu nutzen.

Sitz der OpenInfra Asia wird Singapur sein und Sitz der OpenInfra Europe soll sich in Belgien finden.

Nvidia und Graphcore an Bord

Für den Erfolg von Open-Source-Infrastruktur und Aufgaben wir große KI-Modelle in adäquater Zeit zu rechnen, ist es ganz sicher nicht schlecht, den Marktführer in Sachen Accelerated Computing an Bord zu haben: Nvidia unterstützt etwa das Objektspeichersystem Swift. Aber auch das Unternehmen Graphcore, das Hardware-Architekturen und -Beschleuniger für KI-Rechenlasten baut, hat auf dem Summit eine bedeutsame Rolle eingenommen.

Eines der Probleme, die es zu lösen gilt, ist dass die Datensätze so groß werden, dass sie in keinen GPU-Speicher passen, nicht einmal in den Flash-Speicher der Rechner. Objektspeicher hingegen sind prädestiniert für riesige Datenmengen, brauchen aber andere APIs.

Graphcore bietet über „BOW-2000 Intelligence Processing Unit“ zwar Beschleunigung für KI und ML-Anwendungen, will aber die eher händische Verwaltung loswerden und experimentiert mit virtuellen Pods sowie „Azimuth“-Schnittstellen.

Und dann wäre noch Security

Jonathan Bryce, Geschäftsführender Direktor der OpenInfra Foundation, der heuer mit seinem Neugeborenen die Bühne betreten hat, stellt zunächst einmal klar, worum es in der OpenInfra-Community eigentlich geht, angesichts der immer weiter steigenden Gefahr, den immer subtileren Angriffsmethoden und der zunehmenden Komplexität der Angriffsabwehr: „Es geht um die Schichtung verschiedener Tools und Techniken, die sich weiterentwickeln, weil sich die Systeme an eine dynamische Bedrohungslandschaft anpassen.“

Neben Kata Containers spielen auch Software-Lieferketten (SBOM) eine Rolle. Doch Letzteres ist laut Aeva Black, Open-Source-Hacker und Sekretärin des Verwaltungsrats, Open Source, mit Vorsicht zu genießen. Denn die Modellierung von kommerziellen Lieferketten von physischen Gütern ist das Vorbild und die Übertragung auf Open Source könne zu „katastrophalen Ergebnissen bei Open-Source-Projekten führen, bei denen die Haftung ausdrücklich abgelehnt wird.“

Anmeldung und Registrierung zum „OpenInfra Summit“ - am ersten Tag.
(Bild: OpenInfra Foundation)

Sie verweist auf eine Aussage des Office of the National Cyber Director: „Die Verantwortung muss bei den Akteuren liegen, die am ehesten in der Lage sind, Maßnahmen zu ergreifen – nicht auf den Open-Source-Entwicklern.“ Sie folgert: „In den USA versucht die derzeitige Regierung, die Integrität der Open-Source-Gemeinschaften zu bewahren. Doch die EU verfolgt möglicherweise einen anderen Ansatz.“

Wie auch immer, seien SBOMs auf dem Vormarsch und die derzeitigen Mindestanforderungen niedrig. Doch das ändere sich bereits. Ihr Tipp: Foundations sollten die Messlatte von vorneherein höher legen aber zugleich mit anderen zusammenarbeiten, um bei Regierungen für Ausgewogenheit der Vorschriften einzutreten.

Aufkommende Tools in diesem Umfeld sind:

SLSA + S2C2F.

OmniBOR – hier ermöglichen ein automatischer Aufbau eines Artefakt-Abhängigkeitsgraphen und das Einbetten von Graph-Identifikatoren in binäre Artefakte die Rückverfolgbarkeit der Lieferkette ohne Änderungen auf Projektebene.

HipCheck.

GUAC.

Sigstore.

OpenSSF – Supply-chain Levels for Software Artifacts, ein Standard zur Bewertung sicherer OSS-Entwicklungspraktiken.

ScoreCard.

MITRE HipCheck – automatisierte Risikobewertung auf der Grundlage von Community-Entwicklungspraktiken erweitert statische Analysen, Abhängigkeitsüberprüfungen und CVE-Scanner.

Übrigens: Ein neuer Termin für einen OpenInfra Summit 2024 wurde nicht bekannt gegeben.

Kata Containers in AKS

Die Absicherung von Container-Anwendungen hat mit der Umstellung von Unternehmen auf Container-Workloads an Priorität gewonnen. Containerisierte Anwendungen stehen im Visier von Angreifern, da Unternehmen diese zunehmend für die Ausführung geschäftskritischer Anwendungen nutzen. Darüber hinaus sind die Unternehmen in der Regel aus der Sicherheitsperspektive nicht so gut darauf vorbereitet, Container angemessen vor bösartigem Code und anderen Bedrohungen zu schützen.

Im Februar dieses Jahres hat Microsoft eine Pod-Sandboxing-Funktion (Vorschau) mit „Azure Kubernetes Service„“ (AKS) in der Vorschau eingeführt, die auf Kata Containers basiert. Aufgebaut auf Kata Containers ist ein Pod-Sandboxing (eine Vorschau) mit AKS als Baseline und „Kata Coco OSS“ als technischem Stapel. Pod Sandboxing bietet eine Isolationsgrenze zwischen der Containeranwendung und den gemeinsam genutzten Kernel- und Computerressourcen des Container-Host, zum Beispiel CPU, Speicher und Netzwerke.

Pod Sandboxing integriert andere Sicherheitsmaßnahmen oder Datenschutzkontrollen in die Gesamtarchitektur beim Anwender, um sie bei der Erfüllung gesetzlicher, branchenspezifischer oder unternehmensinterner Konformitätsanforderungen zum Schutz sensibler Daten zu unterstützen.

Herausforderung der Isolierung

Wie Brandon Lee auf dem Starwind-Blog veröffentlicht hat, sind Container der virtuellen Maschine unter dem Gesichtspunkt der gemeinsamen Nutzung des Host-Kernels unterlegen. Virtuelle Maschinen verfügen über eine robustere Isolierung, da nicht jede virtuelle Maschine einen gemeinsamen Kernel nutzt. Darüber hinaus verfügen sie über eine eingebaute Sicherheitsabgrenzung. Container hingegen teilen sich den Kernel des Host-Betriebssystems.

Dieses Sicherheitsproblem betrifft sowohl lokale als auch Cloud-Umgebungen, einschließlich AKS. Wenn Kunden, die den Azure Kubernetes Service (AKS) nutzen, eine starke Isolierung von Arbeitslasten zwischen Teammitgliedern oder anderen Anwendungsfällen gewährleisten möchten, mussten sie bisher separate Cluster oder Knotenpools einrichten.

Mit den neuen isolierten Containern von Kata VM, die in ein paar Monaten für alle zur Verfügung stehen soll, verfügt AKS über einen neuen Mechanismus zur Isolierung im selben AKS-Cluster. Mit dem neuen AKS-Feature auf Basis des „Kata Isolated Pod Sandboxing“ können Kunden nun eine viel bessere Isolierung bekommen, ohne die Container zu verändern, die innerhalb einer neuen sicheren VM-Grenze laufen.

(ID:49634749)