Home

Betriebssystemcontainer

Ein Betriebssystemcontainer (OS-Container) ist eine Form der Containerisierung, bei der mehrere isolierte Systemumgebungen auf einem gemeinsamen Kernel des Hosts laufen. Im Unterschied zu herkömmlichen Anwendungscontainern, die typischerweise eine einzelne Anwendung samt Laufzeitumgebung kapseln, ermöglichen OS-Container den Betrieb ganzer Dienste oder kompletter Systemumgebungen innerhalb einer isolierten Umgebung.

Technisch basieren OS-Container auf Kernel-Funktionen wie Namespaces und Cgroups. Die Container teilen sich den Kernel des

OS-Container unterscheiden sich damit von virtuellen Maschinen, die eigenständige Kernel nutzen und in der Regel mehr

Typische Einsatzgebiete sind das Bereitstellen ganzer Systemumgebungen in Tests und Continuous-Integration-Pipelines, Multi-Service-Hosts auf einem einzigen Host,

Hosts,
führen
aber
eigene
Prozesse,
Dateisysteme,
Netzwerke
und
andere
Systemressourcen
in
einer
abgegrenzten
Umgebung
aus.
Da
kein
eigener
Kernel
im
Container
läuft,
ist
die
Kompatibilität
mit
dem
Host-Kernel
eine
zentrale
Voraussetzung.
Ressourcen
beanspruchen.
Sie
bieten
deutlich
geringeren
Overhead
und
schnellere
Bereitstellung,
auf
Kosten
einer
potenziell
geringeren
Isolation
gegenüber
dem
Host.
Die
Verwaltung
erfolgt
oft
über
spezialisierte
Tools
und
Orchestrierungslayer;
gängige
Lösungen
sind
LXC/LXD
oder
systemd-nspawn,
während
Docker
und
ähnliche
Systeme
eher
auf
Anwendungscontainer
ausgerichtet
sind,
die
einzelne
Anwendungen
kapseln.
sowie
das
schnelle
Bereitstellen
konsistenter
Entwicklungs-
oder
Produktionsumgebungen.
Sicherheitsaspekte
umfassen
das
Risiko
von
Kernel-Sicherheitslücken,
Isolationseinschränkungen
und
den
Bedarf
an
strenger
Konfiguration
von
Berechtigungen,
seccomp-Profilen,
AppArmor/SELinux-Policies
und
weiteren
Schutzmechanismen.