Menü
iX Magazin

LXC 1.0 mit unprivilegierten Containern

Ihrer für die Produktion empfohlenen Version 1.0 haben die Entwickler der Containervirtualisierung LXC neben unprivilegierten Containern auch eine stabile API spendiert.

Von
vorlesen Drucken Kommentare lesen 49 Beiträge

Mit dem Release von LXC 1.0.0 veröffentlichen die Entwickler des Open-Source-Projekts eine für die Produktion empfohlene Version. Die Container-Virtualisierung, die im Gegensatz zu beispielsweise OpenVZ nur auf Funktionen des Vanilla-Kernel – insbesondere Namespaces, Capabilities und Cgroups – aufbaut, bringt neben der Produktionsreife eine stabile API mit Bindings für Python3, Lua, Go und Ruby mit.

Eine der wichtigsten Neuerungen ist der Support von unprivilegierten Containern. Mit diesen können normale Benutzer mit ihrer unprivilegierten UID Container betreiben. Die verbleiben so in einem eigenen User-Name-Space. LXC mappt dabei UID 0 eines Containers auf eine andere UID auf dem Host. Damit ist ein laufender Container genauso (wenig) sicherheitskritisch, wie jede andere nicht mit root-Privilegien laufende Applikation.

Neue Tools mit Nebenwirkungen

Viele Anwender können sich zudem über die Unterstützung verschiedener Backends freuen: zum Beispiel für Btrfs, Aufs, Overlayfs und Zfs. Gerade beim Klonen und dem Erstellen von Snapshots – einer weiteren Neuerung in 1.0.0 – von Containern machen sich die erwähnten Backends durch Geschwindigkeit und geringem Platzverbrauch bezahlt. Die Userland-Tools haben sich leicht geändert. So ist z.B. lxc-kill in lxc-stop aufgegangen. Eine Änderung, über die zum Beispiel Docker stolpert, da hier explizit lxc-kill Verwendung findet.

Als kleines Bonbon kann man ein neues Template zum Installieren von Containern verstehen. Während Templates meist lokal ein Image – etwa per debootstrap – zusammenbauen, lädt sich der Nutzer mit dem neuem Template download ein Image von einem Repository.

lxc-create -t download -n my_name -- -d gentoo -r current -a amd64 

Einen Überblick über die Images kann man sich hier verschaffen. Vereinfacht gesprochen finden sich dort erfolgreich durchgelaufene Vorlagen. Das sollte die Anzahl der fehlerhaften Installationen reduzieren.

Seine Quellen hostet das Projekt auf GitHub, für die jetzt freigegebe Version soll es fünf Jahre land Updates und Bugfixes geben. Der Entwickler Stéphane Graber hat in seinem Blog eine Reihe von Anleitungen zur Version 1.0.0 veröffentlicht. Ein weiterer ausführlicher Artikel zu LXC findet sich in der aktuellen Ausgabe der iX – im Handel oder im Online Shop. (Erkan Yanar) / (avr)