Interview mit Brandon Philips

CoreOS im Interview: Gibt es eine gemeinsame Welt für Docker und Rocket?
Kommentare

Mit Rocket hat CoreOS eine Container-Lösung vorgestellt, die als Gegenmodell zu Docker entworfen wurde. Wir haben uns mit Brandon Philips, CTO von CoreOS, über die Hintergründe und Zielsetzung von Rocket unterhalten. Welche Probleme sieht CoreOS in Docker? Wird sich das CoreOS Team von der Docker-Entwicklung zurückziehen? Kann es eine gemeinsame Welt für Docker und Rocket geben?

Die Ankündigung von Rocket durch CoreOS hat die Container-Welt überrascht und in Aufruhr versetzt. Wann wurdet Ihr euch bei CoreOS bewusst, dass es die Notwendigkeit für eine neue Container Runtime gibt? Brandon Philips: Als wir begannen Docker einzusetzen, war es ein einfaches Tool, von dem wir hofften, dass sich alle auf seinen Einsatz einigen würden. Leider hat es sich nicht in diese Richtung entwickelt. Docker enthält inzwischen Komponenten, um Cloud-Services und Clustering-Systeme in Betrieb zu nehmen, und irgendwann wird sogar Ovlerlay-Networking möglich sein. Wir haben vor rund einem Monat damit begonnen, an App Container und Rocket zu arbeiten – als klar wurde, dass sich Docker von einer einfachen, wiederverwendbaren Komponente in eine Plattform verwandelt. In der Ankündigung von CoreOS zu Rocket werden ferner recht offen die „Security-Probleme“ von Docker angesprochen („We cannot in good faith continue to support Docker’s broken security model without addressing these issues.“). Um welche Sicherheitsprobleme handelt es sich und wie will Rocket sie lösen? Brandon Philips: Es gibt mehrere Aspekte: Die Docker-Engine läuft derzeit mit Root-Berechtigungen auf dem System und führt abgehende HTTP-Requests aus, um Container-Images runterzuladen und alles für deren Betrieb zu regeln. Das ist nicht gerade eine großartige Sicherheitsstrategie.

Darüber hinaus lassen sich Docker-Images und -Layers nicht durch Drittanbieter signieren, auch die Layer-IDs basieren nicht auf kryptografischen Hash-Werten. Wir haben uns dazu entschieden, Standard-Tooling einzusetzen, um diese Probleme zu lösen, beispielsweise gpg-Signaturen und einen Store, der „content-adressable“ ist.

Docker SpezialWer sich intensiver mit Docker mitsamt seinem florierenden Ökosystem an Tools und Erweiterungen beschäftigen möchte, findet im Entwickler Spezial „Docker“ eine Fülle an nützlichem Material. Infos unter: https://entwickler.de/docker_spezial

Du bist einer der Top-Contributor von Docker und Mitglied des Docker Governance Boards. Wie wird es in Zukunft um deine Docker-Contributions bestellt sein und welchen Einfluss hat Rocket auf deine Arbeit im Docker Governance Board? Brandon Philips: CoreOS wird sich bei Bedarf weiter an der Entwicklung, dem Testen und Bug-Fixing von Docker beteiligen. Es gibt viele Nutzer, die sich darauf verlassen, dass wir ihnen eine verlässliche Up-to-Date-Version von Docker ausliefern, und daran wird sich auch nichts ändern.

Ferner bin ich optimistisch, dass die App-Container-Standards reifen und immer mehr Implementierungen auftauchen werden. In diesem Rahmen können wir mit der Docker-Community zusammenarbeiten, um Support für die Docker-Engine anzubieten. In der Reaktion auf eure Rocket-Ankündigung bezeichnete Docker Inc. Rocket als die „Idee eines alternativen Standards“. Wie reagierst du auf diese Äußerung? Wird sich Rocket tatsächlich zu einer Alternative zur Docker-Container-Runtime entwickeln? Brandon Philips: Ich denke, dass wir am Ende zu dem Ergebnis kommen können, dass es einen gemeinsamen Standard für Container gibt, aber verschiedene Implementierungen mit unterschiedlichen Zielen. Es ist offensichtlich, dass Docker zukünftig eher eine Plattform mit Service Discovery, Networking, Clustering und mehr sein wird – alles in einem Binärsystem zusammengefasst. Das ist eine feine Sache, aber es ist nicht das, was uns vorschwebte, als wir uns ursprünglich für Docker entschieden hatten. Die Ziele von Rocket haben einen enger gesteckten Rahmen und beschränken sich auf die Ausführung von Containern als ein in sich geschlossenes System.

Vielen Dank für dieses Interview!

Als CTO bei CoreOS hilft Brandon Philips dem Unternehmen dabei, moderne Linux-Serverinfrastrukturen zu bauen. Vor CoreOS hat er sich bei Rackspace mit Cloud-Monitoring beschäftigt, davor war er Linux-Kernel-Developer bei SUSE. Darüber hinaus ist er Mitglied des Docker Governance Boards und gehört zu den Top-Docker-Contributors. Zu seinen weiteren Spezialgebieten gehören das Entwickeln von Webapplikationen mit Servlets, PHP, HTML und CSS.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -