Rückblick: Docker-Schulung bei Puzzle ITC

Benjamin Affolter

Mitte Oktober wurden bei Puzzle zwar nicht gerade derart viele Container deployed wie bei Google, aber doch etwas mehr als üblich. Michael Müller von Container Solutions war bei uns zu Gast und führte eine Docker-Schulung durch, die von Installation bis hin zu Microservice Security so ziemlich alles abdeckte, was zur Welt der Container gesagt werden kann.

Eine Mischung aus Theorie und Hands-On-Übungen sorgte für die nötige Abwechslung. Es folgt ein kurzer Bericht ausgewählter Themen, die an der Schulung behandelt wurden, gemischt mit persönlichen Erfahrungen.

dockerschulung1

Docker beinhaltet unterdessen eine ganze Menge an Komponenten: Die Docker Engine, Docker Clients, Docker Machine oder auch die Docker Plugins, um nur einige zu nennen. Zwei Komponenten, von denen in letzter Zeit vermehrt gesprochen wird, sind Docker Compose und Docker Swarm. Während es Docker Compose Entwicklern ermöglicht, ihre Multi-Container Applikationen inklusive Konfiguration und mehr in einem Manifest zu definieren und so mit einem einzigen Befehl hochzufahren, kann Docker Swarm für das Clustering und die Verwaltung mehrerer Docker Hosts eingesetzt werden.

Beide Komponenten haben allerdings ihre Tücken: Swarm steckt noch in den Kinderschuhen und bietet im Vergleich zum Platzhirsch  Kubernetes noch sehr wenig Funktionalität. Docker Compose ist zwar nett, beim Gang in die Produktion entsteht aber aufgrund der unterschiedlichen Definition der Architektur ein Bruch, gerade wenn Kubernetes oder OpenShift (das auf Kubernetes aufbaut) eingesetzt werden. Abhilfe schaffen bspw. kompose oder der Einsatz einer Entwicklungsumgebung, die stark an diejenige der Produktion angelehnt ist. Die Einsatzmöglichkeiten sind unterdessen vielfältig: Alleine für OpenShift bieten sich „oc cluster up“, Minishift, eine fixfertige VM oder das Container Development Kit von Red Hat an. Für die Entwicklung mit Kubernetes ist ausserdem der Einsatz von minikube interessant.

Eine Frage, die wir immer wieder hören: Wie sieht es aus mit der Performance von Docker? Auch hierzu lieferte Michael Müller interessante Informationen verschiedener Papers. Ein sehr ausführlicher, wissenschaftlicher Bericht von IBM vergleicht die Performance u.a. von Netzwerklatenz und I/O-Durchsatz mit KVM, Docker NAT und nativer Installation. Etwas leichter verdaulich sind die beiden Blogpost (Post vom 11.2.2016 und vom 5.2.2016) von Percona, die zu einem vergleichbaren Resultat gelangen, und auch VMware hat auf den IBM-Bericht reagiert. Als Fazit kann man sagen, dass CPU- und IO-Overhead praktisch gegen null gehen, aber mit schlechterer Netzwerklatenz gerechnet werden muss.

Docker befindet sich seit dessen Start in stetigem, rapidem Wandel, Updates werden in rekordverdächtiger Geschwindigkeit veröffentlicht. Dies führt dazu, dass das Tooling rund um Docker meist etwas hinterherhinkt. Nichts desto trotz ist bereits beachtlich, was Tools teilweise bereits an Funktionalität mitbringen. So beispielsweise Weave Scope, ein Tool zur Visualisierung und Überwachung von Containern. Oder Prometheus, ebenfalls ein Monitoring- aber u.a. auch Time Series-Tool, welches vergangenen April in die Cloud Native Computing Foundation (CNCF) aufgenommen wurde.

dockerschulung2

Eine andere Kategorie von Tools sind Image Scanner, welche zur Analyse von Images auf bekannte Schwachstellen eingesetzt werden können. Docker Security Scanning kommt bereits zur Analyse der offiziellen Images auf Docker Hub zum Einsatz, ist ansonsten aber Docker Cloud-Benutzern vorenthalten. Clair ist der Image Scanner von CoreOS, u.a. auch für rkt oder etcd bekannt. Und im Mai dieses Jahres gab Red Hat die Einführung von Atomic Scan bekannt. Es kann also damit gerechnet werden, dass deren Cloud Management-Software CloudForms bald anstatt OpenSCAP auf Atomic Scan setzen wird.

Wie dieser kurze Ausschnitt an Informationen aus der Schulung zeigt: Es läuft unglaublich viel in der Welt der Container. Man darf gespannt darauf sein, was uns in Zukunft noch erwartet!

Seit April 2015 ist Puzzle ITC offizieller Partner von Docker.

large_authconsultingbadge-03

Kommentare sind geschlossen.