Mit der steigenden Popularität von Docker beziehungsweise RunC-basierten Containern erhöht sich auch die Gefahr, dass Container zum Ziel eines Angriffs werden. In diesem Fall ist der Docker-Nutzer der Gelackmeierte, denn sobald der Angreifer aus dem Container "entweicht", kann er auf dem Server mit root-Rechten Schindluder treiben. Klassische virtuelle Maschinen sind insofern ein unsympathischer Ersatz, als dass sie sich durch extremen Ressourcenhunger und sehr langsame Startzeiten auszeichnen und nicht immer optimal administrieren lassen.
Kata-Container sind per se keine neue Technologie – die Vorgängerprojekte sind teilweise seit Jahren in aktiver Entwicklung. Einer der Gründe, warum Kata aktuell interessant ist, basiert auf einer kleinen Besonderheit der Docker-Umgebung. Druck aus der Community zwang die Docker-Entwickler dazu, ihre Virtualisierungsengine über ein offenes Interface anzubinden. Die als "Open Container Initiative" (OCI) bezeichnete Schnittstelle erwies sich für Kata als Glückfall, da sich das diesbezügliche Interface zur Interaktion mit Kata-Containern einspannen lässt. Für Administratoren bedeutet dies, dass sie die Verwaltung der Container sowohl per Docker als auch per Kubernetes vornehmen können. So lässt sich grob gesagt feststellen, dass eine Kata-Container-Applikation nur durch ihren etwas höheren Ressourcenverbrauch und den am Host laufenden qemu-Thread von einer gewöhnlichen Docker-Applikation zu unterscheiden
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.