Container-as-a-Service – CaaS-Anbieter im Vergleich

Was sind Containerdienste?

Als Containerdienst bezeichnet man den Service eines Cloud-Computing-Anbieters, der es Anwendern ermöglicht, Software in sogenannten Anwendungs-Containern zu entwickeln, zu testen, auszuführen oder über IT-Infrastrukturen hinweg zu verteilen.

Bei Anwendungs-Containern handelt es sich um ein Konzept aus dem Linux-Bereich. Die Technologie ermöglicht eine Virtualisierung auf Betriebssystemebene. Dabei werden einzelne Anwendungen inklusive aller Abhängigkeiten wie Bibliotheken und Konfigurationsdateien als gekapselte Instanzen ausgeführt. Dies ermöglicht den parallelen Betrieb mehrerer Anwendungen mit unterschiedlichen Anforderungen auf ein und demselben Betriebssystem sowie ein Deployment über unterschiedlichste Systeme hinweg.

CaaS beinhaltet in der Regel eine komplette Container-Umgebung inklusive Orchestrierungs-Tools, einem Image-Katalog (die sogenannte Registry), eine Cluster-Management-Software sowie ein Set von Entwickler-Tools und APIs (Application Programming Interfaces, deutsch: Programmierschnittstellen). Die Abrechnung erfolgt nutzungsbezogen im Mietmodell.

Bei der Wahl eines CaaS-Dienstes für den Unternehmenseinsatz sollten sich Anwender von folgenden Fragen leiten lassen:

• Welche Orchestrierungswerkzeuge stehen zur Verfügung?

• Welche Datei-Formate für Container-Anwendungen werden unterstützt?

• Ist ein Betrieb von Multi-Container-Anwendungen möglich?

• Wie werden die Cluster für den Container-Betrieb verwaltet?

• Welche Netzwerk- und Speicherfunktionen werden unterstützt?

• Bietet der Anbieter eine private Registry für Container-Images?

• Wie gut ist die Container-Laufzeitumgebung mit anderen Cloud-Diensten des Anbieters integriert?

• Welche Abrechnungsmodelle stehen zur Verfügung?

CLaaS richtet sich an Entwickler und IT-Betriebe und ermöglicht die Bereitstellung, Verwaltung und Skalierung von containerbasierten Anwendungen in Kubernetes-Clustern. Das Funktionsspektrum umfasst:

• Managed Cloud-Nodes mit dedizierten Server-Ressourcen,
• die individuelle Verwaltung von Clustern,
• den vollen Zugang zu Anwendungs-Containern,
• eine benutzerdefinierte Orchestrierung sowie
• fachliche Unterstützung bei der Nutzung und Erstellung von Container Clustern im Cloud Panel durch den IONOS First Level Support
• bei Fragen zu Kubernetes oder den installierten Lösungen hilft Ihnen die IONOS Cloud Community weiter.

Die Verwaltung von Cluster Nodes erfolgt über das IONOS Cloud Panel. Bei der Orchestrierung von Container-Anwendungen setzt CLaaS auf den Orchestrator Kubernetes. Nutzer verwalten Kubernetes über das Command-Line-Tool kubectl. Alternativ kann das Kubernetes-Dashboard als UIBenutzeroberfläche  installiert werden. Der IONOS Support erstreckt sich auf die Bereitstellung und Verwaltung des Container-Clusters. Ein direkter Support für kubectl oder das Kubernetes- Dashboard wird nicht angeboten.

Über das IONOS Cloud Panel stehen Nutzern diverse Drittanbieter-Anwendungen als One-Click-Solutions zur Verfügung. Das Portfolio umfasst folgende Software-Lösungen.

Als Registry für Docker-Images lässt sich der Online-Dienst DockerHub integrieren.

Um einen dedizierten Container-Cluster einzurichten, wählen Nutzer mindestens drei VMs der IONOS IaaS-Plattform aus und verwenden diese auf Wunsch als Master- oder Worker-Nodes.

Der Master-Nodekonten ist für die Steuerung, Lastenverteilung und Koordination des Container-Clusters verantwortlich. Container-Anwendungen werden in sogenannten Pods auf den Worker-Nodes ausgeführt. Bei Bedarf lassen sich Container auch direkt auf dem Master-Node starten.

Cluster-Nodes für ein Container-Hosting stehen in 6 Preis-Kategorien mit unterschiedlichen Leistungsmerkmalen zur Verfügung: M, L, XL, XXL, 3XL und 4XL. Die Spanne reicht von kleinen Cluster-Nodes mit einem Prozessorkern, 2 GB RAM und 50 GB SSD-Speicher bis hin zu Profimaschinen mit 12 Prozessorkernen, 32 GB RAM und 360 GB SSD-Speicher. Auf allen Nodes läuft ein Linux-System.

Nutzer zahlen lediglich für in Anspruch genommene Ressourcen. Der Betrieb der Container und die Nutzung von One-Click-Solutions (mit Ausnahme von Autoscaler) verursachen keine weiteren Kosten. Die gewählte Konfiguration wird minutengenau abgerechnet.

Amazon ECS bietet Nutzern diverse Schnittstellen, die es ermöglichen, in Docker-Containern isolierte Anwendungen in der Amazon Elastic Compute Cloud (EC2) zu betreiben. Technisch basiert der CaaS-Dienst auf folgenden Cloud-Ressourcen:

• Amazon-EC2-Instanzen (Instanzen der Amazon Elastic Compute Cloud): Bei Amazon EC2 handelt es sich um skalierbare Rechenkapazität des Amazon Cloud-Computing-Service, die in Form sogenannter Instanzen angemietet wird.

• Amazon S3 (Amazon Simple Storage): Amazon S3 ist eine cloudbasierte Objektspeicherplattform.

• Amazon EBS (Amazon Elastic Block Store): Amazon EBS stellt hochverfügbare Blockspeichervolumina für EC2-Instanzen zur Verfügung.

• Amazon RDS (Amazon Relational Database Service): Amazon RDS ist ein Datenbankservice zur Verwaltung der relationalen Datenbank-Engines Amazon Aurora, PostgreSQL, MySQL, MariaDB, Oracle und Microsoft SQL Server.

ECS unterstützt ausschließlich Container im Docker-Format.

Die Verwaltung von Containern erfolgt bei ECS in der Standardeinstellung über einen proprietären Orchestrator, der als Master fungiert und mit einem Agenten auf jedem Knoten des zu verwaltenden Clusters kommuniziert. Alternativ wird mit Blox ein Open-Source-Modul angeboten, das es ermöglicht, selbst entwickelte Scheduler sowie Drittanbieter-Tools wie Mesos in ECS einzubinden.

Eine Stärke des Amazon EC2 Container Service ist seine Integration mit anderen Amazon-Diensten wie:

• AWS Identity- und Access-Management (IAM): AWS Identity- und Access-Management ermöglicht es Ihnen, Nutzerrollen und Gruppen zu definieren und mittels Berechtigungen den Zugriff auf AWS-Ressourcen zu verwalten.

• Elastic Load Balancing: Bei Elastic Load Balancing handelt es sich um einen Cloud-Load-Balancer, der eingehenden Anwendungsverkehr automatisch über mehrere EC2-Instancen verteilt.

• AWS CloudTrail: Bei AWS CloudTrail handelt es sich um einen Service, der sämtliche Benutzeraktivitäten und API-Aufrufe innerhalb eines Clusters aufzeichnet. Dies ermöglicht es Anwendern, Vorgänge nachzuvollziehen und im Rahmen des Ressourcenmanagements sowie der Sicherheitsanalyse auszuwerten.

• Amazon CloudWatch: CloudWatch – Amazons Service zur Überwachung von Cloud-Ressourcen und -Anwendungen – steht AWS-Nutzern auch beim Betrieb von Anwendungs-Containern zu Verfügung.

• AWS CloudFormation: Mit CloudFormation bietet Amazon AWS-Nutzern einen Service, mit dem man Vorlagen für die Bereitstellung von AWS-Ressourcen definieren kann. Dabei lassen sich Containerdienste in Form eines wiederverwendbaren JSON-Templates beschreiben. Das umfasst den Bauplan der Anwendung inklusive der zur Ausführung benötigten Instanzen und Speicherkapazitäten sowie deren Interaktionen mit anderen AWS-Diensten.

Für die zentrale Verwaltung von Container-Images stellt Amazon AWS-Nutzern im Rahmen der EC2 Container Registry (ECR) private Docker-Repositorys zur Verfügung. Der Zugriff auf die Registry lässt sich via AWS IAM auf Ressourcenebene verwalten.

Ein Nachteil des Amazon EC2 Container Service ist die Beschränkung auf EC2-Instanzen. Amazons CaaS-Dienst bietet keine Unterstützung für IT-Infrastrukturen außerhalb von AWS – weder physisch noch virtuell. Hybrid-Cloud-Szenarios, bei denen Multi-Container-Anwendungen zum Teil On-Premises betrieben werden, sind somit ebenso wenig möglich wie eine Kombination der IT-Ressourcen verschiedener Public-Cloud-Anbieter (Multi-Cloud). Dies dürfte mit dem Geschäftsmodell zusammenhängen, in dem Amazon seinen CaaS-Dienst anbietet: Der Amazon EC2 Container Service steht via AWS prinzipiell kostenlos zur Verfügung. Nutzer zahlen lediglich für die Bereitstellung der Cloud-Infrastruktur – beispielsweise für ein Cluster von EC2-Instanzen, das als Grundlage für den Betrieb von Container-Anwendungen fungiert.

Der Amazon EC2 Container Service im Überblick:

Folgendes Video zeigt ein 5-minütiges Tutorial zum Amazon EC2 Container Service in englischer Sprache.

GKE greift auf Ressourcen der Google Compute-Engine (GCE) zurück und ermöglicht es Nutzern, containerbasierte Anwendungen auf Clustern der Google Cloud Platform (GCP) zu betreiben. Auf die Infrastruktur der Google-Cloud sind Nutzer mit der GKE jedoch nicht begrenzt: Das Cluster-Federation-System des Orchestrators Kubernetes ermöglicht es, Ressourcen verschiedener Computer-Cluster zu einer logischen Rechenföderation zusammenzufassen und bei Bedarf Hybrid- und Multi-Cloud-Szenarien zu realisieren.

Jedes Cluster, das mit GKE erstellt wird, besteht aus einem Kubernetes-Master-Endpunkt, auf dem der Kubernetes-API-Server ausgeführt wird, und einer beliebigen Anzahl von Worker-Knoten, die REST-Anfragen des API-Severs bedienen und die für den Support von Docker-Containern benötigten Dienste ausführen.

Während der Master-Knoten die Ressourcenauslastung und den Status des Clusters überwacht, werden die containisierten Anwendungen auf den Worker-Knoten betrieben. Fällt ein Worker-Knoten aus, verteilt der Master die für den Anwendungsbetrieb erforderlichen Aufgaben auf die anderen Knoten um.

Auch GKE unterstützt das weit verbreite Docker-Container-Format. Für die Bereitstellung von Docker-Images steht Anwendern eine private Container-Registry zur Verfügung. Eine JSON-basierte Syntax bietet die Möglichkeit, Container-Dienste als Templates zu definieren.

Die Integration von Kubernetes in GKE bietet Anwendern folgende Funktionen für die Orchestrierung von Container-Anwendungen:

• Automatic Binpacking: Kubernetes platziert Container auf Basis von Einschränkungen und Ressourcenanforderungen automatisch so, dass das Cluster optimal ausgelastet ist. Dies verhindert, dass die Verfügbarkeit von Container-Anwendungen beeinträchtigt wird.

• Health-Checks mit Auto-Repair-Funktion: Durch Automatische Health-Checks stellt Kubernetes sicher, dass alle Konten und Container einwandfrei funktionieren. Knoten oder Container, die nicht reagieren, werden beendet und durch neue ersetzt.

• Horizontale Skalierung: Mit Kubernetes lassen sich Anwendungen beliebig nach oben oder unten skalieren – entweder manuell über die Kommandozeile, über die grafische Benutzeroberfläche oder automatisch auf Basis der CPU-Auslastung.

• Service-Discovery und Load-Balancing: Kubernetes bietet zwei Modi für Service-Discovery: Dienste lassen sich über Umgebungsvariablen und DNS-Records aufspüren. Ein Load-Balancing zwischen verschiedenen Containern wird über IP-Adressen und DNS-Namen realisiert.

• Speicher-Orchestrierung: Kubernetes ermöglicht ein automatisches Mounten diverser Speichersysteme – egal ob es sich um lokalen Speicher, Public-Cloud-Speicher (beispielsweise via GCP oder AWS) oder Netzwerkspeicher-Systeme wie NFS, iSCSI, Gluster, Ceph oder Flocker handelt.

Ähnlich wie ECS in AWS ist GKE direkt in die Google-Cloud-Plattform integriert, sodass Nutzern der Container-Engine neben dem Funktionsspektrum des Orchestrators diverse Features der Public-Cloud zur Verfügung stehen:

• Identity- und Access-Management: Das IAM der GKE wird mithilfe von Google-Accounts realisiert und unterstützt nutzerrollenbasierte Berechtigungen.

• Stackdriver Monitoring: Googles Monitoring-Tool informiert Anwender über die Leistung, Betriebszeit und den Zustand von Cloud-Anwendungen. Dazu sammelt Stackdriver Monitoring-Metriken, Ereignisse und Metadaten und bereitet diese in Form eines übersichtlichen Dashboards auf. Als Datenquelle unterstützt das Tool die Google Cloud Platform, Amazon Web Services und diverse Anwendungen wie Cassandra, Nginx, Apache HTTP Server und Elasticsearch.

• Stackdriver Logging: Googles Logging-Tool ermöglicht Anwendern das Speichern, das Monitoring und die Analyse von Log-Daten und Ereignissen. Stackdriver Logging unterstützt die Google Cloud Platform und Amazon Web Services.

• Container Builder: Mit dem Container Builder stellt Google ein Tool zur Erstellung von Docker-Images zur Verfügung, mit dem sich diese direkt in der Cloud erzeugen lassen. Der Anwendungsquellcode muss dazu lediglich in den Google Cloud Storage geladen werden.

Bei der Preisgestaltung für den CaaS-Dienst geht Google einen anderen Weg als Amazon. Ein Container-Management von Clustern mit bis zu fünf Compute-Engine-Instanzen (Knoten) steht Anwendern kostenlos zur Verfügung. Es fallen lediglich Kosten für die Bereitstellung der Cloud-Ressourcen (CPU, Speicher etc.) an. Möchten Anwender Container auf größeren Clustern (sechs und mehr Instanzen) betreiben, erhebt Google zusätzlich eine Nutzungsgebühr für die Container-Engine: Die Abrechnung erfolgt pro Cluster pauschal auf Stundenbasis.

Die Google Container Engine im Überblick:

Kernkomponente des CaaS-Dienstes von Microsoft ist die Azure Container Engine, deren Quellcode unter Open-Source-Lizenz auf GitHub zur Verfügung steht. Die Azure Container Engine fungiert als Template-Generator, der Vorlagen für den Azure Resource Manager (ARM) erzeugt. Diese lassen sich über eine API mit einem der folgenden Orchestrierungswerkzeuge verwalten: Docker Swarm, DC/OS und Kubernetes (seit Februar 2017).

Welche Funktionen ACS-Nutzern beim Betrieb von containisierten Anwendungen in der Azure-Cloud zur Verfügung stehen, hängt in erster Linie von der Wahl des Orchestrators ab.

Der Cluster-Manager DC/OS von Mesosphere kommt im Rahmen des Azure Container Service in Kombination mit der Orchestrierungsplattform Marathon zum Einsatz. Ein solcher Aufbau bietet Nutzern folgendes Funktionsspektrum:

• Webbasierte Benutzeroberfläche: Die Verwaltung von Container-Clustern erfolgt bei Bedarf über die webbasierte Benutzeroberfläche des Orchestrators Marathon.

• Hochverfügbarkeit: Marathon wird als Aktiv-/Passiv-Cluster ausgeführt. Für jeden aktiven Knoten steht ein vollständig redundanter passiver Knoten bereit, der bei einem Ausfall des aktiven Knotens dessen Aufgaben übernimmt.

• Service-Discovery und Load-Balancing: DC/OS bietet mit Marathon-LB einen HAProxy-basierten Load-Balancer und mit Mesos-DNS ein DNS-basiertes Service-Discovery-Tool

• Health-Checks: Der Status von Anwendungen lässt sich via Marathon über HTTP oder TCP abfragen. Monitoring-Funktionen stehen über eine REST-API, die Kommandozeile oder die webbasierte Benutzeroberfläche zur Verfügung.

• Metriken: Marathon gibt über eine API detaillierte Metriken im JSON-Format aus, die sich bei Bedarf an Monitoring-Tools wie Graphite, statsD oder Datadog weiterleiten lassen.

• Benachrichtigungsdienst: Anwender, die DC/OS mit Marathon in der Azure-Cloud nutzen, haben die Möglichkeit, einen HTTP-Endpunkt für eventbezogene Benachrichtigungen zu reservieren.

• Anwendungsgruppen: Auf Wunsch lassen sich Container zu sogenannten „Pods“ zusammenfassen, die sich als in sich geschlossene Einheiten verwalten lassen.

• Regelbasiertes Deployment: Durch Einschränkungen lässt sich genau definieren, wo und wie Anwendungen im Cluster verteilt werden.

In der Docker-Swarm-Version stützt sich ACS auf das Docker-Stack, es kommen dieselben Open-Source-Technologien wie bei Dockers Universal Control Plane (einer Grundkomponente des Docker Datacenter) zum Einsatz. Implementiert in den Azure Container Service bietet Docker Swarm folgendes Funktionsspektrum zur Orchestrierung und Skalierung von Container-Anwendungen:

• Docker Compose: Dockers Lösung für Multi-Container-Anwendungen erlaubt es, mehrere Container miteinander zu verknüpfen und mit einem einzigen Befehl zentral auszuführen. Dabei werden beliebig viele Container inklusive aller Abhängigkeiten in einer Kontrolldatei auf Basis der Auszeichnungssprache YAML definiert.

• Steuerung über die Kommandozeile: Das Docker CLI (Command Line Interface) und das Multi-Container-Tool Docker Compose ermöglichen die direkte Verwaltung von Container-Clustern über die Kommandozeile.

• REST API: Die Docker Remote API bietet Zugang zu diversen Drittanbieter-Tools des Docker-Ökosystems.

• Regelbasiertes Deployment: Die Verteilung von Docker-Containern im Cluster lässt sich über Labels und Einschränkungen verwalten.

• Service-Discovery: Docker Swarm bietet Anwendern diverse Service-Discovery-Funktionen.

Seit Februar 2017 können ACS-Nutzer zudem auf den Orchestrator Kubernetes zurückgreifen, um die Verwaltung von Container-Anwendungen sowie das Deployment und die Skalierung in Azure-Clustern zu automatisieren. Auch als ACS-Implementation bietet Kubernetes alle im Abschnitt über die Google Container Engine aufgeführt Basisfunktionen.

Auch ACS ist direkt in den Cloud-Dienst Azure integriert:

• Azure Portal und Azure CLI 2.0: Anwender konfigurieren Container-Cluster über das Azure-Portal – die zentrale Benutzeroberfläche der Cloud-Plattform – oder das Command-Line-Interface Azure CLI 2.0.

• Azure Container Registry: Mit der Azure Container Registry steht auch Microsoft-Nutzern ein privates Repository für die Bereitstellung von Docker-Images zur Verfügung.

• Operations Management Suite (OMS): Monitoring- und Logging-Funktionen für Container-Dienste werden von der Microsoft Operations Management Suite (OMS) zur Verfügung gestellt.

• Azure Stack: Ein Container-Betrieb auf hybriden Cloud-Umgebungen lässt sich mithilfe der Erweiterung Azure Stack realisieren.

Darüber hinaus hat Microsoft den ACS um CI/CD-Funktionen (continuous integration und deployment) für Multi-Container-Anwendungen erweitert, die mit Visual Studio, Visual Studio Team Services oder dem Open-Source-Tool Visual Studio Code entwickelt wurden.

Identity- und Access-Management wird bei Azure über Active Directory geregelt, deren Grundfunktionen Anwendern bis zu einem Limit von 500.000 Verzeichnisobjekten kostenlos zur Verfügung stehen. Wie bei Amazon ECS fallen auch beim Azure Container Service keine Kosten für die Nutzung der Container-Tools an. Gebühren werden lediglich für die Nutzung der darunterliegenden Infrastruktur erhoben.

Der Microsoft Azure Container Service im Überblick:

Um den Vergleich der vorgestellten CaaS-Anbieter zu erleichtern, haben wir sie in der folgenden Tabelle gegenübergestellt und hinsichtlich der üblichen Auswahlkriterien von Nutzern verglichen.

Als Alternative zur CaaS bietet sich eine Bereitstellung der gewünschten Container-Tools On-Premises, sprich in den eigenen Räumlichkeiten an. Beide Lösungen sind mit Vor- und Nachteilen verbunden.

Vorbehalte gegen Cloud-Computing-Dienste beruhen in der Regel auf Sicherheitsbedenken. Und in der Tat haben Unternehmen mit einer Container-Umgebung im eigenen Rechenzentrum die größtmögliche Kontrolle. Diese umfasst eine maximale Flexibilität bei der Auswahl von Hard- und Software-Komponenten (zugrundeliegende Server, Betriebssysteme, Laufzeitumgebung und Management-Tools) sowie die Gewissheit, dass alle Daten im Rahmen des Container-Betriebs ausschließlich im eigenen Unternehmen verarbeitet und gespeichert werden.

Dieser Zugewinn an Entscheidungsfreiheit jedoch geht mit einem wesentlich größeren Arbeits- und Kostenaufwand bei der Bereitstellung und Wartung der Container-Umgebung einher. Aufwendige Installationen im eigenen Rechenzentrum erfordern häufig hohe Investitionen. Ob sich diese rentieren, ist zunächst ungewiss. Eine cloudbasierte Container-Umgebung ermöglicht es hingegen, neue Applikationen und Softwarefunktionen schnell und kostengünstig bereitzustellen. Im Rahmen von CaaS zahlen Nutzer nur für die Leistungen und Ressourcen, die sie tatsächlich nutzen. Vorauszahlungen sind nicht nötig. Dies kommt insbesondere kleineren Unternehmen, Start-ups, Gründern und Selbstständigen entgegen, die ihre Projekte mit überschaubaren Budgets verwirklichen müssen.

Wie andere Cloud-Dienste punktet CaaS mit der Auslagerung der IT-Infrastruktur an spezialisierte Dienstleister, die dafür sorgen, dass die technische Grundlage stets auf dem neuesten Stand ist und einwandfrei funktioniert. Zusammen mit dem nutzungsbezogenen Abrechnungsmodell richtet sich Container-as-a-Service damit an Unternehmen mit hohem Entwicklungs- und Innovationstempo. Unternehmen, die sich für eine On-Premises-Lösung entscheiden, verzichten auf die Flexibilität und Skalierbarkeit, die Cloud-Anbieter ihren Kunden einräumen.

Darüber hinaus ist es mitunter ein Trugschluss, dass Daten im eigenen Rechenzentrum sicherer aufgehoben sind als in der Cloud. Denn kleinen und mittleren Unternehmen ist es in der Regel nicht möglich, eine IT-Infrastruktur bereitzustellen, die in Bezug auf Verfügbarkeit, Datensicherheit und Compliance mit den Rechenzentren etablierter Public-Cloud-Anbieter mithalten kann.

Vor- und Nachteile des CaaS-Modells:

Vor- und Nachteile selbst gehosteter Container-Plattformen: