kalafoto - Fotolia

Wireshark für Container: Host-basiertes Container-Monitoring mit Sysdig

Wireshark für Container: Noch mangelt es an speziellen Monitoring-Tools für Container-Umgebungen. Sysdig will diese Lücke schließen.

Linux-Container gehören schon eine ganze Weile zur Werkzeugkiste erfahrener Linux-Admins, durch das einfache Container-Management mit Docker sind sie aber nun in den vergangenen zwei Jahren zum absoluten Hype-Thema geworden und werden in vielen Bereichen bereits als Nachfolger der herkömmlichen Server-Virtualisierung betrachtet.

Seitdem sich Linux-Container dank Docker also rasant im Rechenzentrum ausbreiten, stehen mehr und mehr IT-Abteilungen vor dem Problem, die neu entstehende Containerinfrastruktur mit bestehenden Tools nicht mehr effizient überwachen zu können. Eines der ersten großen Probleme im Zusammenhang mit der Container-Virtualisierung war die Orchestrierung großer Containerumgebungen.

Wo hunderte oder tausende von Containern existieren, müssen die entsprechenden Applikationen und Mikro-Services auch effizient verwaltet werden. Tools wie Kubernetes, Mesos oder auch die Docker-eigenen Tools Swarm und Compose sind hierbei bereits auf einem guten Weg. Demgegenüber steht das Monitoring von Containerumgebungen noch ganz am Anfang.

Container und die Lücke zwischen Hypervisor und Applikation

In herkömmlichen virtuellen Umgebungen auf Basis virtueller Maschinen bestand das Monitoring im Wesentlichen aus zwei Komponenten: Das Infrastruktur-Monitoring beinhaltete das Host-Betriebssystem samt Hypervisor und virtuellen Maschinen, während das Application Performance Monitoring (APM) die darauf ausgeführten Anwendungen im Blick hatte.

Die Container-Virtualisierung reißt nun aber eine Lücke zwischen Gastbetriebssystem und Applikationen auf, die bestehende Monitoring-Tools nur unzureichend füllen können. Oberhalb des Hypervisors kommt nun nämlich ein Container-Host mit potenziell unzähligen Containern ins Spiel, auf denen zur besseren Skalierbarkeit einzelne Anwendungsteile ausgeführt werden. Während sich so per APM-Tools zwar noch immer die laufenden Applikationen überwachen lassen, stößt das klassische Infrastruktur-Monitoring mit Containern aber an seine Grenzen.

Container sind enorm schnelllebig und meist in wenigen Sekunden hochgefahren und einsatzbereit. Gleichzeitig werden sie oft auch genauso schnell wieder heruntergefahren oder auf andere Hosts verschoben. Klassische Monitoring-Tools sind aber auf vergleichsweise behäbige virtuelle Maschinen und nicht auf die Überwachung hunderter Container ausgelegt, deren Anzahl und Hosts sich schnell und dauernd ändern. Gleichzeitig setzen viele Monitoring-Tools für virtuelle Umgebungen oft Agents ein, die zusätzlich zu den gehosteten Anwendungen auf den virtuellen Maschinen installiert werden müssen. Linux-Container sind allerdings enorm leichtgewichtige, verpackte Laufzeitumgebungen, die durch zusätzlich zu installierende Agents nur behindert würden.

Sysdig-Tools zum Monitoring von Containerumgebungen

Das 2013 gegründete Start-up Sysdig setzt genau hier an und bietet mit Sysdig Cloud eine native Monitoring-Lösung für Containerumgebungen. Nach zwei Finanzierungsrunden und Investments von Accel Partners und Bain Capital Ventures nutzen mittlerweile an die 150 Kunden das Sysdig-Tool. CEO und Gründer von Sysdig ist der italienischstämmige Loris Degioanni, der schon maßgeblich an der Entstehung des Netzwerk-Sniffers Wireshark mitgewirkt hat.

Sysdig verzichtet für das Monitoring der Containerumgebung auf Agents und stellt sein Tool selbst in Form eines Docker-Containers zur Verfügung, der wiederum auf jedem Host bereitgestellt werden muss. So gesehen könnte der Sysdig-Container als Agent auf Host-Ebene bezeichnet werden, der springende Punkt ist für Loris Degioanni aber, dass auf Containerebene keine Agent-Software notwendig ist.

Der Sysdig-Container benötigt Zugriff auf die Kernel Module Instrumentation der Host-Infrastruktur und muss daher als sogenannter privilegierter Container bereitgestellt werden, was entsprechende Sicherheitsfragen bei der Implementierung nach sich zieht. Privilegierte Container verfügen über erhöhte Zugriffsrechte auf den geteilten Kernel der Host-Infrastruktur, nur so ist es möglich, aus der Container-Bereitstellung die für das Monitoring benötigten Daten zu sammeln.

Container-Admins erhalten so zum Beispiel einen Einblick in die CPU- Memory- und Speicherauslastung der Umgebung oder auch in die Verbindungsgeschwindigkeit des Netzwerkes. Sehr hilfreich bei der Fehlersuche, so Loris Degioanni, sei dabei vor allem eine GUI-basierte Übersicht über die logischen Beziehungen zwischen den Containern, über die Netzwerkverbindungen zwischen ihnen untereinander und zwischen ihren Hosts sowie der Blick in die Container hinein auf die darauf ausgeführten Applikationen und Mikro-Services.

Container-Monitoring so einfach „wie Google-Maps“

All das, so Loris Degioanni weiter, stelle er sich gerne „als Google Maps der Container-Umgebung“ vor. Über die grafische Benutzeroberfläche lässt sich ganz einfach in einen Host, dort wieder in einen Container und schließlich in einzelne Services hineinzoomen, um sich die inneren Zusammenhänge der Containerinfrastruktur anzeigen zu lassen. Sobald das Sysdig-Tool ein Problem erkennt, färbt sich die entsprechende Stelle rot und über wenige Klicks lässt sich herausfinden, wo die Fehlersuche beginnen sollte.

Nach der Bereitstellung des Sysdig-Containers wird die Host-Infrastruktur samt Applikationen selbstständig erkannt. Derzeit unterstützt Sysdigg neben Docker auch CoreOS Rocket und LXC-Container, die Orchestrierungs-Tools Mesos und Kubernetes sowie die IaaS-Anbieter (Infrastructure as a Service) AWS, Google Cloud Platform und Microsoft Azure. Damit können also nicht nur lokale Containerbereitstellungen analysiert und überwacht werden, sondern auch Hybrid- oder Public-Cloud-Deployments.

Sysdig ist als kostenlose Open-Source-Software mit Community-Support erhältlich, kann aber als Sysdig Cloud auch als Cloud-basiertes Angebot mit kommerziellem Support für 20 US-Dollar pro Host genutzt werden. Hierbei liegen die Analysedaten im Rechenzentrum von Sysdig, was für manche Branche zu Compliance-Problemen führen kann. Seit kurzem stellt Sysdig daher auch eine On-Premise-Variante zur Verfügung, bei der die Datenströme im eigenen Data Center des jeweiligen Kunden gesammelt und analysiert werden.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2016 aktualisiert

Erfahren Sie mehr über Server- und Desktop-Virtualisierung

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close