(Erneute) Einführung in das Red Hat Universal Base Image

Auswahl der richtigen Basis

Es gibt eine Vielzahl von Container Basis-Images. Warum sollten Sie sich für Red Hat Universal Base Image (UBI) entscheiden? Zunächst einmal ist der gesamte Code im Red Hat Universal Base Image von Red Hat Enterprise Linux (RHEL) abgeleitet. Bevor wir erklären, warum UBI die richtige Wahl ist, müssen wir über die Aufgabe von RHEL sprechen:

„Red Hat Enterprise Linux ist Ihr Quellcode für sichere und zuverlässige Linux-Innovationen für erfolgreiche Workloads.“

Weiter zum E-Book „Red Hat Universal Base Image“

Da es sich bei Containern um Linux handelt und UBI von RHEL abgeleitet ist, gilt für UBI der gleiche Grundsatz:

1. Innovation: Unternehmen versuchen kontinuierlich, schnell und ohne Störungen zu innovieren und durch optimierte Operationen und zentralisiertes Entwickeln und Verwalten für Konsistenz vom Rechenzentrum bis zum Edge zu sorgen.
2. Optimierung: Eine komplexe Infrastruktur kann leicht zu höheren Kosten und weniger Effizienz führen.
3. Sicherheit: Die kontinuierliche Risikominderung in der Hybrid Cloud, darunter das Erstellen, Skalieren und Verwalten von Workloads, stellt für die meisten Unternehmen eine Herausforderung dar.
4. Vertrauen: Unternehmen müssen permanent die komplexen Lifecycles ihrer Anwendungen sowie die Kompatibilität ihrer Workloads, Sicherheitspatches und Compliance-Berichte verwalten.

Container bieten eine schlankere Version des Userlands des Linux-Betriebssystems (sämtliche Programme, Libraries und Abhängigkeiten, die zu einem Betriebssystem gehören). Werden Anwendungen in Container verpackt, werden diese Abhängigkeiten auf das Wesentliche reduziert. Dennoch handelt es sich um ein Betriebssystem, und die Qualität eines Container Basis-Images ist genauso wichtig wie die des Host-Betriebssystems. Die Auswahl des richtigen Container Basis-Images für Ihr Unternehmen ist eine wichtige Entscheidung, die Auswirkungen auf die Sicherheit und den Lifecycle hat, ebenso wie die Entwicklung einer Standardbetriebsumgebung (SOE).

Red Hat hat schon früh erkannt, wie wichtig Basis-Images für Unternehmen sind. Deshalb haben wir mit der Veröffentlichung von RHEL 7 begonnen, Red Hat Enterprise Linux (RHEL) Images anzubieten (kurz darauf haben wir auch RHEL 6 Images veröffentlicht). Diese Images boten RHEL-Kunden sichere, leistungsfähigere und aktuellere Container auf Unternehmensniveau. Die Ausführung von RHEL Container Images auf RHEL Container Hosts bietet Kompatibilität und Portierbarkeit zwischen Umgebungen – und ist vielen vertraut. Es gab allerdings ein Problem. Das Enterprise Agreement mit einer RHEL Subskription hinderte unsere Kunden daran, die von ihnen erstellten Container Images nicht einfach außerhalb ihres Unternehmens zu teilen (einer der wichtigsten Aspekte von Containern).

Mit dem Release des Red Hat Universal Base Image (UBI) haben sich 2 wichtige Dinge geändert:

1. Kunden können Container Images, die sie auf UBI erstellen, mit beliebigen Personen innerhalb oder außerhalb ihrer Organisation teilen
2. Nicht-Kunden können alle in Red Hat Universal Base Image veröffentlichten Inhalte nutzen

Jeder kann jetzt von der verbesserten Zuverlässigkeit, Sicherheit und Performance offizieller Red Hat Container Images profitieren. Dadurch können Sie containerisierte Anwendungen auf UBI erstellen, auf einen beliebigen Container Registry Server Ihrer Wahl übertragen und mit der ganzen Welt teilen. Mit UBI können Sie Ihre containerisierte Anwendung erstellen, teilen und zusammenarbeiten, wo und wie Sie möchten.

Wenn Sie Anwendungen auf UBI erstellen, können Sie sie nach Belieben teilen und in vielen verschiedenen Umgebungen ausführen. Aber es gibt noch weitere Vorteile, wenn Sie sie auf RHEL oder Red Hat OpenShift ausführen. Das funktioniert so:

1. Standortunabhängiges Ausführen: Sie erhalten die gleichen Qualitätsfunktionen, aber Sie erhalten nur Community und Self-Support.
2. Ausführen auf RHEL oder OpenShift: Sie erhalten dieselben Qualitätsfunktionen, aber diese werden vollständig von Red Hat unterstützt. Sie können einfach ein Support-Ticket einreichen, wenn Sie Hilfe benötigen.

Gründe für die Nutzung von UBI

Hier finden Sie eine Liste von Wünschen und Anforderungen, anhand derer Sie herausfinden können, ob UBI für Ihr Unternehmen geeignet ist:

• Meine Entwicklerinnen und Entwickler wollen ein qualitativ hochwertiges Container Image, das sie öffentlich verteilen können
• Mein Operations Team benötigt ein unterstützungsfähiges Basis-Image mit einem Enterprise Lifecycle
• Mein Produktteam möchte einen Red Hat Certified Container bereitstellen, der gemeinsam mit Red Hat unterstützt wird
• Meine Kunden wünschen sich Unternehmenssupport für ihre Red Hat Umgebung
• Meine Community möchte containerisierte Anwendungen freier teilen, aber trotzdem ein wirklich hochwertiges Container Image erhalten

Wenn eine oder sämtliche dieser Aussagen auf Ihr Unternehmen zutreffen, dann lesen Sie weiter.

Mehr als nur ein Basis-Image

UBI ist kein vollwertiges Betriebssystem, sondern bietet 3 Funktionen:

1. Ein Set von 4 Basis-Images (ubi-micro, ubi-minimal, ubi standard, ubi-init)
2. Ein Set mit Sprach-Runtime-Images (Node.js, Ruby, Python, PHP, Perl usw.)
3. Ein Set zugehöriger Pakete in einem YUM-Repository, die allgemeine Anwendungsabhängigkeiten erfüllen

Der gesamte UBI-Inhalt ist ein Subset von RHEL. Sämtliche Pakete in UBI stammen aus RHEL-Kanälen und werden wie RHEL unterstützt, wenn sie auf RHEL oder OpenShift ausgeführt werden:

Es sind umfangreiche Engineering-Aufgaben, Sicherheitsanalysen und Ressourcen erforderlich, um qualitativ hochwertigen Support für Container Images zu bieten. Dabei müssen nicht nur die Basis-Images getestet werden, sondern auch ihr Verhalten auf einem bestimmten Container-Host.

Für leichtere Upgrades hat sich Red Hat stark auf die Entwicklung und den Support konzentriert, sodass UBI 8 auf RHEL 9-Hosts und UBI 9 auf RHEL 8-Hosts sowie in anderen Kombinationen ausgeführt werden kann. Dies bietet Nutzenden bei Plattform-Upgrades der Anwendung im Container-Image oder in den zugrunde liegenden Container-Hosts mehr Flexibilität und Zuverlässigkeit.  Eine vollständige Liste der unterstützten Komponenten finden Sie in der Container Compatibility Matrix im Red Hat Portal.

4 Basis-Images im Vergleich

Micro: Konzipiert für Anwendungen, die ihre eigenen Abhängigkeiten enthalten (Python, Node.js, .NET usw.)

• Das kleinste Image, auf dem Sie aufbauen können
• Kein Paket-Manager, dadurch ist es kleiner
• Buildah wird anstelle von Dockerfile empfohlen

Minimal: Konzipiert für Anwendungen, die ihre eigenen Abhängigkeiten enthalten (Python, Node.js, .NET usw.)

• Minimierte vorinstallierte Inhalte
• Keine SUID-Binärdateien
• Minimaler Paket-Manager (installieren, aktualisieren und entfernen)

Standard: Für Anwendungen, die auf RHEL ausgeführt werden

• Einheitlicher OpenSSL-Krypto-Stack
• Vollständiger YUM-Stack
• Enthält nützliche grundlegende Betriebssystem-Tools (tar, gzip, vi usw.)

Multi-Service: Vereinfacht die Ausführung mehrerer Services in einem einzigen Container

• Konfiguriert so, dass systemd beim Start ausgeführt wird
• Ermöglicht das Aktivieren der Services zum Zeitpunkt des Builds

Vorab erstellte Sprach-Runtime Container Images

Zusätzlich zu den Basis-Images, mit denen Sie Sprachen installieren können, stellt UBI Entwicklungsteams vorgefertigte Images zur Nutzung einige Sprach-Runtimes bereit. In vielen Fällen können Entwicklungsteams einfach ein Image nutzen und ihre Arbeit an der Anwendung beginnen, die sie gerade entwickeln.

Eine vollständige Liste mit vordefinierten Runtime Container Images finden Sie im Red Hat Ecosystem Catalog:

• UBI 9-basierte Images
• UBI 8-basierte Images
• UBI 7-basierte Images

Zugehörige Pakete

Die Nutzung vorgefertigter Images ist großartig. Red Hat veröffentlicht neue Images, wenn eine neue Version von RHEL veröffentlicht wird und wenn kritische CVEs (Common Vulnerabilities and Exposures) gepatcht werden, was der RHEL-Update-Richtlinie entspricht. Die vollständige Image-Richtlinie finden Sie hier: Red Hat Container Image Updates. Unsere Images sind so konzipiert, dass Sie einfach eines davon abrufen und mit der Erstellung Ihrer Anwendung beginnen können.

Manchmal benötigen Sie jedoch beim Erstellen einer Anwendung dieses eine zusätzliche Paket. Oder manchmal müssen Sie ein Paket aktualisieren, damit Ihre Anwendung funktioniert. Aus diesem Grund verfügt UBI auch über eine Reihe von RPMs, die über YUM verfügbar sind und in einem hochverfügbaren Netzwerk zur Inhaltsbereitstellung verteilt werden. Wenn Sie ein YUM-Update in Ihrer CI/CD-Pipeline in dem kritischen Moment ausführen, in dem Sie eine Produktionsfreigabe vornehmen müssen, greifen Sie auf dieselbe Infrastruktur zurück, die auch unsere Kunden nutzen.

RHEL ist die Basis

Als containerisierte Anwendungen im Jahr 2014 eingeführt wurden, sorgten sie für eine Innovationswelle in der Unternehmens-IT. Sie sind immer noch wegweisend, da sie die Entwicklung und Wartung traditioneller monolithischer Anwendungen verbessern. Container sind aber kein Allheilmittel. In Unternehmen benötigen Betriebssysteme mehr Stabilität, größere Zuverlässigkeit sowie Sicherheits-Tools, Anleitung und zeitnahe Fixes. RHEL wurde entwickelt, um diese Anforderungen zu erfüllen. Hier sind einige der Red Hat Teams, die an Basis-Images arbeiten:

• Ein Performance Engineering Team, das für die Aktualisierung und Wartung grundlegender Libraries wie glibc und OpenSSL sowie für Sprach-Runtimes wie Python und Ruby zuständig ist, um eine robuste Performance zu gewährleisten und zuverlässig mit den von Ihnen für die Containerisierung ausgewählten Workloads zu arbeiten.
• Ein Produktsicherheitsteam, das dafür sorgt, dass dieselben Libraries und Sprachen zeitnah Sicherheitskorrekturen erhalten, die an der entsprechenden Container Health Index-Bewertung gemessen werden.
• Produktmanagement- und Entwicklungsteams, die sich um neue Funktionen und einen langen Lifecycle sorgen, der Ihnen das Vertrauen in eine Investition gibt, auf der Sie aufbauen können.

RHEL basiert auf Subskriptionen, d. h. Ihr Unternehmen muss nicht für Lizenzen pro Release oder für Support zusätzlich zu diesen Lizenzgebühren zahlen. Wenn Sie eine Subskription für RHEL erwerben, sind Sie berechtigt, die aktuellen Versionen von RHEL auszuführen. Dazu gehören der Zugang zum Red Hat Support und die Vorteile eines sicheren, gehärteten und vertrauenswürdigen Linux-Betriebssystems. RHEL ist zwar ein hervorragender Host und ein hervorragendes Image für Container, aber viele Entwicklerinnen und Entwickler müssen eine Vielzahl von Use Cases unterstützen, von denen einige möglicherweise außerhalb der unterstützten Szenarien liegen. Hier kommt das UBI ins Spiel.

Heute und in der Zukunft

Vielleicht benötigen Sie derzeit nur ein Basis-Image, mit dem Sie eine einfache containerisierte Anwendung entwickeln können. Oder vielleicht wechseln Sie von Standalone-Containern, die auf einer Container-Engine ausgeführt werden, zu einer cloudnativen Welt, in der Sie Operatoren entwickeln und zertifizieren, die auf OpenShift ausgeführt werden können. Unabhängig vom Use Case sind wir der Meinung, dass UBI eine gute Basis bieten kann.

Container beinhalten einen schlanken Betriebssystem-Userspace in einem neuen Paketformat und Red Hat ist das führende Linux-Betriebssystem für Unternehmen. UBI soll einen neuen Branchenstandard für die Container-Entwicklung setzen, indem unabhängige Softwareanbieter (ISV), Kunden und Open Source Communities auf unternehmensgerechte Container umgestellt werden.

Insbesondere können ISVs auf eine einzige, zuverlässige Basis für ihre containerisierten Anwendungen standardisieren, einschließlich Kubernetes Operators. ISVs, die UBI verwenden, können die Red Hat Container Zertifizierung für die kontinuierliche Verifizierung von Software nutzen, die auf einer Red Hat Plattform wie OpenShift bereitgestellt wird.

Einstieg

Der Einstieg ist einfach. Sie können diese Images mit einer beliebigen Container Engine abrufen. Red Hat empfiehlt jedoch Podman Desktop oder Podman, wenn Sie die Befehlszeile bevorzugen. Sie können einfach ein Image aus einem dieser Repositorys abrufen und starten.

Für UBI 9:

podman pull registry.access.redhat.com/ubi9/ubi
podman pull registry.access.redhat.com/ubi9/ubi-minimal
podman pull registry.access.redhat.com/ubi9/ubi-init

Für UBI 8:

podman pull registry.access.redhat.com/ubi8/ubi
podman pull registry.access.redhat.com/ubi8/ubi-minimal
podman pull registry.access.redhat.com/ubi8/ubi-init

Für UBI 7:

podman pull registry.access.redhat.com/ubi7/ubi
podman pull registry.access.redhat.com/ubi7/ubi-minimal
podman pull registry.access.redhat.com/ubi7/ubi-init

Zahlreiche Informationen finden Sie im  E-Book zu Red Hat Universal Base Image oder in den FAQ zu Red Hat Universal Base Image.