Docker & Kubernetes als Update-Booster

Welche Möglichkeiten gibt es grundsätzlich, Software aktuell zu halten?

Zunächst stellt sich die Frage, wann und wie Updates installiert werden. Es gibt den manuellen Weg, bei dem ein Administrator regelmäßig nach neuen Versionen sucht oder darüber benachrichtigt wird und anschließend die notwendigen Updates installiert. Daneben kennen wir alle die automatische Aktualisierung, wie sie bei Heim- oder zum Teil bei Büro-PCs üblich ist.

Für Automatisierungssysteme gilt generell: Updates müssen planbar und sicher durchgeführt werden. Kein verantwortungsbewusster Betreiber wird einer SPS erlauben, eigenständig Updates aus dem Internet herunterzuladen und zu einem beliebigen Zeitpunkt zu installieren. Ein solcher Eingriff kann im schlimmsten Fall die gesamte Produktion stilllegen.

Was enthält ein Update?

Bei einfacheren Programmen oder Embedded-Systemen besteht ein Update häufig aus dem kompletten Softwarepaket. Hersteller größerer Softwarelösungen rollen meist Update-Setups aus, die nur geänderte Dateien oder Bibliotheken enthalten. Das erhöht die Komplexität, insbesondere bei Bibliotheken, die von mehreren Programmen gemeinsam genutzt werden.

Eine interessante Alternative bieten containerisierte Lösungen. Der Container enthält sowohl das Programm als auch alle erforderlichen Abhängigkeiten. Beim Update wird der alte Container einfach durch eine neue Version ersetzt. Das bedeutet zwar mehr Datenvolumen – bietet dafür aber höchste Sicherheit und Konsistenz.

Welche Vorteile bieten Container-Technologien wie Docker oder Kubernetes konkret in einer Update-Strategie?

Container-Technologien verändern grundlegend die Art und Weise, wie Software installiert, aktualisiert und betrieben wird. Sie bieten dabei sowohl technische als auch organisatorische Vorteile.

Der Hersteller liefert das Programm vollständig lauffähig und mit allen erforderlichen Abhängigkeiten als unveränderbares Image, aus dem durch einen klar definierten Befehl der eigentliche Container erstellt wird. Dieser Befehl enthält alle für den Betrieb relevanten Parameter, beispielsweise Netzwerk- oder IP-Konfigurationen. Änderungen an diesen Parametern sind nur möglich, indem der Container gelöscht und mit den neuen Einstellungen erneut erstellt wird.

Dieses Vorgehen ist präzise und reproduzierbar, allerdings auch restriktiv. Der große Vorteil besteht darin, dass beim reinen Tausch des Containers keine Konfigurationen verloren gehen oder verändert werden. Container laufen zudem isoliert voneinander und können bei Bedarf sogar in unterschiedlichen Versionen parallel betrieben werden.

Da ein Container alle benötigten Komponenten für den Betrieb mitbringt, vermeidet man jegliche Konflikte mit anderen Programmen, etwa durch das gemeinsame Nutzen von Bibliotheken. Das Entfernen eines Containers erfolgt "rückstandsfrei", es bleiben also keinerlei verwaiste Bestandteile im Betriebssystem zurück. Im Fall des VisiWin-Containers auf DockerHub umfasst das Image beispielsweise das komplette Laufzeitsystem, Treiber, OPC UA sowie einen Webserver – der Austausch kann in wenigen Minuten erfolgen.

Kubernetes ist in diesem Zusammenhang eine sehr mächtige Plattform, deren Möglichkeiten hier nur kurz skizziert werden können. Sie erlaubt die zentrale Installation, Überwachung und Aktualisierung von Containern. So lassen sich hunderte Container-Instanzen effizient verwalten und deren Versionsstände zentral kontrollieren.

Welche Möglichkeiten gibt es, fehlerhafte Updates rückgängig zu machen?

Bei klassischen Updates ist das Rollback nicht so einfach, da hierbei auch ältere Dateiversionen wiederhergestellt werden müssen. Wenn das nicht sauber umgesetzt ist, kann es schnell zu Problemen führen. Idealerweise wird vor dem Update im Betriebssystem oder in einer virtuellen Umgebung ein Systemwiederherstellungspunkt erstellt, um bei Bedarf zurückzuspringen.

Bei Container-Systemen ist das Rollback dagegen so unkompliziert wie das Update selbst: Der aktuelle Container wird entsorgt, und die gewünschte Version wird mit dem entsprechenden Image neu erzeugt – fertig. Dafür müssen die Image-Versionen noch vorhanden sein. Wie immer ist man gut beraten, diese selbst zu sichern. Beim VisiWin Cross-Platform Server liegen sie ebenfalls auf DockerHub bereit.

Inosoft auf der SPS: Halle 7 Stand 481