Auf der ersten Hauskonferenz der OpenInfra Foundation seit der Integration in die Linux Foundation ging es natürlich um digitale Souveränität und um künstliche Intelligenz. Die Position und Optionen mit OpenStack für ersteres sind hinreichend bekannt. Mit der Open Telekom Cloud und auch mit STACKIT gibt es schon zwei prominente Vertreter für die Cloud aus Deutschland, die beide auch vor Ort bei Paris waren.
Und wie sieht es beim Thema VMware aus? Das Internet ist voll von Nachrichten über den neuen Star Proxmox als Alternative. OpenStack positioniert sich hier ebenfalls und liefert sogar einiges an Dokumenten. Allerdings decken diese nur sehr einfache Umgebung ab und konzentrieren sich auf die Migration von virtuellen Maschinen. Das ist aber nur ein kleiner und eher einfacher Aspekt. Der Wechsel von vSAN und NSX zu den entsprechenden Komponenten bei Openstack (Neutron, Cinder, Manila, Swift, Glance) ist deutlich komplexer. Hier ist für die OpenStack-Community noch viel Arbeit zu tun.
Abgeschottet mit Kata Container
Was gab es für Neuerungen im technischen Bereich? Nicht unerwartet ist die KI hier ein wichtiger Treiber. Die interessanten Nachrichten kamen aus dem Bereich Kata Container und Confidential Computing. Bei Kata Container handelt es sich um leichtgewichtige virtuelle Maschinen, deren Ansteuerung aber über containerd und Co. läuft. Das heißt, es gibt eine Kata-Laufzeitumgebung für die Container-Welt. Diese startet eine abgespeckte Version von Qemu und darin einen speziellen Linux-Kernel. Der restliche Startprozess ist ähnlich zu dem eines Linux-Systems.
Von Nvidia gibt es nun einen optimierten Linux-Kern inklusive temporärem Dateisystem für den Bootvorgang (Initial RAM Disk). Damit lassen sich die Konzepte des Confidential Computing in Kata Containern umsetzen. Dazu läuft der containerd-Prozess schon in einer TEE (Trusted Execution Environment). Hierzu muss das Host-System über die entsprechenden Funktionen von Intel SGX oder TDX beziehungsweise AMDs SEV-SNP verfügen. Der containerd-Prozess startet nun einen Kata Container. Ehe die eigentliche Applikation hochfährt, findet die Attestierung durch Nvidia-Werkzeuge statt. Dieser geplante Eingriff in den Boot-Vorgang ist Bestandteil der initialen RAM-Disk. Die Ergebnisse der Attestierung und das weitere Vorgehen verwaltet der Kata-Agent innerhalb des Containers. Für das Setup empfiehlt sich die Verwendung des GPU-Operators von Nvidia.
Das Ganze lässt sich sogar noch weiter aufbohren: Mit eBPF lassen sich bekanntlich Sachen in einer Sandbox im Linux-Kernel ausführen. Das geht natürlich auch mit einem Kata-optimierten Kern. Dies haben Entwickler der Firma Ant Group umgesetzt. Mit eBPF überwachen sie Aktivitäten im Container und die Implementierung von Sicherheitsrichtlinien. Ersteres hat dabei zwei Aspekte: Es kann einfach prüfen, ob die Anwendung normal läuft – aber auch verdächtige Aktivitäten erkennen, die auf einen möglichen Eindringling schließen lassen. Die Implementierung der Ant Group beobachtet Netzwerkaktivitäten, ausgeführte Prozesse, durchgeführte Systemaufrufe und mehr. Die eBPF-Programme klinken sich dabei in das sogenannte Linux Security Module (LSM) ein.
KI und OpenStack
Außerdem veröffentlichte die Foundation ein KI-Forschungspapier mit dem Titel "Open Infrastructure for AI: OpenStack’s Role in the Next Generation Cloud". Darin sind unter anderem fünf verschiedene Anwendungsfälle beschrieben: Basismodell trainieren und bereitstellen; GPUaaS-Plattform (GPU-as-a-Service); vollautomatisierte MLOps-Plattform (Machine Learning Operations); HPC-Cluster für KI Forschung im großen Maßstab; AIoT und Edge Computing. Für jeden dieser zeigt die Dokumentation, welche OpenStack-Komponenten nötig sind und bietet recht genaue Hinweise für die Umsetzung auf Infrastruktur-Seite. Wer KI auf OpenStack betreiben möchte, sollte also auf jeden Fall genauer in das Forschungspapier reinschauen.
Digitale Souveränität gepaart mit der zunehmenden Verwendung von KI könnten OpenStack eine Art zweiten Frühling verleihen. Die Open-Source-Community und OpenInfra Foundation haben die Weichen gestellt – jetzt müssen schnell Taten folgen.
(fo)
English (US) ·