Containerlösningar som Docker används flitigt numera. En anledning är att containrar är en enklare och mer lättviktig lösning än virtuella maskiner. Man kan tycka att det handlar om två olika typer av tekniklösningar, men de ställs ändå ofta mot varandra.

En anledning till att containrar är lättviktiga är att flera containrar på en server delar på en operativsystemskärna. Detta till skillnad från virtuella maskiner som var och en kör sina egna operativsystem.

Ett potentiellt problem med containrar är att säkerheten kan bli lidande, eftersom flera containrar delar på en operativsystemskärna. Det här har bland annat Intel adresserat med det öppna projektet Kata Containers.

Nu visar IBM en alternativ lösning, en slags mellanväg, med Nabla Containers som släppts i version 1.0.

Med Nabla delar flera containrar på en operativsystemskärna. Men containrarna kan bara göra ett begränsat antal systemanrop till kärnan. Med hjälp av mellanprogram, bland annat Solo5, har man lyckats begränsa antalet systemanrop till nio. Det ska ge en mindre attackyta för inkräktare och därigenom bättre säkerhet.

Läs också: Kombinera det bästa av två världar: Säkra containrarna med virtuell maskin

Flera tester som gjorts av utvecklarna av Nabla visar att Dockercontainrar gör minst dubbelt så många systemanrop, i vissa fall fler än fem gånger så många. Enligt testerna så är antalet unika funktioner som används i kärnan upp till drygt tre gånger så många.

Om det här verkligen ger bättre säkerhet får framtiden utvisa, men det verkar i alla fall som om det finns förutsättningar för det.

Än så länge krävs det specialbyggda paket (images) för att använda Nabla. Gissningsvis undersöker man om det är möjligt att köra Dockerpaket på Nabla.