Was ist Docker?
Docker ist die meistverbreitete Plattform zum Erstellen und Betreiben von Containern. Es ermöglicht Entwicklern, Anwendungen in leichtgewichtigen, portierbaren Containern zu paketieren, die sich auf jedem System gleich verhalten — vom Entwicklungsrechner bis zum Cloud-Server.
DevOps AutomatisierungDocker hat Container von einer Nischentechnologie zum Industriestandard gemacht, indem es das Erstellen, Verteilen und Ausführen von Containern radikal vereinfacht hat. Das zentrale Werkzeug ist das Dockerfile — eine Textdatei mit klaren Anweisungen, wie ein Image Schicht für Schicht aufgebaut wird. Aus diesem reproduzierbaren Bauplan entsteht ein versionierbares Image, das über Registries verteilt und überall identisch ausgeführt werden kann.
Eine wichtige begriffliche Klärung: Docker bezeichnet sowohl die Plattform als auch ein konkretes Werkzeug, ist aber nicht die einzige Container-Technologie. Die zugrunde liegenden Standards sind in der Open Container Initiative festgeschrieben, weshalb Docker-Images auch von anderen Runtimes ausgeführt werden — etwa in Kubernetes-Clustern, die heute meist containerd oder CRI-O statt der Docker-Engine nutzen. Das gebaute Image bleibt aber kompatibel.
In CI/CD-Pipelines ist Docker allgegenwärtig: Build-Schritte laufen in definierten Container-Umgebungen, sodass jeder Build dieselben Werkzeuge in denselben Versionen vorfindet, unabhängig vom konkreten Build-Agent. Für Industrial DevOps ist zudem die Möglichkeit relevant, Images in eine private, on-premise betriebene Registry zu legen — eine Voraussetzung für air-gapped Umgebungen ohne Internetzugang.
Stolpersteine: Unoptimierte Images werden schnell unnötig groß, was Build- und Deploy-Zeiten verlängert und die Angriffsfläche erhöht — Multi-Stage-Builds und schlanke Basis-Images schaffen Abhilfe. Häufige Sicherheitsfehler sind Container, die als Root laufen, Secrets, die fest ins Image gebaut werden, und veraltete Basis-Images, die bekannte Schwachstellen mitschleppen.
Multi-Stage-Build für ein schlankes Produktions-Image
Ein Dockerfile baut die Anwendung in einer ersten Stage mit allen Build-Werkzeugen und kopiert nur das fertige Artefakt in ein minimales Laufzeit-Image. Das Produktions-Image bleibt klein und enthält keine Compiler oder Build-Abhängigkeiten.
Private Registry für air-gapped Betrieb
In einem segmentierten OT-Netz werden alle benötigten Images in eine on-premise betriebene Docker-Registry gespiegelt. Build- und Deployment-Prozesse greifen ausschließlich auf diese interne Registry zu, ohne Internetzugang.
- Ist Docker dasselbe wie ein Container?
- Nein. Container sind das allgemeine Konzept, Docker ist die verbreitetste Plattform, um sie zu erstellen und zu betreiben. Es gibt weitere Werkzeuge und Runtimes, die denselben offenen Standards der Open Container Initiative folgen und Docker-Images ebenfalls ausführen können.
- Wird Docker in Kubernetes noch verwendet?
- Zum Bauen von Images ja, als Cluster-Runtime meist nicht mehr. Kubernetes hat die direkte Docker-Engine-Unterstützung entfernt und nutzt heute Runtimes wie containerd oder CRI-O. Die mit Docker gebauten Images bleiben jedoch voll kompatibel, da sie dem OCI-Standard entsprechen.
- Wie halte ich Docker-Images klein und sicher?
- Mit Multi-Stage-Builds, schlanken Basis-Images, dem Vermeiden von Root als Container-Nutzer und regelmäßigem Image-Scanning auf Schwachstellen. Secrets gehören nicht ins Image, sondern werden zur Laufzeit über sichere Mechanismen eingebunden.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance