16 Networking: Netavark vs. CNI

16.1 Warum Podman ein eigenes Netzwerk-Subsystem bekam

Container-Netzwerke gehören zu den anspruchsvollsten Bereichen der Virtualisierung. Lange Zeit nutzte Podman dieselben Mechanismen wie Kubernetes: CNI (Container Network Interface). Dieses Modell ist für orchestrierte Multi-Node-Cluster hervorragend geeignet, stößt jedoch bei einer daemonlosen Single-Host-Engine an strukturelle Grenzen.

Podman besitzt keine zentralen Agenten, keine Knotenabstraktion und keinen übergeordneten Netzwerkcontroller. CNI hingegen ist genau für solche Clusterarchitekturen entworfen. Mit zunehmender Reife wurde klar: Die Anforderungen einer Einzelhost-Engine unterscheiden sich grundlegend von denen eines Orchestrators.

Die Antwort darauf war die Entwicklung von Netavark, einem speziell auf Podman zugeschnittenen Netzwerkstack, kombiniert mit Aardvark DNS.

16.2 CNI: Stark im Cluster, schwerfällig auf Einzelhosts

CNI basiert auf einem Plugin-Modell. Beim Aufbau eines Netzwerks werden nacheinander mehrere Programme ausgeführt – für Bridges, IPAM, Firewallregeln und DNS.

Ein typischer Ablauf:

Vorteile:

modular und erweiterbar
große Ökosystem-Unterstützung
stabil in Multi-Node-Umgebungen
native Kompatibilität mit Kubernetes

Nachteile im Podman-Kontext:

mehrere Prozessaufrufe pro Netzwerk
Performanceeinbußen bei häufigen Starts
Konfiguration verteilt auf viele Dateien
Rootless-Setups nur bedingt geeignet
Abhängigkeit von externen Plugins

Für eine Single-Host-Engine wirkt das überdimensioniert.

16.3 Netavark: Netzwerklogik ohne Plugin-Kaskaden

Netavark verfolgt einen radikal anderen Ansatz: keine Plugin-Ketten, keine orchestratorähnlichen Abhängigkeiten. Stattdessen ein einzelnes, kompaktes Binary mit deterministischem Verhalten.

Merkmale:

Single-Binary-Design statt Plugin-Komposition
klar definierte State-Dateien
direkte Manipulation von Interfaces, Routen und Regeln
Rootless-Unterstützung integriert
enge Verzahnung mit Aardvark DNS
deutlich schnellere Netzwerkbereitstellung
geringere Komplexität bei Wartung und Debugging

Damit wird Netzwerkmanagement für Podman nachvollziehbarer und robuster.

16.4 Aardvark DNS: lokales DNS ohne Orchestrator

CNI überlässt DNS weitgehend Zusatzplugins oder dem Orchestrator. Netavark integriert DNS direkt: Aardvark DNS speichert Container-Namen eines Netzwerks in einer zentralen, leicht verständlichen Struktur.

Vorteile:

Container-Namen sind innerhalb eines Podman-Netzwerks auflösbar
konsistentes Verhalten in root- und rootless-Umgebungen
atomare Updates ohne Race Conditions
keine Plugin-Abhängigkeiten

Damit genügt oft der reine Containername zur internen Kommunikation.

16.5 Rootless Networking: Slirp4netns + Netavark

Rootless-Container nutzen weiterhin slirp4netns als NAT-Mechanismus. Netavark ergänzt dies durch:

Netzwerkanlage
DNS
Port-Mappings
Verwaltung der Netzwerk-Namespaces

Schematisch:

Der gesamte Stack bleibt überschaubar und deterministisch.

16.6 Performancebetrachtung: CNI vs. Netavark

Messungen und Praxiserfahrung zeigen:

Netavark ist beim Erzeugen und Entfernen von Netzwerken schneller.
CNI erzeugt mehr Overhead durch seine Plugin-Pipeline.
Netavark führt zu weniger Fehlerquellen.
Die Debugbarkeit ist deutlich besser, da der Stack aus weniger Komponenten besteht.

Vor allem in Szenarien mit vielen kurzlebigen Containern wirkt sich das spürbar aus.

16.7 Parallelen und klare Abgrenzung

Die Rollenverteilung ist eindeutig:

Einsatzszenario	Empfohlenes System
Kubernetes, Multi-Node, SDN, große Cluster	CNI
Podman auf Einzelhosts	Netavark
Rootless Setups	Netavark
komplexe Cluster-Netzwerke (Calico, Cilium)	CNI

Netavark will CNI nicht ersetzen – es adressiert einen völlig anderen Anwendungsfall.

16.8 Debugging und operative Praxis

Netzwerkprobleme gehören zu den häufigsten Fehlerklassen in Containerumgebungen. Netavark vereinfacht die Fehlersuche erheblich.

Vorteile:

alle Netzwerkinformationen liegen in strukturierten JSON-Dateien
DNS-Einträge sind transparent einsehbar
weniger Komponenten → klarere Fehlerursachen
rootless und rootful verhalten sich konsistenter

Beispiel: Ein Container web im Netzwerk mynet lässt sich unmittelbar ansprechen:

ping web.mynet

Netzwerkinspektion:

podman network inspect mynet

Die Ausgabe enthält Interfaces, Routen, IPAM-Daten und DNS-Einträge – vollständig durch Netavark generiert.

16.9 Ein Netzwerkmodell, das zur Philosophie von Podman passt

Netavark passt exakt zu Podmans Grundprinzipien:

keine Daemons
keine permanenten State-Maschinen
klare, kleine Werkzeuge
deterministische Konfiguration
Fokus auf Single-Host-Szenarien

Es ist nicht für große Cluster gedacht – genau so wie Podman selbst. Dafür bietet es ein einfaches, transparentes und leistungsfähiges Netzwerkmodell für Einzelhosts, Workstations, Edge-Geräte und Server ohne Orchestrator.