53 Ressourcen- und Namespace-Sharing

Das Ressourcen- und Namespace-Sharing ist eines der konzeptionell anspruchsvollsten, aber fundamentalsten Prinzipien des Pod-Modells. Container sind isolierte Prozesse, die jeweils in eigenen Namespaces laufen. Ein Pod hingegen ist eine kontrolliert geteilte Ausführungsumgebung, in der mehrere Container Teile dieser Isolationsmechanismen gemeinsam nutzen. Dieses Modell ist weder ein vollständiges „Zusammenlegen“ der Ressourcen noch eine triviale Gruppierung — es ist eine fein abgestimmte, selektive Aufhebung von Isolation, die bestimmte Gemeinsamkeiten erlaubt, ohne die Gesamttrennung zum Host aufzugeben.

53.1 Der Kern: ein gemeinsamer Prozessraum ohne gemeinsame Dateisysteme

Der wichtigste Gedanke hinter dem Pod-Modell lautet: Container sollen sich bestimmte Ressourcen teilen können, ohne dass sie ihr Dateisystem oder ihren Code teilen müssen.

Das bedeutet konkret:

• gemeinsame Namespaces → Netzwerk, IPC, UTS, optional PID
• getrennte Dateisysteme → Root-FS, Image-Layer, Writable-Layer
• wahlweise gemeinsame Volumes → explizite Speicherfreigabe

Dies schafft ein Architekturmodell, das an einen gemeinsamen „Mini-Host“ erinnert — aber ohne die Risiken ungefilterter Prozessvermischung.

53.2 Das Netzwerk-Sharing: ein Pod, ein Netzwerkstack

Der primäre geteilte Namespace in einem Pod ist der Netzwerknamespace. Alle Container nutzen:

• dieselbe IP
• dieselben Netzwerkinterfaces
• dieselben Ports
• denselben Routing-Stack

Der Infrastruktur-Container erzeugt und hält diesen Namespace. Jeder weitere Container betritt ihn beim Start.

Diagramm:

Innerhalb des Pods kommunizieren Container daher nicht über DNS oder Bridges, sondern über reine localhost-Kommunikation.

53.2.1 Auswirkungen auf die Architektur

• Ports müssen abgestimmt sein
• Dienste können ohne NAT/Bridges interagieren
• Netzwerk-Monitoring kann zentral erfolgen
• Sidecars (z. B. Reverse-Proxy) werden trivial

Das Netzwerk-Sharing ist die Basis aller Pod-Funktionalität.

53.3 IPC-Sharing: schnelle Kommunikation ohne Umwege

Der IPC-Namespace (Shared Memory, Semaphores, Message Queues) wird ebenfalls standardmäßig geteilt. Container können dadurch:

• Shared Memory Segmente gemeinsam nutzen
• Interprozesskommunikation ohne Netzwerk machen
• Synchronisationsprimitive teilen

Beispiel: ein HPC-ähnliches Szenario innerhalb eines Pods:

• Container A schreibt Daten in ein Shared-Memory-Segment
• Container B liest sie aus

Das Sharing erfolgt ohne Dateisystem, ohne Netzwerk, ohne Copying — exakt wie zwei Prozesse auf demselben Linux-Host.

53.4 PID-Sharing: ein optionaler, aber mächtiger Mechanismus

Podman erlaubt (analog zu Kubernetes) das Teilen des PID-Namespaces. Es ist optional, aber in einigen Szenarien hochgradig nützlich.

Wenn PID-Sharing aktiv ist:

• alle Container sehen die Prozesse der anderen
• ps zeigt podweite Prozesslisten
• Debugging-Container können Werkzeuge wie strace, gdb, ltrace auf andere Container anwenden
• Healthchecks können direkt auf Prozess-Ebene stattfinden
• ein Sidecar kann das Verhalten eines Hauptprozesses exakt überwachen

Beispiel:

Dieses Modell eignet sich besonders für:

• Telemetrie
• Debugging
• Legacy-Prozesse, die Monitoring-Unterstützung benötigen
• Sidecar-basierte Observability-Modelle

Die Sicherheit bleibt trotzdem gewährleistet, da Dateisysteme isoliert bleiben.

53.5 UTS-Sharing: ein gemeinsamer Hostname

Ebenfalls optional ist das Sharing des UTS-Namespaces. Wenn aktiviert, teilen die Container:

• Hostname
• Domainname

Das wirkt trivial, ist aber architekturstrategisch nützlich:

• Logging wird konsistenter (identische Hostnamen)
• Services, die den Hostnamen in Telemetrie einbetten, liefern kohärente Daten
• Anwendungen, die intern Hostnamen erwarten, funktionieren in Sidecar-Modellen ohne Konfiguration

Für klassische Workloads wirkt das unscheinbar, aber es verbessert die Kohärenz podinterner Metadaten erheblich.

53.6 cgroup-Sharing: kontrollierte gemeinsame Ressourcenlimits

Im Gegensatz zu Namespaces teilen Pods nicht automatisch dieselben Cgroups – aber sie können es.

Podman ermöglicht:

• individuelle Limits pro Container
• gemeinsame Limits auf Pod-Ebene
• gemischte Modelle: Pod-limit + Container-limit innerhalb des Pods

Ein Pod kann also als „Budgetrahmen“ fungieren:

podman pod create \
  --cpus=4 \
  --memory=6g \
  mypod

Alle Container im Pod teilen sich dann dieses Budget. Ein Container kann durch seine Cgroup nicht mehr Ressourcen beanspruchen, als dem Pod insgesamt zugewiesen wurden.

Das ist nützlich für:

• Multi-Prozess-Anwendungen (Webserver + Worker + Logger)
• Systemkomponenten, die gemeinsam throttlen sollen
• funktionale Gruppen in Shared-Ressource-Szenarien

Wichtig: Mit Cgroups können Pods gezielt stabilisiert werden, insbesondere gegen runaway-Prozesse einzelner Container.

53.7 Praxisnahe Architekturpatterns auf Basis von Namespace-Sharing

53.7.1 Pattern: Application + Reverse Proxy

• gemeinsamer Netzwerknamespace
• Proxy erreicht App via localhost
• keine NAT-Regeln
• keine DNS
• extrem geringer Overhead

53.7.2 Pattern: Application + Metrics-Exporter

• optional gemeinsamer PID-Namespace
• Exporter liest Prozessdaten direkt aus
• keine In-App-Instrumentierung nötig

53.7.3 Pattern: Application + TLS-Offloader / Zertifikats-Manager

• Offloader lauscht auf Port 443
• App auf internem Port
• Pod als konsistente Netzwerkidentität

53.7.4 Pattern: Application + Filebeat/Promtail Sidecar

• gemeinsame IPC für File-Marker
• gemeinsame Netzwerkidentität für Push-Protokolle

53.7.5 Pattern: Debugging Container

Ein Pod kann jederzeit temporär einen Debug-Container aufnehmen:

podman run --pod mypod --rm -it alpine sh

Dieser Container hat sofort Zugriff auf:

• Netzwerkstack
• IPC
• (optional) PID-Namespace

Dies ersetzt klassische SSH-inside-container Praktiken.

53.8 Fehldesigns: wo Namespace-Sharing falsch eingesetzt wird

• Pods als Ersatz für Containergruppen ohne technischen Zusammenhang
• zu viele Prozesse im gemeinsamen PID-Namespace
• App-Container, die bind-mounts eines anderen Containers erwarten
• Ports als Koordinationsmechanismus für viele interne Dienste (Chaos)
• Debugging-Werkzeuge dauerhaft im Pod

Namespace-Sharing ist mächtig — aber es entfaltet seinen Wert nur, wenn der Pod als funktionale Einheit betrachtet wird, nicht als Container-Sammelbecken.

53.9 Der fundamentale Grundsatz

Ein Pod ist eine Komposition von Containern, die sich ein Laufzeitumfeld teilen — nicht ihren Code, nicht ihre Daten, nicht ihren Speicher, sondern ihre Sicht auf die Welt.

Ressourcen- und Namespace-Sharing ist das, was einen Pod strukturiert: eine kontrollierte gemeinsame Realität für mehrere isolierte Prozesse.