74 Exakte Abgrenzung: Engine vs. Orchestrator

Containerisierung wird häufig als ein homogener technologischer Block wahrgenommen – ein Image wird gebaut, ein Container wird gestartet, ein Cluster verteilt Workloads. Doch diese Sichtweise vermischt zwei strikt getrennte Klassen von Systemen: Container-Engines und Orchestratoren. Beide bilden zusammen das Fundament moderner Cloud-, Edge- und On-Premise-Infrastrukturen, erfüllen jedoch völlig unterschiedliche Aufgaben, sprechen unterschiedliche Schnittstellen und operieren auf unterschiedlichen Abstraktionsebenen. Die exakte Abgrenzung ist essenziell, um Architekturentscheidungen fundiert treffen zu können.

74.1 Die Container-Engine: Laufzeit und Isolation

Eine Container-Engine kümmert sich um die Ausführung einzelner Container. Ihre Hauptaufgabe ist nicht das Management großer Systemlandschaften, sondern die präzise Kontrolle einzelner Prozesse in einem isolierten Namespace-Verbund.

Typische Vertreter:

• runc (Low-Level Runtime)
• Podman
• Docker Engine / dockerd
• containerd
• CRI-O

Eine Engine führt Containerprozesse aus und kapselt sie über:

• Namespaces (Mount, PID, Network, IPC, UTS, User)
• Cgroups (Ressourcensteuerung)
• Overlay-Filesysteme
• Image-Verwaltung
• Storage-Backends

Engines sprechen in der Regel kein verteiltes Protokoll. Sie arbeiten lokal auf einem Host und verwalten Ressourcen innerhalb dieses einen Systems. Ihr Denken ist prozesszentriert.

Ein abstrahiertes Engine-Modell:

Die Engine beantwortet Fragen wie:

• Wie starte ich einen Container?
• Welches Image verwende ich?
• Welche Ressourcen gehören dem Container?
• Welche Isolation gilt?
• Wo liegen die Daten?

Sie beantwortet nicht die Fragen:

• Auf welchem Node soll der Container laufen?
• Wie viele Replikate werden benötigt?
• Wie ist das interne Service-Routing aufgebaut?

Genau dafür existiert die Orchestrierungsschicht.

74.2 Der Orchestrator: Scheduling und Systemzustände

Ein Orchestrator behandelt Container als Workloads in einem Cluster. Er denkt nicht in Prozessen, sondern in gewünschten Systemzuständen („desired state“).

Typische Orchestratoren:

• Kubernetes
• Nomad
• Docker Swarm
• OpenShift (Kubernetes-Distribution)

Ein Orchestrator benötigt mindestens:

• mehrere Worker-Hosts
• ein Steuerungssystem (Control Plane)
• eine CRI-kompatible Engine auf jedem Node
• eine Netzwerkebene, die Pods über Nodes hinweg verbindet

Funktionsbereiche:

• Scheduling (Welcher Node führt welchen Container aus?)
• Placement Policies (Anti-Affinity, Node Selectors, Topology Spread)
• Health Checks und automatische Restarts
• Rolling Updates & Rollbacks
• Service Discovery und DNS
• Secrets, ConfigMaps, RBAC
• horizontales Skalieren

Ein Orchestrator arbeitet auf einer deklarativen Ebene:

kubectl apply -f deployment.yaml

Der Benutzer beschreibt einen gewünschten Zustand, der Orchestrator stellt diesen Zustand her – und hält ihn stabil, selbst wenn Nodes ausfallen.

Ein typisches Orchestrator-Modell:

Der Orchestrator hat ein zentrales Ziel: Clusterstabilität und Lastverteilung. Er führt keine Container aus – er delegiert an die Engine.

74.3 Was Engines leisten – und was sie bewusst nicht leisten

Eine Container-Engine:

• startet einen Container; sie verteilt ihn nicht
• kennt keine Replikationslogik
• besitzt keine Service Mesh-Komponente
• weiß nicht, ob ein anderer Container „derselbe Dienst“ ist
• führt keine Health Checks über mehrere Nodes hinweg durch
• speichert keinen Clusterzustand
• begegnet Ausfall einzelner Maschinen nicht mit Migration
• implementiert kein deklaratives Desired-State-Modell

Eine Engine ist ein Werkzeug für:

• lokale Entwicklung
• lokale Services
• Single-Node-Applikationen
• sichere, isolierte Prozesslaufzeit
• rootless Containerbetrieb
• reproduzierbare Ausführung

Sie bietet kein verteiltes Verhalten – und soll das auch gar nicht.

74.4 Was Orchestratoren leisten – und was sie nicht können

Ein Orchestrator:

• führt keine Containerprozesse selbst aus
• isoliert keine Prozesse (das macht die Engine)
• managt kein Storage-Overlay
• kümmert sich nicht um lokale Engine-Details
• startet Pods nicht ohne eine Engine auf dem Node
• garantiert keine absolute Verfügbarkeitsgrenze (nur relative)

Ein Orchestrator ist ein Systemsteuerer, kein Prozessstarter.

Man kann es sich so merken:

• Die Engine ist das Betriebssystem der Container.
• Der Orchestrator ist der Cluster-Manager der verteilten Infrastruktur.

74.5 Die Schichtung beider Systeme im Detail

Das Zusammenspiel lässt sich klar in Schichten darstellen:

Podman passt hier bewusst nicht in die CRI-Schicht, weil es nicht für Kubernetes entworfen wurde. Podman operiert als alternative Engine für Menschen – nicht für Maschinen.

74.6 Podman als Engine, nicht als Orchestrator

Podman kann Pods erzeugen – aber ohne Scheduling, ohne Cluster-Kontext und ohne Multi-Node-Verteilung. Pods in Podman sind eine lokale Gruppierung von Containern, kein Distributed System. Sie ähneln Kubernetes-Pods nur in der konzeptionellen Struktur, nicht in der operativen Logik.

Podman-Pod:

• mehrere Container
• gemeinsamer Netzwerkstack
• gemeinsam gestartete Einheit
• lokale Sichtbarkeit

Kubernetes-Pod:

• mehrere Container
• gemeinsamer Netzwerkstack
• wird auf einen Node geplatziert
• kann migriert, ersetzt oder skaliert werden

Die Namensähnlichkeit führt leicht zu Fehlinterpretationen. Die Semantik ist jedoch klar unterschiedlich.

74.7 Warum diese Abgrenzung architektonisch wichtig ist

Viele Fehlentscheidungen entstehen, wenn die Ebenen verwechselt werden:

• „Wir ersetzen Kubernetes durch Podman“ funktioniert nicht.
• „Wir benutzen Kubernetes als lokalen Ersatz für Podman“ ist überdimensioniert.
• „Wir verteilen Workloads nur mit systemd und Podman“ skaliert nicht.
• „Wir starten Container ohne Engine direkt über Kubernetes“ ist unmöglich.

Eine Engine löst das Problem der sicheren Prozessisolation. Ein Orchestrator löst das Problem der verteilten Anwendungssteuerung.

Beides zusammen ergibt moderne Container-Infrastruktur – aber nur dann, wenn man die Rollen klar trennt und richtig einordnet.

Die Abgrenzung zwischen Container-Engine und Orchestrator ist daher kein theoretisches Detail, sondern ein pragmatisches Fundament: Engines betreiben Container. Orchestratoren betreiben Systeme, die Container betreiben.