Aus NetBSD Jails werden NetBSD Cells: Projektumbenennung und aktueller Stand

Aus “Jails” werden “Cells”

Das Projekt zur leichtgewichtigen Prozessisolation für NetBSD läuft ab sofort unter dem Namen NetBSD Cells.

Der ursprüngliche Arbeitsname NetBSD Jails hat in Diskussionen immer wieder zu Missverständnissen geführt. Viele Leser gingen verständlicherweise davon aus, dass es sich um eine direkte FreeBSD-Entsprechung handeln soll.

Genau das war jedoch nie das Ziel.

Nach Community-Feedback und einer kleinen Umfrage wurde deshalb entschieden, das Projekt klarer zu benennen. Der neue Name Cells vermeidet diese Erwartungshaltung und beschreibt gleichzeitig besser die eigentliche Idee: klar abgegrenzte Ausführungsdomänen innerhalb eines gemeinsamen Kernels.

Damit wird auch deutlicher, dass es sich nicht um einen FreeBSD-Port handelt, sondern um einen NetBSD-nativen Ansatz.

Was NetBSD Cells ist

NetBSD Cells ist ein experimenteller Ansatz für leichtgewichtige Prozessisolation im gemeinsamen Kernel.

Die Grundidee: mehrere klar getrennte Prozess-Domänen, die sich einen Kernel teilen, ohne dafür eine vollständige Virtualisierungsschicht zu benötigen.

Der Fokus liegt dabei auf einer möglichst einfachen und nachvollziehbaren Integration in NetBSD, statt auf dem Aufbau einer zusätzlichen Container-Runtime.

Für NetBSD eröffnet das einen pragmatischen Weg, Dienste isoliert zu betreiben, ohne direkt in den Overhead klassischer Vollvirtualisierung zu gehen.

Einordnung zwischen Jails und Linux-Containern

Die Idee bewegt sich bewusst zwischen bekannten Ansätzen, ohne sie direkt zu kopieren.

FreeBSD Jails: ähnliche Grundidee der Isolation im Shared Kernel. Cells ist jedoch kein 1:1-Nachbau, sondern folgt bewusst NetBSD-eigenen Integrationspfaden.
Linux Container: basieren typischerweise auf mehreren Mechanismen wie Namespaces, Cgroups und zusätzlichen Container-Runtimes.
Cells: verfolgt einen deutlich schlankeren Ansatz mit klarer Trennung zwischen
- Kernel-Mechanismus (secmodel_cell)
- Steuerwerkzeugen (cellctl, cellmgr)
- Service-Integration (svcmgr)

Die Konsequenz ist eine Architektur mit weniger Runtime-Schichten und klarer Systemintegration.

Aktueller Stand

Der aktuelle Entwicklungsstand umfasst:

vollständige Terminologie-Umstellung von Jails auf Cells
aktualisierte Projektseite: https://netbsd-cells.petermann-digital.de
funktionsfähiger Prototyp auf NetBSD 11.0 RC2 (Download auf Projektseite)

Nächste Schritte

Die nächsten Entwicklungsschritte konzentrieren sich auf Stabilität und praktische Nutzbarkeit:

reproduzierbare Alltagstests
Dokumentation als kompaktes Tutorial
gezielte Stabilitätsarbeit am bestehenden Kernmechanismus
Evaluierung möglicher Hybrid-Szenarien mit Xen (VM-Isolation plus Cells innerhalb einer VM)

🧪 Projektstatus

Aktueller Entwicklungsstand im Branch feature/netbsd-11-cells:

https://github.com/MatthiasPetermann/netbsd-src/tree/feature/netbsd-11-cells

Die Implementierung ist funktional, aber weiterhin experimentell; sie ist bislang weder sicherheitsauditiert noch formal durch NetBSD-Kernel-Entwickler reviewed.