Cells for NetBSD - NetBSD-native Isolation als operatives Gesamtsystem

Aufgabenstellung

Ziel des Projekts Cells for NetBSD war, für NetBSD einen pragmatischen Mittelweg zwischen einfachem chroot und vollständiger Virtualisierung zu schaffen.

Gesucht war kein Nachbau bestehender Linux-Containerplattformen, sondern ein NetBSD-nativer Ansatz mit klaren operativen Grenzen:

  • Isolation und Policy-Durchsetzung im Kernel
  • reproduzierbare Host-Operation ohne zusätzliche Runtime-Schichten
  • verständliche, deklarative Steuerung für den Alltag

Lösungsansatz

Umgesetzt wurde ein mehrschichtiges System mit klarer Trennung der Verantwortlichkeiten:

  • secmodel_cell als Kernel-Basis für Identität, Isolation und Policy-Enforcement
  • cellctl als runtime-nahe Schnittstelle für Lifecycle und Snapshot-Metriken
  • cellmgr als einheitliche Control Plane für Desired State, Runtime State, Reconcile (apply) sowie Backup/Restore
  • cellui als interaktive TUI für den operativen Alltag

Der Kern des Betriebsmodells ist deklarativ: Manifeste beschreiben den vollständigen Soll-Zustand, cellmgr apply stellt diesen Zustand reproduzierbar her.

Ergänzend wurden End-to-End-Stacks aufgebaut, um Praxistauglichkeit unter realen Bedingungen zu testen - darunter ein MantisBT-Stack (PostgreSQL, php_fpm, nginx) und ein Luanti-Server-Szenario.

Ergebnis

Cells for NetBSD hat sich von einem reinen Isolationsprototyp zu einer durchgängigen Betriebslogik entwickelt:

  • konsistente CLI-Verträge für Mensch und Automatisierung (TSV/Schema-Validierung)
  • reproduzierbare Konvergenz über cellmgr apply
  • integrierte Backup-/Restore-Workflows für Volumes und Overlay-Zustände
  • transparente Bedienung über CLI und TUI ohne versteckte Kontrollschichten

Parallel entsteht projektnah eine laufend erweiterte Dokumentation inklusive Manpages und praxiserprobter Rezepte.

Projektseite: https://netbsd-cells.petermann-digital.de/

Steckbrief

  • Bereich: Systemsoftware / NetBSD / Isolation
  • Zeitraum: 2025 - laufend
  • Technologien:
    • NetBSD Kernel (secmodel_cell, kauth)
    • cellctl, cellmgr, cellui
    • Shell, C, curses/TUI
    • Prometheus-kompatible Metrik-Exporte
  • Status: experimentell, aktiv in Entwicklung

Cells for NetBSD steht für einen bewusst schlanken, NetBSD-nativen Isolationsansatz: klare Zustände, klare Werkzeuge, klarer Betrieb.

Sie haben ein ähnliches Vorhaben?

Mit Cells for NetBSD verbinde ich Kernel-nahe Isolation mit einem klaren, reproduzierbaren Betriebsmodell - von secmodel_cell bis zur täglichen Bedienung mit cellmgr und cellui.

Kontakt aufnehmen