Blog Apple Silicon
Apple SiliconCoding

Container machine: Apples leiser Angriff auf Docker Desktop

· David Krcek · 10 min Lesezeit
Container machine: Apples leiser Angriff auf Docker Desktop

Auf der WWDC26 stellt Apple mit „Container machine" eine Funktion vor, die auf den ersten Blick klein wirkt: eine persistente Linux-Umgebung auf dem Mac, schnell und leichtgewichtig wie ein Container, dauerhaft wie eine virtuelle Maschine.1 Auf den zweiten Blick ist es der zweite Baustein einer Strategie, die Apple 2025 begonnen hat und die ein klares Ziel verfolgt. Apple baut den lokalen Container-Workflow auf dem Mac selbst, vorbei an Docker Desktop.

Die Frage „tötet Apple jetzt Docker" ist dabei falsch gestellt. Interessanter ist, welche Schicht des Docker-Stacks Apple angreift, welche es bewusst übernimmt, und warum ausgerechnet der Mac der Ort ist, an dem Docker Desktop am verwundbarsten ist.

Zwei Jahre, zwei Bausteine

Der Ausgangspunkt liegt ein Jahr zurück. Auf der WWDC25 hat Apple das Projekt Containerization quelloffen gestellt, ein in Swift geschriebenes Framework zum Ausführen von Linux-Containern auf macOS, lizenziert unter Apache 2.0 und optimiert für Apple Silicon.2 Containerization liefert APIs für Storage, Networking, Ausführung und ein Linux-Init-System. Dazu kam das CLI-Werkzeug container, das Image-Erstellung, Distribution und Lifecycle-Management übernimmt, also genau die Aufgaben, für die man auf dem Mac bisher Docker Desktop, Colima oder Podman benutzt hat.

Containerization arbeitet mit OCI-kompatiblen Images aus Standard-Registries. Wer ein Image mit container baut, kann es in jede normale Registry pushen. An dieser Stelle liegt schon die erste wichtige Einordnung: Apple erfindet das Format nicht neu, es übernimmt den Industriestandard. Das ist kein Detail, sondern die Bedingung dafür, dass das Ganze überhaupt anschlussfähig ist.

container setzt strikte Anforderungen. Es läuft ausschließlich auf Apple Silicon und offiziell nur auf macOS 26. Die Projektdokumentation ist dabei ungewohnt deutlich: „We do not support older versions of macOS and the container maintainers typically will not address issues that cannot be reproduced on macOS 26."2 Das Projekt ist außerdem noch vor Version 1.0, Minor-Releases dürfen brechende Änderungen einführen.

Container machine ist der zweite Baustein, gebaut auf demselben Fundament. Während ein klassischer Container für eine einzelne Anwendung gedacht ist und nach getaner Arbeit verschwindet, zielt Container machine auf etwas anderes: eine Linux-Umgebung, die bleibt.

Eine VM pro Container

Der architektonische Unterschied zu Docker ist die eigentliche Geschichte, und er erklärt fast alles Weitere.

Docker Desktop startet auf dem Mac eine einzige Linux-VM. In dieser VM läuft der Docker-Daemon, und in dieser einen VM laufen alle Container nebeneinander, im selben Kernel, im selben User-Space. Der Overhead der VM wird über alle Container amortisiert, geteilt wird aber auch der Kernel.

Apple geht den umgekehrten Weg. Jeder Container bekommt seine eigene leichtgewichtige virtuelle Maschine, direkt über Apples Virtualization.framework. In jeder dieser Mikro-VMs läuft ein minimales Init-System namens vminitd, dazu ein für den Zweck optimierter Linux-Kernel und ein minimales Root-Dateisystem. Das Resultat sind Startzeiten unter einer Sekunde, trotz vollständiger VM-Isolation. Ein ps aux auf dem Host zeigt nur die Container-Prozesse, der Rest ist sauber gekapselt.3

Architekturvergleich: Docker Desktop bündelt alle Container in einer geteilten Linux-VM mit einem gemeinsamen Kernel, Apple Container gibt jedem Container eine eigene Mikro-VM mit eigenem Kernel. Beide setzen auf dasselbe Fundament aus macOS, Apple Silicon und dem Virtualization.framework.

Der Trade-off liegt offen. Isolation gegen Amortisation:

Docker DesktopApple Container
Modelleine geteilte Linux-VMeine Mikro-VM pro Container
Kernelgeteilt über alle Containerpro Container isoliert
Grundlast (leere VM)~3,5 GB Overhead, einmalig~200 MB Overhead, pro Container
Speicher unter Lastelastisch bis ~50 % Host-RAM (Default-Limit)pro VM gehalten, Ballooning nur teilweise
NetzwerkPort-Forwarding aus der VMeigene IP pro Container
Lizenzproprietäre Anteile, kostenpflichtig ab SchwelleApache 2.0, offen

Die Zahlen stammen aus Drittanalysen4, nicht aus offiziellen Apple-Benchmarks, und sie beschreiben Grundlasten, nicht den Gesamtverbrauch. Sie meinen den Overhead der leeren VM, der Speicher der laufenden Anwendung kommt in beiden Modellen obendrauf. Wichtig dabei: Dockers VM ist nicht starr. Ihr Limit liegt per Default bei der Hälfte des Host-RAM, der tatsächliche Verbrauch wächst elastisch mit der Last bis zu dieser Grenze.5 Ein Supabase-Stack aus rund einem Dutzend Diensten belegt in der gemeinsamen VM problemlos 5 GB und mehr, das ist erwartbar und kein Widerspruch zur niedrigen Grundlast.

Apples Skalierungsproblem liegt deshalb woanders, als ein simpler Pro-Container-Aufschlag vermuten lässt. Erstens vervielfacht sich der feste VM-Overhead: zwanzig Mikro-VMs schleppen zwanzig Kernel und zwanzig Init-Systeme mit, wo Docker einen einzigen Kernel teilt. Zweitens, und das wiegt schwerer, unterstützt das Virtualization.framework Memory-Ballooning nur teilweise.6 Eine Mikro-VM gibt ungenutzten Speicher kaum an den Host zurück. Laut The Register ist der Speicher per Default auf die Hälfte des System-RAM gesetzt und „cannot be released back to the host", ohne die VM neu zu starten.7 Dockers eine elastische VM holt sich Speicher nach Bedarf und gibt ihn wieder her, Apples Flotte einzelner VMs hält ihn fest.

Für den typischen lokalen Entwickler-Loop mit zwei, drei Containern gewinnt Apples Modell bei Isolation und Startzeit. Bei dichten Multi-Service-Stacks kehrt sich der Vorteil eher um, nicht weil Docker sparsamer wäre, sondern weil Apple den festen Overhead vervielfacht und Speicher schlechter zurückgibt.

Sicherheitstechnisch ist die Sache eindeutiger. Eine eigene VM pro Container bedeutet Hardware-gestützte Isolation statt geteiltem Kernel. Ein Ausbruch aus einem Container landet nicht im gemeinsamen Kernel aller anderen, sondern in einer leeren Mikro-VM. Das ist der Punkt, an dem Apple sein Lieblingsargument spielt, Security und Privacy, und hier trägt es technisch.

Container machine ist Apples Antwort auf WSL

Container machine nimmt diese Architektur und dreht an einer Eigenschaft: Persistenz. Jede Container machine läuft in ihrer eigenen leichtgewichtigen VM und nutzt dasselbe OCI-Image-Format wie ein Container, etwa Alpine oder Ubuntu als Startpunkt. Anders als ein flüchtiger Anwendungs-Container behält sie ihren Zustand. Was man mit apt oder apk installiert, was man baut, was man konfiguriert, bleibt für die nächste Sitzung erhalten.

Der entscheidende Teil ist die Integration in macOS, und die geht weiter, als es zunächst klingt:

  • Automatisches User-Mapping. Eine Container machine spiegelt den macOS-Benutzernamen und das aktuelle Arbeitsverzeichnis. whoami in der Container machine liefert denselben Namen wie auf dem Mac, pwd denselben Pfad.
  • Geteiltes Dateisystem. Projektdateien sind ohne Kopieren oder Sync verfügbar. In Apples Demo wird eine Vapor-Webanwendung in Xcode auf dem Mac bearbeitet, in der Container machine unter Linux gebaut und ausgeführt, und das Ergebnis in Safari auf dem Mac geöffnet. Eine in Icon Composer geänderte Icon-Datei taucht nach einem Reload im Browser auf, ohne dass irgendetwas in die Linux-Umgebung kopiert wurde.1
  • Eintritt von überall. Aus jedem Terminal heraus lässt sich die Linux-Umgebung betreten, mit container machine run ohne weitere Argumente startet eine interaktive Shell.

Apples eigene Formel dafür lautet: „fast and lightweight, like a container, and persistent like a virtual machine."1 Wer Windows kennt, hat das Muster sofort. Das ist Apples Variante von WSL, dem Windows Subsystem for Linux, das auf der anderen Plattform längst zum festen Bestandteil des Entwickleralltags geworden ist. The Register zieht in seiner Einordnung genau diese Parallele und nennt es ein „WSL-ish thing" für Mac-Entwickler.7

Warum das Docker weh tut

Bis hierher klingt das nach einem netten Entwicklerwerkzeug. Der Angriff auf Docker liegt nicht in der Technik allein, sondern in der Stelle, an der Apple ansetzt.

Docker Desktop ist seit der Lizenzänderung kommerziell heikel. Unternehmen mit mehr als 250 Mitarbeitern oder über 10 Millionen US-Dollar Jahresumsatz müssen zahlen. Docker Business kostet 24 US-Dollar pro Nutzer und Monat. Für ein Team von 50 Entwicklern sind das rund 12.600 US-Dollar im Jahr, bei 200 Entwicklern etwa 50.400 US-Dollar.8 Das ist eine Position, die in jeder Beschaffungsabteilung auffällt.

Dazu kommt der Ruf als Ressourcenfresser. Die ständig laufende VM, mehrere Gigabyte RAM im Leerlauf, CPU-Spitzen beim Image-Build, und auf dem Mac die seit Jahren bekannte Schwäche bei der Dateisystem-Performance von Volume-Mounts. Genau diese drei Schmerzpunkte, Lizenzkosten, Ressourcenhunger und Mac-Dateisystem, sind die Gründe, aus denen Teams längst zu Alternativen abwandern.

Apple greift damit nicht ins Leere, sondern in einen bereits umkämpften Markt. OrbStack gilt vielen als schnellste und sauberste Docker-Desktop-Alternative auf dem Mac, Podman ist daemon-los und rootless, Colima und Lima sind quelloffen und etabliert, Rancher Desktop ist unter Apache 2.0 ohne Mitarbeiterschwelle frei.9 In diese Liste schreibt Apple jetzt einen Namen, der einen Vorteil hat, den keiner der anderen bieten kann: Er kommt vom Hersteller des Betriebssystems und der Hardware und spricht direkt mit dem Virtualization.framework, ohne Emulationsschicht.

Die Lücken

Apple liefert kein fertiges Produkt, sondern eine Architektur im Aufbau, und die Lücken sind real.

Nur macOS 26, nur Apple Silicon. Wer auf macOS 15 bleibt oder Intel-Macs einsetzt, ist außen vor oder bekommt eingeschränkte Funktionalität. Apple adressiert ausdrücklich nur den aktuellsten Stand.2

Netzwerk zwischen Containern. Auf macOS 15 ist die Container-zu-Container-Kommunikation nicht voll unterstützt, ein Problem für jede Multi-Service-Architektur aus Web-Server plus Datenbank. Erst macOS 26 glättet das.3 Wer also klassische Compose-Stacks lokal fährt, stößt früh an eine Grenze.

Kein Docker Compose, kein Swarm. Es gibt keine bestätigte Compose-Entsprechung und keine Orchestrierung im Docker-Sinn. Für Einzelcontainer und einzelne Linux-Umgebungen reicht das, für orchestrierte lokale Stacks nicht.

Speicher lässt sich nicht zurückgeben. The Register nennt als gravierendsten Mangel, dass der Speicher einer Container machine standardmäßig auf die Hälfte des System-RAM gesetzt ist und „cannot be released back to the host", ohne die VM neu zu starten.7 Auf einem Notebook mit 16 GB ist das spürbar.

Keine GUI-Apps, schlechte Auffindbarkeit. Grafische Linux-Anwendungen werden nicht unterstützt, für X11-Forwarding muss man XQuartz separat installieren. Und das Projekt liegt, so The Register, „tucked away on GitHub rather than being presented as part of macOS". Im Hands-on der Redaktion schlug außerdem das Swift-Debugging fehl, während .NET-Debugging funktionierte. Das Fazit dort: Apple „has work to do both on features and documentation".7

Angriff auf Docker oder auf Docker Desktop?

Hier lohnt die Präzision, die der „Bye Docker"-Schlagzeile fehlt.

Docker ist nicht eine Sache, sondern drei. Erstens ein Image-Format und ein Ökosystem aus Registries, also die Art, wie Software paketiert und verteilt wird. Zweitens eine CLI und ein Daemon, die Container lokal bauen und ausführen. Drittens Docker Desktop, das kommerzielle Mac- und Windows-Produkt, das diese Laufzeit bequem auf den Entwicklerrechner bringt.

Apple greift gezielt die dritte Schicht an und übernimmt die erste. Das OCI-Format bleibt, die Registries bleiben, Images aus der Docker-Welt laufen weiter. Was Apple ersetzt, ist die lokale Laufzeit auf dem Mac, also genau der Teil, für den Docker Geld verlangt und für den es technisch am meisten kritisiert wird. Das ist kein Angriff auf Docker als Standard, sondern auf Docker Desktop als Produkt.

Genau deshalb wäre „Apple tötet Docker" die falsche Schlussfolgerung. Container machine konkurriert in Wahrheit weniger mit dem Docker-Daemon als mit Lima, Colima, OrbStack und mit WSL als Vorbild. Es ist Apples Versuch, den lokalen Linux-Workflow auf dem Mac so nativ zu machen, dass die externe Abhängigkeit überflüssig wird. Für den einzelnen Entwickler mit zwei, drei Containern und dem Wunsch nach einer dauerhaften Linux-Umgebung ist das jetzt schon attraktiv. Für Teams mit orchestrierten Multi-Service-Stacks, Compose-Dateien und gemischter Hardware bleibt Docker bis auf Weiteres gesetzt.

Treffender als eine Kampfansage ist deshalb das Bild einer Verschiebung mit Ansage. Apple baut die Schicht, die am teuersten und am unbeliebtesten war, ins Betriebssystem ein, lässt den Rest des Ökosystems unangetastet und wartet ab. Wenn macOS 26 die Netzwerk-Lücke schließt und eine Compose-Entsprechung nachkommt, wird aus dem leisen Angriff ein lauter. Bis dahin ist Container machine das, was Apple selten so offen baut: ein Entwicklerwerkzeug, das genau einen Konkurrenten im Blick hat, ohne ihn beim Namen zu nennen.

  1. Apple Developer, „Discover container machines", WWDC26 Session 389. https://developer.apple.com/videos/play/wwdc2026/389/ ↩︎ ↩︎ ↩︎

  2. Apple, Projekt container auf GitHub (README und docs/technical-overview.md), Apache-2.0, macOS-26-Anforderung und Zitat zur Versionsunterstützung. https://github.com/apple/container ↩︎ ↩︎ ↩︎

  3. Janakiram MSV, „Apple Containers on macOS: A Technical Comparison With Docker", The New Stack. https://thenewstack.io/apple-containers-on-macos-a-technical-comparison-with-docker/ ↩︎ ↩︎

  4. Mehdi Ouazza, „Apple’s new Container engine (Bye Docker?)" — Quelle der Overhead-Größenordnungen (~200 MB pro Mikro-VM gegenüber ~3,5 GB der geteilten Docker-VM). https://blog.mehdio.com/p/apples-new-container-engine-bye-docker ↩︎

  5. „How to Configure Docker Desktop Memory and CPU Limits on macOS", OneUptime, Feb. 2026 — Default-Limit der Docker-Desktop-VM bei rund 50 % des Host-RAM, elastisch bis zur Grenze. https://oneuptime.com/blog/post/2026-02-08-how-to-configure-docker-desktop-memory-and-cpu-limits-on-macos/view ↩︎

  6. Apple Developer Documentation, „memoryBalloonDevices" (Virtualization framework) — nur partielle Ballooning-Unterstützung beim Zurückgeben von Speicher an den Host. https://developer.apple.com/documentation/virtualization/vzvirtualmachineconfiguration/memoryballoondevices ↩︎

  7. Tim Anderson, „Apple gives Mac devs a WSL-ish thing to call their own", The Register, 11. Juni 2026. https://www.theregister.com/devops/2026/06/11/apple-gives-mac-devs-a-wsl-ish-thing-to-call-their-own/5254153 ↩︎ ↩︎ ↩︎ ↩︎

  8. Docker Desktop Lizenz- und Preismodell (Docker Business 24 USD/Nutzer/Monat; kostenpflichtig ab 250 Mitarbeitern oder 10 Mio. USD Jahresumsatz). Zusammenfassung: DevsOperative, „Docker Desktop License Changes and Alternatives". https://www.devsoperative.com/blogs/docker-desktop-changes ↩︎

  9. „Docker Desktop Alternatives: Escape Licensing Fees & Boost Local Dev Performance", Qovery Blog — Überblick zu OrbStack, Podman, Colima, Lima und Rancher Desktop. https://www.qovery.com/blog/4-best-docker-desktop-alternatives ↩︎

David Krcek
David Krcek
AI, Apple Silicon, Coding-Experimente, SwiftUI und Haltung.
Weiterlesen