Новый движок Docker


Docker выпустил новую версию Docker Engine 1.3 и подписал соглашение о партнерстве с Microsoft, чтобы добавить технологию открытых контейнеров в следующие Windows Server и Azure.

Docker — это открытая платформа, которую вы можете использовать для создания, доставки и запуска распределенных приложений. Он предоставляет способ использования контейнеров, по сути, легких виртуальных сред, которые находятся поверх экземпляра операционной системы и позволяют запускать изолированное приложение. Преимущество Docker заключается в том, что вы можете запускать одно и то же приложение на разном оборудовании и в разных операционных системах.

Он состоит из среды выполнения и инструмента упаковки, Docker Engine и Docker Hub, облачной службы для совместного использования приложений и автоматизации рабочих процессов. До сих пор он был доступен только для приложений на базе Linux.

Соглашение Microsoft означает, что Docker Engine будет работать со следующей версией Windows Server, а Docker Hub будет интегрирован непосредственно в Microsoft Azure. Microsoft теперь будет поддерживать открытые API оркестрации Docker, и компании будут сотрудничать в рамках модели контейнеров с несколькими Docker.

Бен Голуб, генеральный директор Docker, говорит, что за последние несколько месяцев команда добилась значительного прогресса в создании многоконтейнерных распределенных приложений, а также добилась прогресса в отношении других важнейших возможностей оркестровки, включая выделение ресурсов и управление хостами Docker, создание кластеров Docker. хосты и сети между контейнерами Docker.

Обе компании планируют работать с инструментами инфраструктуры для многоконтейнерных приложений, таких как Kubernetes, Mesos и Helios, чтобы предоставить единый интерфейс Docker, который предоставляет разработчикам возможности многоплатформенной оркестровки с использованием Dockerized контента как из Linux, так и из Windows.

Одна вещь, которая неясна, — это эффект, который это окажет на Microsoft Drawbridge, исследовательский проект, над которым Microsoft работает, чтобы обеспечить виртуализацию для изолированной программной среды приложений.

Между тем, в Docker Engine 1.3 есть проверка цифровой подписи репозиториев, возможность запускать новый процесс внутри вашего контейнера Docker, настройка жизненных циклов контейнеров и новые параметры безопасности.

Проверка цифровой подписи означает, что Docker Engine автоматически проверяет все официальные репозитории с использованием цифровых подписей. Официальные репозитории — это образы Docker, которые курируются и оптимизируются сообществом Docker и предоставляют лучшие строительные блоки для сборки распределенных приложений. Добавление цифровой подписи делает использование изображения более безопасным, так как у вас будет доказательство того, что оно не было подделано. В сообщении в блоге о новой версии Docker говорится, что это:

«Это первая из нескольких функций, которые мы представим в ближайшие месяцы как для издателей, так и для потребителей репозиториев, функций, которые будут поддерживать аутентификацию издателя, целостность и авторизацию изображений, управление PKI и многое другое».

Первоначальная версия проверки цифровой подписи предупреждает вас только в том случае, если официальный образ поврежден или подделан, но вы все равно можете запустить его. Неофициальные изображения не будут проверяться, но планируется, что это изменится в будущих версиях. В то же время совет не полагаться на проверку для серьезной безопасности.

Второе улучшение новой версии движка — это возможность внедрять новые процессы. Если вам нужно посмотреть на приложение во время его работы, есть новый инструмент под названием docker exec, который позволяет запускать процесс внутри вашего контейнера Docker через Docker API и интерфейс командной строки. Это разработано, чтобы предложить более простую и более интегрированную альтернативу таким инструментам, как nsinit и nsenter.

Улучшения безопасности в новом выпуске позволяют вам устанавливать собственные метки и профили SELinux и AppArmor, чтобы вы могли указать доступ и права для процесса контейнера. Ограничивая доступ и права хоста, вы можете уменьшить площадь потенциальных угроз.

Последним улучшением является использование boot2docker в Mac OS X. Проблемы при совместном использовании каталогов между операционной системой и контейнерами были решены, и если вы используете Docker 1.3 с соответствующей версией boot2docker, тома, подключенные к хосту, теперь должны работать так, как вы от них ожидаете.


Добавить комментарий