nixp.ru v3.0

25 ноября 2024,
понедельник,
01:16:16 MSK

17 октября 2014, 11:00

Docker 1.3: подпись образов, параметры безопасности и другие возможности

2
Docker 1.3 с улучшениями в безопасности и управлении контейнерами
Docker 1.3 с улучшениями в безопасности и управлении контейнерами
Иллюстрация с сайта Blog.Docker.Com

Состоялся новый релиз свободной системы контейнеризации приложений — Docker 1.3 — с более чем 750 коммитами от 45 разработчиков.

Новый выпуск включает множество изменений и улучшений. В первую очередь в новом релизе Docker Engine будет проверять происхождение и целостность всех элементов из официальных репозиториев при помощи цифровой подписи. Официальные репозитории содержат образы Docker, курируемые и оптимизируемые сообществом, — правильная подпись должна повысить уровень доверия. Возможность находится в разработке, поэтому сейчас при выявлении только выведет предупреждение и не повлияет на процесс установки; сторонние образы пока не проверяются.

Во-вторых, для дополнения отладочной информации, которую предоставляют nsinit и nsenter, реализована возможность вызова дополнительных команд внутри контейнера при помощи «docker exec». Так, например, команда:

docker exec ubuntu_bash -it bash


создаст сессию Bash внутри контейнера для получения дополнительной информации о процессе выполнения приложения. При этом разработчики настаивают на сохранении парадигмы: один контейнер — одно приложение.

Помимо этого доработано поведение запуска контейнера. Раньше при вызове «docker run» происходило создание и запуск контейнера с выбранным образом. По просьбе пользователей эти задачи были разделены для более гибкого управления: теперь при помощи «docker create» можно создать контейнер, а команда «docker start» запустит его.

Кроме того, в Docker 1.3 были введены новые возможности для обеспечения безопасности приложений. В CLI-интерфейс добавлен флаг «--security-opt», которые позволяет установить ярлыки и профили SELinux и AppArmor. Этой функциональностью можно воспользоваться, например, при необходимости задать политику, при которой контейнер будет слушать только порты Apache.

Постоянная ссылка к новости: http://www.nixp.ru/news/12866.html. Никита Лялин по материалам Blog.Docker.Com.

fb twitter vk
Ameise

Я так понял, он заменяет гипервизор и виртуальную ос?

Дмитрий Шурупов

Docker — надстройка к возможностям ядра (cgroups, namespaces) для удобного управления особыми контейнерами (работающими на том же ядре). Термин «гипервизор» обычно применяют к виртуализации другого уровня. Но можно сказать и так, поскольку и гипервизор, и виртуальную ОС реализует одно «общее» ядро.

Иллюстрация (из презентации «Hypervisor versus Linux Containers with Docker»).

Ameise

Спасибо.