Docker 1.3: подпись образов, параметры безопасности и другие возможности

Состоялся новый релиз свободной системы контейнеризации приложений — Docker 1.3 — с более чем 750 коммитами от 45 разработчиков.

Новый выпуск включает множество изменений и улучшений. В первую очередь в новом релизе Docker Engine будет проверять происхождение и целостность всех элементов из официальных репозиториев при помощи цифровой подписи. Официальные репозитории содержат образы Docker, курируемые и оптимизируемые сообществом, — правильная подпись должна повысить уровень доверия. Возможность находится в разработке, поэтому сейчас при выявлении только выведет предупреждение и не повлияет на процесс установки; сторонние образы пока не проверяются.

Во-вторых, для дополнения отладочной информации, которую предоставляют nsinit и nsenter, реализована возможность вызова дополнительных команд внутри контейнера при помощи «docker exec». Так, например, команда:

docker exec ubuntu_bash -it bash

создаст сессию Bash внутри контейнера для получения дополнительной информации о процессе выполнения приложения. При этом разработчики настаивают на сохранении парадигмы: один контейнер — одно приложение.

Помимо этого доработано поведение запуска контейнера. Раньше при вызове «docker run» происходило создание и запуск контейнера с выбранным образом. По просьбе пользователей эти задачи были разделены для более гибкого управления: теперь при помощи «docker create» можно создать контейнер, а команда «docker start» запустит его.

Кроме того, в Docker 1.3 были введены новые возможности для обеспечения безопасности приложений. В CLI-интерфейс добавлен флаг «--security-opt», которые позволяет установить ярлыки и профили SELinux и AppArmor. Этой функциональностью можно воспользоваться, например, при необходимости задать политику, при которой контейнер будет слушать только порты Apache.

Постоянная ссылка к новости: http://www.nixp.ru/news/12866.html. Никита Лялин по материалам Blog.Docker.Com.