[NIXP] Docker 1.3: подпись образов, параметры безопасности и другие возможности

[Dmitry Shurupov]

Состоялся новый релиз свободной системы контейнеризации приложений — Docker 1.3 — с более чем 750 коммитами от 45 разработчиков. Новый выпуск включает множество изменений и улучшений. В первую очередь в новом релизе Docker Engine будет проверять происхождение и целостность всех элементов из официальных репозиториев при помощи цифровой подписи. Официальные репозитории содержат образы Docker, курируемые и оптимизируемые сообществом, — правильная подпись должна повысить уровень доверия. Возможность находится в разработке, поэтому сейчас при выявлении только выведет предупреждение и не повлияет на процесс установки; сторонние образы пока не проверяются. Во-вторых, для дополнения отладочной информации, которую предоставляют nsinit и nsenter, реализована возможность вызова дополнительных команд внутри контейнера при помощи "docker exec". Так, например, команда:

Код:

docker exec ubuntu_bash -it bash 

создаст сессию Bash внутри контейнера для получения дополнительной информации о процессе выполнения приложения. При этом разработчики настаивают на сохранении парадигмы: один контейнер — одно приложение. Помимо этого доработано поведение запуска контейнера. Раньше при вызове "docker run" происходило создание и запуск контейнера с выбранным образом. По просьбе пользователей эти задачи были разделены для более гибкого управления: теперь при помощи "docker create" можно создать контейнер, а команда "docker start" запустит его. Кроме того, в Docker 1.3 были введены новые возможности для обеспечения безопасности приложений. В CLI-интерфейс добавлен флаг "--security-opt", которые позволяет установить ярлыки и профили SELinux и AppArmor. Этой функциональностью можно воспользоваться, например, при необходимости задать политику, при которой контейнер будет слушать только порты Apache.

оригинал на www.nixp.ru