Выпуск Docker 1.10. Перевод официальных образов Docker с Ubuntu на Alpine
Представлен релиз инструментария для управления изолированными Linux-контейнерами Docker 1.10, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. В частности, Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Код Docker написан на языке Go и распространяется под лицензией Apache 2.0.
Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Для создания контейнеров предлагается использовать libcontainer (обёртка над namespaces и cgroups), также возможно применение lxc, libvirt, systemd-nspawn, OpenVZ контейнеров с помощью библиотеки LibCT и других систем изоляции. Для формирования контейнера достаточно загрузить базовый образ окружения (docker pull base), после чего можно запускать в изолированных окружениях произвольные приложения (например, для запуска bash можно выполнить «docker run -i -t base /bin/bash»).
Из добавленных в Docker 1.10 новшеств можно отметить:
- Поддержка расширенных средств безопасности: Возможность использования пространств имён для идентификаторов пользователей (user namespaces) для формирования в контейнерах собственных наборов идентификаторов групп и пользователей (например, в каждом контейнере/пространстве имён может быть свой root). Применение профилей seccomp для фильтрации системных вызовов. Система плагинов авторизации, позволяющая выборочно ограничивать доступ к различных возможностям управляющего фонового процесса Docker;
- Обеспечена привязка идентификаторов образов контейнеров к содержимому данных образов, по аналогии с тем как коммиты в Git представляют содержимое внутри коммита. Указанное новшество позволяет гарантировать, что указав идентификатор образа будет запущено именно то содержимое, которое предполагается;
- В появившуюся в прошлом выпуске новую сетевую подсистему, предоставляющую средства для работы с виртуальными сетями и привязки к ним контейнеров, добавлена серия новых возможностей: поддержка связывания контейнеров с именами хостов в виртуальных сетях (--link db: production_postgres), задания видимых во всей сети псевдонимов контейнеров, создания внутренних сетей (флаг --internal), назначение контейнеру заданного IP-адреса, использование DNS для определения имён хостов контейнеров (вместо /etc/hosts), работающий со всеми современными ядрами Linux драйвер multi-host;
- До трёх раз увеличена скорость выполнения операции push, за счёт обработки слоёв в параллельном режиме. Операции poll также стали более быстрыми и надёжными, благодаря модернизации протокола и улучшению механизмов обработки сбоев;
- Возможность изменения ресурсов контейнера на лету, например, при помощи команды «docker update» теперь можно изменить настройки потребления памяти без перезапуска контейнера;
- Поддержка задания опций запуска управляющего фонового процесса в отдельном файле конфигурации и перезагрузки настроек без перезапуска демона;
- Обеспечена поддержка создания временных файловых систем через указание опции »--tmpfs» при запуске контейнера;
- Добавлена порция новых параметров для ограничения дисковой активности: --device-read-bps, --device-write-bps, --device-read-iops, --device-write-iops и --blkio-weight-device;
- Выпуск инструмента Docker Compose 1.6, позволяющего организовать работу распределённого на несколько хостов приложения, в работу которого вовлечено несколько контейнеров, запущенных в кластере на базе Docker Swarm. В новой версии упрощён запуск сложных распределённых приложений благодаря новым редствам для настройки сети и дисковых разделов. Разработчик может использовать единую конфигурацию для тестирования приложения на своей системе и для развёртывания в рабочем окружении со сложной конфигурацией сити и хранилища;
- Выпуск инструмента Machine 0.6, предназначенного для быстрого развёртывание хостов в гостевых окружениях систем виртуализации VirtualBox, VMware, AWS, Digital Ocean и Microsoft Azure. Осуществляет создание начинки сервера, установку на него Docker и настройку клиента для работы с данным сервером. В новой версии значительно повышена надёжность работы под управлением VirtualBox и в Windows. Если в команде не указано имя VM, она теперь будет применена к VM, выбранной по умолчанию. Добавлена новая команда «provision», позволяющая повторить развёртывание после устранения причин сбоя или изменения конфигурации;
- Выпуск инструмента Swarm 1.1, предоставляющего средства кластеризации для упакованных в контейнеры приложений. Swarm даёт возможность управлять кластером из нескольких хостов Docker (например, созданных с использованием Docker Machine) в форме работы с одним виртуальным хостом. Так как Swarm использует штатный Docker API, он может применяться для управления и другими поддерживающими данный API инструментами, такими как dokku, fig, krane, flynn, deis, docker-ui, shipyard, drone.io, Jenkins. В новой версии
Отдельно можно отметить работу по переводу Docker на использование компонентов минималистичного дистрибутива Alpine Linux для формирования официальных образов контейнеров, вместо ныне используемых пакетов Ubuntu. Alpine отличается задействованием системной библиотеки musl, набора утилит busybox и использованием при сборки патчей PaX и SSP (Stack Smashing Protection) для усиления безопасности. Использование Alpine позволит снизить размер системного окружения контейнера cо 188 Мб до 10 Мб. В настоящее время создатель Alpine Linux и уже перешёл на работу в Docker и занимается адаптацией дистрибутива для нужд контейнерной виртуализации.
© OpenNet