162
<轉載>Docker 企業版最受歡迎的 3 個新功能
我已經在 Docker 工作兩年多了,參與過每個版本的 Docker 企業版 (前稱 Docker Datacenter),在此之前還曾經有過一個 Docker 企業版 (EE)。我對這次的新版本比以往任何版本都更感興趣。
此版本的 Docker EE 有幾個新功能,可以幫助您簡化應用程序(無論是傳統應用程序還是雲端)的管理,可以隨時隨地運行,包括雲端或數據中心、虛擬機或物理機、Linux 或 Windows,現在還支持 IBM Z 大型機。
如果要討論所有的新功能,可能會需要較長時間。因此,我將隻討論 Docker EE 17.06 中我最喜歡的 3 個功能。
混合操作係統集群
Docker 和 Microsoft 去年秋季推出了對 Windows Server 容器的支持。這是一個重要的裏程碑,幫助 Docker 實現了對整個數據中心內所有應用程序的支持。
此次最新版本中,Docker 進一步擴展了混合操作係統的功能:IT 管理員現在可以構建和管理由 Linux、Windows Server 2016 和 IBM Z 大型機組成的集群 — 在同一管理界麵中。這意味著您可以從 Docker UCP 管理由 Windows 和 Linux 組件組成的應用程序。例如,您可以在 Linux 上運行 Web 前端,並將其連接到在 Windows 上運行的 Microsoft SQL Server。
Docker EE 17.06 是第一個“容器即服務”平台,為 Windows Server 容器提供生產級的整合管理和安全性支持。
增強的基於角色的訪問控製 (RBAC)
Docker EE 始終具有 RBAC 功能。在 Docker EE 17.06 中,我們增強了這些功能,以進一步豐富管理員對集群資源訪問進行管理的手段。
為了更好地理解 Docker EE 17.06 中 RBAC 的工作原理,我嚐試定義四個概念:
自定義角色:角色實質上是一組權限,用於定義某人可以對集群資源執行的操作。與以前的版本一樣,Docker EE 17.06 具有一組預定義的角色 (View Only、Full Control 等)。此版本中的新增功能是管理員能夠從幾十個單獨的權限中進行選擇,用於自定義角色。
注意:此圖僅顯示了 Docker EE 17.06 中所有各種操作權限的一小部分。
簡而言之,角色是指某人在 Docker EE 集群中可以做什麼。
對象:對象定義誰可以執行某些任務。對象可以是 Docker EE 用戶、團隊或組織。
集合:集合是 Docker EE 中的一個新概念。它們為管理員提供了一種將集群資源(服務、容器、卷、網絡、機密信息等)組合在一起的機製。管理員將特殊的 Docker 標簽 (com.docker.ucp.access.label) 分配給特定資源,以定義資源所屬的集合。
嵌套的集合將從其父集合繼承權限。您可以將集合理解為某人可以在什麼地方執行任務。
Grant:Grant 定義了誰(對象)可以在什麼地方(集合)做什麼(角色)。例如,您可以創建一個 grant,指定 "Dev Team" 對 "/Production" 集合中的資源獲取 "View Only" 訪問權限。
除了這些新功能外,Docker EE 17.06 高級版還將 RBAC 的概念擴展到節點。因此,現在管理員可以在團隊之間細分集群服務器,並確保這些專用資源隻能由已被明確授予權限的個人訪問。這些功能為管理員提供了幾乎無限的靈活性,以確保他們的集群資源的安全。
自動鏡像升級和不可變的存儲庫
這在技術上是兩個功能,但它們都很棒:自動鏡像升級和不可變的存儲庫。這兩種功能允許管理員進一步確保 Docker 鏡像的完整性。
自動鏡像升級可以讓 IT 人員定義一些條件,當符合這些條件時,會自動將鏡像從一個 Docker Trusted Registry (DTR) 存儲庫升級到另一個。
例如,今天您可能會創建一個新版本的應用程序,執行 QA,通過 QA 後,您手動將其升級到生產存儲庫。QA 過程可能包括一些步驟,如掃描漏洞或需要特定許可證的組件。
通過 Docker EE 17.06,您可以將此過程的各個部分自動化。您可以根據鏡像標記、鏡像中的漏洞數、某些軟件包或在鏡像中找到的許可證類型來定義條件。如果滿足這些條件,鏡像將自動從一個存儲庫升級到另一個。
此外,您還可以應用多個策略來創建複雜的自動升級方案。
不可變的存儲庫與鏡像升級 (以及現有的安全掃描和鏡像簽名功能) 一起使用, 幫助保護您的 Docker 鏡像的完整性。顧名思義,不可變的存儲庫可以讓管理員保護給定存儲庫中的鏡像標記不受更改。
例如,有人用給定的標記推送鏡像的某個版本,然後另外一個人使用相同的標記推入不同的版本來覆蓋該鏡像,此功能可以避免上述場景發生。使用不可變的存儲庫,可以確保您的鏡像不會被意外 (或有意) 覆蓋。
保護和管理更多應用程序
我說過我要討論的是最喜歡的三個新功能,但我必須補充一下我還喜歡的其他新功能:Docker 安全掃描現在支持 Windows 鏡像。Docker 安全掃描作為 Docker EE 高級版的一部分,當鏡像被推送到 DTR 時,可以自動掃描鏡像的常見漏洞。以前,此功能隻支持 Linux 鏡像。現在,Docker EE 17.06 高級版也支持 Windows 鏡像!
好了,今天我要分享的 Docker EE 17.06 新功能就這些(三個,四個,還是五個呢?)
感謝您抽出時間了解 Docker EE 17.06 的新功能。就像我說的,還有很多其他的新功能。例如,我沒有討論多階段構建以及新的 UI 界麵。
我希望您讀完這篇文章後,跟我一樣對 Docker EE 17.06 充滿期待。
文章轉載自:Docker官方公眾號,原文鏈接
Docker 企業版在中國由我們的戰略合作夥伴阿裏巴巴提供
聯係阿裏雲銷售人員獲取 Docker 企業版,或訪問阿裏雲市場在線購買
最後更新:2017-09-04 15:32:40