我已經在 docker 工作兩年多了,參與過每個版本的 docker 企業版 (前稱 docker datacenter),在此之前還曾經有過一個 docker 企業版 (ee)。我對這次的新版本比以往任何版本都更感興趣。
此版本的 docker ee 有幾個新功能,可以幫助您簡化應用程式(無論是傳統應用程式還是雲端)的管理,可以随時随地運作,包括雲端或資料中心、虛拟機或實體機、linux 或 windows,現在還支援 ibm z 大型機。
如果要讨論所有的新功能,可能會需要較長時間。是以,我将隻讨論 docker ee 17.06 中我最喜歡的 3 個功能。
混合作業系統叢集
docker 和 microsoft 去年秋季推出了對 windows server 容器的支援。這是一個重要的裡程碑,幫助 docker 實作了對整個資料中心内所有應用程式的支援。
此次最新版本中,docker 進一步擴充了混合作業系統的功能:it 管理者現在可以建構和管理由 linux、windows server 2016 和 ibm z 大型機組成的叢集 — 在同一管理界面中。這意味着您可以從 docker ucp 管理由 windows 和 linux 元件組成的應用程式。例如,您可以在 linux 上運作 web 前端,并将其連接配接到在 windows 上運作的 microsoft sql server。
docker ee 17.06 是第一個“容器即服務”平台,為 windows server 容器提供生産級的整合管理和安全性支援。
增強的基于角色的通路控制 (rbac)
docker ee 始終具有 rbac 功能。在 docker ee 17.06 中,我們增強了這些功能,以進一步豐富管理者對叢集資源通路進行管理的手段。
為了更好地了解 docker ee 17.06 中 rbac 的工作原理,我嘗試定義四個概念:
自定義角色:角色實質上是一組權限,用于定義某人可以對叢集資源執行的操作。與以前的版本一樣,docker ee 17.06 具有一組預定義的角色 (view only、full control 等)。此版本中的新增功能是管理者能夠從幾十個單獨的權限中進行選擇,用于自定義角色。
注意:此圖僅顯示了 docker ee 17.06 中所有各種操作權限的一小部分。
簡而言之,角色是指某人在 docker ee 叢集中可以做什麼。
對象:對象定義誰可以執行某些任務。對象可以是 docker ee 使用者、團隊或組織。
集合:集合是 docker ee 中的一個新概念。它們為管理者提供了一種将叢集資源(服務、容器、卷、網絡、機密資訊等)組合在一起的機制。管理者将特殊的 docker 标簽 (com.docker.ucp.access.label) 配置設定給特定資源,以定義資源所屬的集合。
嵌套的集合将從其父集合繼承權限。您可以将集合了解為某人可以在什麼地方執行任務。
grant:grant 定義了誰(對象)可以在什麼地方(集合)做什麼(角色)。例如,您可以建立一個 grant,指定 "dev team" 對 "/production" 集合中的資源擷取 "view only" 通路權限。
除了這些新功能外,docker ee 17.06 進階版還将 rbac 的概念擴充到節點。是以,現在管理者可以在團隊之間細分叢集伺服器,并確定這些專用資源隻能由已被明确授予權限的個人通路。這些功能為管理者提供了幾乎無限的靈活性,以確定他們的叢集資源的安全。
自動鏡像更新和不可變的存儲庫
這在技術上是兩個功能,但它們都很棒:自動鏡像更新和不可變的存儲庫。這兩種功能允許管理者進一步確定 docker 鏡像的完整性。
自動鏡像更新可以讓 it 人員定義一些條件,當符合這些條件時,會自動将鏡像從一個 docker trusted registry (dtr) 存儲庫更新到另一個。
例如,今天您可能會建立一個新版本的應用程式,執行 qa,通過 qa 後,您手動将其更新到生産存儲庫。qa 過程可能包括一些步驟,如掃描漏洞或需要特定許可證的元件。
通過 docker ee 17.06,您可以将此過程的各個部分自動化。您可以根據鏡像标記、鏡像中的漏洞數、某些軟體包或在鏡像中找到的許可證類型來定義條件。如果滿足這些條件,鏡像将自動從一個存儲庫更新到另一個。
此外,您還可以應用多個政策來建立複雜的自動更新方案。
不可變的存儲庫與鏡像更新 (以及現有的安全掃描和鏡像簽名功能) 一起使用, 幫助保護您的 docker 鏡像的完整性。顧名思義,不可變的存儲庫可以讓管理者保護給定存儲庫中的鏡像标記不受更改。
例如,有人用給定的标記推送鏡像的某個版本,然後另外一個人使用相同的标記推入不同的版本來覆寫該鏡像,此功能可以避免上述場景發生。使用不可變的存儲庫,可以確定您的鏡像不會被意外 (或有意) 覆寫。
保護和管理更多應用程式
我說過我要讨論的是最喜歡的三個新功能,但我必須補充一下我還喜歡的其他新功能:docker 安全掃描現在支援 windows 鏡像。docker 安全掃描作為 docker ee 進階版的一部分,當鏡像被推送到 dtr 時,可以自動掃描鏡像的常見漏洞。以前,此功能隻支援 linux 鏡像。現在,docker ee 17.06 進階版也支援 windows 鏡像!
好了,今天我要分享的 docker ee 17.06 新功能就這些(三個,四個,還是五個呢?)
感謝您抽出時間了解 docker ee 17.06 的新功能。就像我說的,還有很多其他的新功能。例如,我沒有讨論多階段建構以及新的 ui 界面。
我希望您讀完這篇文章後,跟我一樣對 docker ee 17.06 充滿期待。
docker 企業版在中國由我們的戰略合作夥伴阿裡巴巴提供