Выпуск cистемы управления контейнерной виртуализацией Docker 1.5

11.02.2015 11:32

Представлен релиз инструментария для управления изолированными Linux-контейнерами Docker 1.5, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. В частности, Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Код Docker написан на языке Go и распространяется под лицензией Apache 2.0.

Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Для создания контейнеров предлагается использовать libcontainer (обёртка над namespaces и cgroups), также возможно применение lxc, libvirt, systemd-nspawn и других систем изоляции. Для формирования контейнера достаточно загрузить базовый образ окружения (docker pull base), после чего можно запускать в изолированных окружениях произвольные приложения (например, для запуска bash можно выполнить "docker run -i -t base /bin/bash").

Из добавленных в Docker 1.5 новшеств можно отметить:

В демоне Docker обеспечена полная поддержка IPv6. Для назначения IPv6-адресов контейнерам добавлены новые флаги "--ipv6" и "--fixed-cidr-v6". В контейнерах обеспечена возможность резолвинга IPv6-адресов и установки сетевого моста к шлюзу fe80::1/64;
Возможность запуска контейнера с монтированием корневой файловой системы в режиме только для чтения, что позволяет ограничить область записи данных специальными разделами или не допустить изменение изначально предлагаемого набора данных. Для активации режима представлен флаг "--read-only".
Возможность наблюдения за изменением показателей работы контейнера в стиле утилиты top. Режим включается командой "docker stats" и позволяет наблюдать за такими характеристиками контейнеров, как загрузка процессора, интенсивность ввода/вывода, размер сетевого трафика и потребление памяти.
Возможность размещения сборочного сценария в файле с произвольным именем, отличающимся от имени по умолчанию (Dockerfile), что позволяет определить несколько альтернативных сборочных файлов для одного проекта (например, один для тестирования, другой для создания рабочего окружения). Определить файл, используемый для сборки, можно через опцию "docker build -f".
Опубликована первая версия спецификации, определяющей формат и конфигурацию образов файловой системы для контейнеров Docker.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41656-docker

Ключевые слова: docker

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.1, Аноним (-), 11:47, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как на убунту поставить?

2.3, chinarulezzz (ok), 12:14, 11/02/2015 [^] [^^] [^^^] [ответить]	–1 +/–
https://docs.docker.com/installation/ubuntulinux/

3.8, andrvaut (?), 13:23, 11/02/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Docker не только инструмент для создания "облачных" решений. Но и просто удобная система управления LXC. Т.е его можно использовать для запуска не доверенных приложений с минимальными геморром и накладными расходами.

4.10, Аноним (-), 13:45, 11/02/2015 [^] [^^] [^^^] [ответить]	+2 +/–
И доверенных тоже. Например, при конфликтах зависимостей, или просто чтобы не замусоривать основную систему.

5.37, Аноним (-), 19:57, 13/02/2015 [^] [^^] [^^^] [ответить]	+/–
> И доверенных тоже. Например, при конфликтах зависимостей, или просто чтобы не замусоривать основную систему. Это вообще главная идея нынешних гномерастов. Каждому приложению - свой контейнер.

4.13, vn971 (ok), 14:43, 11/02/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Можно какую-нибудь ссылку по поводу "запуска ** с минимальными геммором и накладными расходами"?

5.23, rhamdeew (?), 23:04, 11/02/2015 [^] [^^] [^^^] [ответить]	+/–
Например вот: http://mrdeveloper.ru/post-43/how-to-launch-gui-app-in-docker

6.24, vn971 (ok), 23:13, 11/02/2015 [^] [^^] [^^^] [ответить]	+/–
А, в этом смысле. Я почему-то (зря) подумал что речь о каком-то нестандартном способе запуска. Спасибо. Кстати, небольшое замечание: в предложенном варианте, если я правильно понял, workbench будет иметь доступ до X-сессии. Т.е. приложение будет видеть всё что набирается на клавиатуре, даже не в своём окне (см. команду 'xev'), видеть всё что графически отображается в этой же X-сессии, иметь доступ до d-bus и т.д.

7.25, vn971 (ok), 23:16, 11/02/2015 [^] [^^] [^^^] [ответить]	+/–
То есть, под стандартным полусекьюрным использованием докера для графики я бы имел в виду VNC, xephyr или что-то такое. Впрочем, для реально секьюрных вещей я бы докер вообще не рекомендовал, но это уже совсем другая история, и я уже писал личные взгляды на это в опеннете..

4.36, Аноним (-), 19:56, 13/02/2015 [^] [^^] [^^^] [ответить]

+/–

> Docker не только инструмент для создания "облачных" решений. Но и просто удобная
> система управления LXC. Т.е его можно использовать для запуска не доверенных
> приложений с минимальными геморром и накладными расходами.

> LXC
> не доверенных

LXC (и решения на его основе) хороши для управления ресурсами, быстрого развертывания, удобного клонирования, заморозки и т.д. Использовать _это_ для защиты - все равно что прикрываться от пуль сковородкой.

1.5, Alex (??), 12:49, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Красота! Пойду тестировать.

1.14, Sw00p aka Jerom (?), 15:59, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
disk i/o не вижу на картинке ))

2.38, Аноним (-), 20:00, 13/02/2015 [^] [^^] [^^^] [ответить]	+/–
Чтобы работал учет потребления какого-либо ресурса, должен быть загружен его cgroups-контроллер.

1.18, manster (ok), 17:19, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Будет зачётно, когда firefox в докере можно будет запускать без лишних манипуляций.

2.20, Eucalyptus (?), 18:32, 11/02/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Можно и в докере запускать, но есть большое НО: пока вы используете иксы, этому фаерфоксу один фиг будет доступно любое окно вместе с событиями нажатия клавиш.

3.31, manster (ok), 15:30, 12/02/2015 [^] [^^] [^^^] [ответить]

+/–

> Можно и в докере запускать, но есть большое НО: пока вы используете
> иксы, этому фаерфоксу один фиг будет доступно любое окно вместе с
> событиями нажатия клавиш.

т.е. полной изоляции можно пока добиться для консольных приложений, но когда это некритично - терпимо.

Графические контейнеры - это еще слишком экспериментально.

4.33, vn971 (ok), 01:39, 13/02/2015 [^] [^^] [^^^] [ответить]	+/–
Ну вы можете делать что-то типа VNC: http://stackoverflow.com/questions/16296753/can-you-run-gui-apps-in-a-docker- Тогда доступа до X-сессии нету. (Я всё равно не рекомендую доверять докеру в плане секьюрности, но упомянуть подход VNC стоит.)

4.35, Аноним (-), 19:54, 13/02/2015 [^] [^^] [^^^] [ответить]	+/–
> т.е. полной изоляции можно пока добиться для консольных приложений Рутковская в Qubes OS добилась полной изоляции и для графических приложений.

1.21, Аноним (-), 21:39, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
[x] Я элита и юзаю ванильный lxc.

2.27, anonymous (??), 00:32, 12/02/2015 [^] [^^] [^^^] [ответить]	+2 +/–
> [x] Я элита и юзаю ванильный lxc. На элитной убунте?

3.34, Аноним (-), 19:52, 13/02/2015 [^] [^^] [^^^] [ответить]	+/–
На элитном локалхосте же. А там не только элитная убунта может быть, но и супермегаэлитный арч.

1.22, вася (??), 22:42, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Systemd? Не нужно!

1.26, Аноним (-), 00:29, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Сорцы на их сайте не нашёл.

2.28, atnt (?), 05:52, 12/02/2015 [^] [^^] [^^^] [ответить]	+/–
Внизу ссылка на гитхаб. Рядом с ссылками на реддит, твиттер и т.д.

2.29, Аноним (-), 09:00, 12/02/2015 [^] [^^] [^^^] [ответить]	–4 +/–
Он на Go написан, ничего интересного.

1.30, Аноним (-), 12:20, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
не нужно

2.32, Анжелика (?), 22:52, 12/02/2015 [^] [^^] [^^^] [ответить]	+3 +/–
Одминам локлхоста вобще многое не нужно

3.39, Аноним (-), 20:00, 13/02/2015 [^] [^^] [^^^] [ответить]	+/–
> Одминам локлхоста вобще многое не нужно Им вообще винды достаточно, причем без обновлений и антивирусов.

1.40, Прохожий (??), 20:08, 13/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, а каковы будут накладные расходы если все приложения, в каком-нибудь дистрибутиве, оформить в виде docker-контейнеров...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: