Примечания к выпуску Docker Engine 1709 новое в Docker контейнерах

В сентябре 2017 года команда Docker выпустила новую версию Docker Engine 1709, которая вносит множество улучшений в работу с контейнерами. В данной статье мы рассмотрим основные нововведения и улучшения, которые появились в Docker Engine 1709.

Одним из главных нововведений Docker Engine 1709 является возможность использования нового формата файла-образа контейнера – OCI (Open Container Initiative). Этот формат является стандартным для всех контейнерных технологий и обеспечивает совместимость между различными реализациями контейнеров. Теперь Docker Engine 1709 поддерживает OCI формат, что упрощает работу с контейнерами и обеспечивает их переносимость.

Еще одним значительным улучшением Docker Engine 1709 является новый механизм сборки контейнерных образов – многостадийная сборка (multistage build). Этот механизм позволяет создавать более компактные и оптимизированные образы контейнеров, так как он позволяет использовать различные этапы сборки, избегая включения в итоговый образ лишних компонентов. Такой подход позволяет ускорить процесс сборки образов и уменьшить их размер.

Авторы Docker Engine 1709 сделали акцент на безопасность и обеспечили усиленную защиту от атак с использованием новых возможностей, таких как белый список системных вызовов и контроль на уровне ядра Linux. Благодаря этим усовершенствованиям, Docker Engine 1709 снижает риск возможных уязвимостей и обеспечивает повышенный уровень безопасности при работе с контейнерами.

Это лишь некоторые из нововведений, которые предлагает Docker Engine 1709. С каждым новым релизом команда Docker продолжает развивать технологию контейнеров и предлагать новые возможности для улучшения процесса разработки и развертывания приложений.

Изменения в Docker Engine 17.09

Выпуск Docker Engine 17.09 принес множество новых возможностей и улучшений, которые значительно упростят работу с Docker контейнерами. Ниже перечислены основные изменения, внесенные в этот релиз:

• Добавлен поддержку многоуровневой сборки контейнеров (multi-stage builds). Это позволяет создавать более легковесные образы контейнеров, путем использования одного образа для сборки приложения и другого образа для развертывания. Такой подход существенно сокращает размер образов и время сборки.
• Введена поддержка secrets (секретов). Теперь можно хранить конфиденциальные данные, такие как пароли или ключи, в зашифрованном виде внутри Docker Swarm, и автоматически использовать их в контейнерах. Благодаря этому упрощается управление конфиденциальной информацией и повышается безопасность.
• Улучшена поддержка Windows контейнеров. Docker Engine 17.09 предоставляет более надежную и эффективную работу с контейнерами на ОС Windows. Были устранены множество ошибок и добавлены новые функции, позволяющие использовать все возможности Docker на платформе Windows.

Кроме указанных изменений, в Docker Engine 17.09 были внесены и другие улучшения и исправления ошибок. Этот релиз открывает новые возможности для разработчиков и администраторов, позволяя им работать с Docker контейнерами еще более эффективно и удобно.

Усовершенствование безопасности

В выпуске Docker Engine 1709 были внесены значительные улучшения в области безопасности контейнеров. Эти улучшения были внедрены с целью уменьшить риски и повысить защиту данных и приложений, работающих в контейнерах Docker.

Одним из ключевых усовершенствований является введение возможности назначения пользовательского пространства имен процессов для контейнеров. Теперь каждый контейнер может иметь свое собственное пространство имен процессов, что повышает изоляцию контейнеров друг от друга и от хостовой системы.

Другим важным усовершенствованием является возможность использования AppArmor и Seccomp в контейнерах Docker. AppArmor позволяет ограничивать доступ контейнера только к разрешенным ресурсам и операциям, что снижает возможность злоумышленников или вредоносного кода использовать контейнер в своих целях. Seccomp позволяет фильтровать системные вызовы, что уменьшает площадку атаки для вредоносного кода.

Кроме того, в Docker Engine 1709 была добавлена функция управления доступом к ресурсам хостовой системы с помощью меток SELinux. Теперь можно контролировать, какие контейнеры имеют доступ к каким ресурсам, и настраивать политики безопасности для каждого контейнера отдельно.

Наконец, были улучшены возможности мониторинга и логирования в Docker Engine 1709. Теперь можно лучше отслеживать активность в контейнерах и быстро реагировать на возможные угрозы безопасности.

Расширенные возможности управления доступом к контейнерам

В выпуске Docker Engine 1709 были добавлены новые возможности для управления доступом к контейнерам, которые помогут повысить безопасность и контроль над вашей инфраструктурой.

Основные новые функции включают:

• Поддержка шифрования сетевых соединений с помощью TLS.
• Возможность настройки доступа к контейнерам через внешние IP-адреса.
• Поддержка разделения прав доступа между различными пользовательскими группами.

Шифрование сетевых соединений с помощью TLS обеспечивает защищенную передачу данных между контейнерами и хостовой системой. Это может быть особенно полезно при работе с конфиденциальной информацией или передаче данных через ненадежные сети.

Когда вам необходимо настроить доступ к контейнерам через внешние IP-адреса, Docker Engine 1709 предоставляет инструменты для простой настройки маршрутизации и проброса портов. Теперь вы сможете легко управлять доступом к контейнерам и предоставлять доступ из внешней сети.

Новая возможность разделения прав доступа между различными пользовательскими группами позволяет лучше контролировать доступ к контейнерам и управлять разрешениями на запуск и остановку контейнеров. Это особенно полезно в средах с множеством пользователей или в организациях, где требуется строгий контроль доступа к ресурсам.