Software::Container
Docker 1.8 führt signierte Images ein
Die Container-Virtualisierungsplattform Docker ist in Version 1.8 mit zahlreichen Verbesserungen erschienen. Zu den größten Neuerungen zählt die Signatur von Images, um deren Echtheit zu verifizieren, was Docker Content Trust genannt wird.
Docker
Funktionsschema von Docker Content Trust
Die größte Neuerung in
Docker 1.8 nennt sich Docker Content Trust. Mit dieser in der Engine implementierten Erweiterung werden Docker-Images mit dem privaten Schlüssel des Entwicklers des Images signiert, wenn dieser das Image in eine Registry hochlädt, um es anderen Benutzern zur Verfügung zu stellen. Wenn ein Benutzer das Image herunterlädt, verifiziert seine lokale Docker-Installation die Signatur und stellt damit sicher, dass sich das Image genau in dem Zustand befindet, wie es hochgeladen wurde, dass es aktuell ist und nicht manipuliert wurde.
Docker Content Trust entwickelte die Mechanismen zur Signatur und Verifikation nicht neu, sondern baut auf The Update Framework auf, das mit Unterstützung der National Science Foundation (NSF) entwickelt wurde in in mehreren freien Projekten wie Python zum Einsatz kommt oder als Prototyp implementiert wurde. Das für die Signatur zuständige Werkzeug nennt sich Notary. Laut Docker ist es für die Benutzer von Images nicht nötig, neue Kommandos zu lernen, da die Kommandos der Docker-Engine nun automatisch die Signatur berücksichtigen.
Die Funktionsweise von Docker Content Trust entspricht somit der Signatur von Binärpaketen in den Repositorien der Linux-Distributionen. Da Docker Content Trust noch neu ist, ist es derzeit optional und muss explizit aktiviert werden.
Neu in Docker 1.8 ist auch die Docker Toolbox für Mac OS X und MS Windows, die alle Komponenten enthält, um Docker zu installieren. In der Docker-Engine sind nun Volume-Plugins enthalten, die in der letzten Version noch experimentell waren. Mit diesen Plugins lassen sich Speichersysteme und Volumes aller Art als Partitionen in Docker-Images mounten. Dazu zählen alle Linux-Dateisysteme ebenso wie Netzwerk-Dateisysteme. Docker-Partner wie Blockbridge, Ceph, ClusterHQ, EMC und Portworx stellen zusätzliche Plugins bereit.
Außerdem erhielt die Engine zusätzliche Methoden, um Logs aus den Containern auf das Hostsystem zu bekommen, und einen Treiber zum Rotieren von Logdateien. Weitere Neuerungen sind unter anderem das Kopieren von Dateien vom Host in den Container über das Kommando docker cp, Änderung der Kommandosyntax für das Starten des Daemons, Formatierungsmöglichkeiten für das Kommando docker ps und die Möglichkeit, alternative Konfigurationsverzeichnisse anzugeben. Weitere Einzelheiten findet man in den Anmerkungen zur Veröffentlichung.
Zugleich mit Docker 1.8 wurde auch die Docker Registry 2.1 veröffentlicht, die die Geschwindigkeit steigern soll und mit drei neuen Funktionen aufwartet. So können die Inhalte der Registry jetzt über die Programmierschnittstelle aufgelistet werden. Neue Speichertreiber für OpenStack Swift, Ceph Rados und Aliyun OSS kamen hinzu, und das Löschen der Referenzen auf Images und Ebenen ist nun ebenfalls über die Programmierschnittstelle möglich. Auch hier stehen Anmerkungen zur Veröffentlichung zur Verfügung.
Auch die Orchestrierung wurde nach Projektangaben beschleunigt. Zudem können in Compose-Dateien Namen für die Container vergeben werden, und eine Konfiguration kann von der Standardeingabe gelesen werden, was für die Automatisierung mittels Skripten und anderen Programmen gedacht ist. Einzelheiten nennen auch hier die Anmerkungen zur Veröffentlichung.
){kind=small}
