Docker 1.3: подпись образов, параметры безопасности и другие возможности

Состоялся новый релиз свободной системы контейнеризации приложений — Docker 1.3 — с более чем 750 коммитами от 45 разработчиков.

Новый выпуск включает множество изменений и улучшений. В первую очередь в новом релизе Docker Engine будет проверять происхождение и целостность всех элементов из официальных репозиториев при помощи цифровой подписи. Официальные репозитории содержат образы Docker, курируемые и оптимизируемые сообществом, — правильная подпись должна повысить уровень доверия. Возможность находится в разработке, поэтому сейчас при выявлении только выведет предупреждение и не повлияет на процесс установки; сторонние образы пока не проверяются.

Docker 1.3 с улучшениями в безопасности и управлении контейнерами / Иллюстрация с сайта Blog.Docker.Com

Во-вторых, для дополнения отладочной информации, которую предоставляют nsinit и nsenter, реализована возможность вызова дополнительных команд внутри контейнера при помощи "docker exec". Так, например, команда:

docker exec ubuntu_bash -it bash 

Помимо этого доработано поведение запуска контейнера. Раньше при вызове "docker run" происходило создание и запуск контейнера с выбранным образом. По просьбе пользователей эти задачи были разделены для более гибкого управления: теперь при помощи "docker create" можно создать контейнер, а команда "docker start" запустит его.

Кроме того, в Docker 1.3 были введены новые возможности для обеспечения безопасности приложений. В CLI-интерфейс добавлен флаг "--security-opt", которые позволяет установить ярлыки и профили SELinux и AppArmor. Этой функциональностью можно воспользоваться, например, при необходимости задать политику, при которой контейнер будет слушать только порты Apache.

Автор: Никита Лялин по материалам Blog.Docker.Com.