Anwendungscontainer: Docker 1.10 bringt erweiterte Sicherheits- und Netzwerkfunktionen
Die Linux-Container-Plattform Docker integriert in Version 1.10 Seccomp, erweitert die Netzwerkfunktionen und bringt flexiblere Compose-Files, mit denen Entwickler komplexe Anwendungsszenarien nachbilden.
- Rainald Menge-Sonnentag
Insgesamt 100 Neuerungen bringt Docker in Version 1.10 ein Vierteljahr nach dem Erscheinen des Vorgängers 1.9. Laut dem Blog-Beitrag des Teams berücksichtigen die neuen Funktionen vor allem die Wünsche der Anwender. Zu den Highlights der neuen Engine gehört eine eindeutige Image ID, die den Inhalt des Containers repräsentieren und gewährleisten, dass er den erwarteten Inhalt hat. Das Team orientiert sich an den Commit-Hashes von Git. Neu ist der Befehl docker update, der Änderungen der Container-Ressourcen wie den verfügbaren Speicher ohne Neustart ermöglicht. Darüber hinaus kennt die Engine temporäre Dateisysteme und kann Disk-I/O künstlich beschränken.
Finetuning des Sicherheitskonzepts
(Bild: Docker)
Für eine verbesserte Sicherheit sorgen Seccomp-Profile. Der zugrunde liegende Secure computing mode ist eine Funktion des Linux-Kernels, der Systemaufrufe filtert und das Einrichten von Sandboxes ermöglicht. Das Standardprofil enthält eine Whitelist der erlaubten Aufrufe und blockt den Rest. Anwender können die Profile ihren Bedürfnissen anpassen. Die ebenfalls neuen User Namespaces bieten granulare Sicherheits-Policies. Mehrere Namensräume dürfen auf demselben Docker-Host existieren.
Auch die Netzwerkfunktionen hat das Team erweitert. Administratoren können den Verkehr durch den Parameter --internal beim Befehl network create begrenzen. Auch dürfen sie Containern eine maßgeschneiderte IP-Adresse zuweisen. Links wurden erweitert, sodass sie die Beziehungen zwischen den Containern widerspiegeln. Ein Container darf mehrere Hostnames als Aliases erhalten.
Frisch komponiert
Docker Compose erreicht Version 1.6 und erweitert die Syntax der compose-Dateien. Sie beschreiben jetzt nicht nur die Dienste, sondern auch die Netzwerke und Volumes. Statt ein Image mit docker-compose build zu erstellen, können Anwender es mit docker-compose pull aus einer Registry laden und sich so den lokalen Build-Prozess sparen.
Auch die anderen Komponenten von Docker hat das Team überarbeitet. Swarm 1.1 verbessert die Verwaltung der Knoten und kann optional Container bei Ausfall eines Nodes auf einem funktionierenden umverteilen. Machine 0.6 nutzt automatisch die Default-VM, wenn der Nutzer keine andere angibt.
Die Liste aller Neuerungen steht in den Release Notes. Docker steht auf GitHub und über die Docker Toolbox zum Download bereit. (rme)
