Docker trusted registration
企业应用开发团队都在致力于发展自动化运维方法论,分布式应用架构不仅仅用于加速软件交付,也减少了开发缺陷。Docker能在构建分布式应用时减少因语言栈,平台工具及基础设施等异质性所带来的痛苦。Docker容器将应用及其依赖项一起打包并与原运行环境隔离,这样才能使应用更容易的在不同系统中移植。Docker镜像就是这些应用容器的构建文件,这些文件最终被构建成容器用于分享,更新及部署等。
在企业本地构建的Docker Trusted Registry,允许企业对本地或私有云中的Docker镜像文件进行存储及管理,用来满足企业安全性和规范性需求。作为Docker容器云平台的一部分,这种端对端的IT管理架构给予了开发和运维人员对应用足够的灵活性、移植性和管控能力,DUCP和DockerTrusted Registry为企业在本地或私有云中构建了内容管理及计划管理的平台支持。
特点
细粒度用户管理:基于角色的权限控制,可以建立权限组管理,可以使用LDAP/AD用户认证。
资源管理:内存的垃圾回收机制,CPU、内存及存储监控机制。
安全及规范性:本地部署,用户审计日志,基于Docker内容信任的镜像文件签名。
DockerTrusted Registry是Docker容器云的核心组件,它允许企业在本地或私有云中存储及管理他们的Docker镜像资源。DockerTrusted Registry与UCP都是Docker数据中心的一部分,都受到Docker的商业支持。DockerTrusted Registry会在你现有的基础设施及应用交付流中轻松部署,配置并集成。
注意:上图显示的是管理员的WEB控制台界面。你可以看到DockerTrusted Registry中整体情况,也可以看到主机(内存,存储,CPU)信息和容器状态(管控服务器,身份服务器,负载均衡器,日志整合器)信息。
部署灵活性
DockerTrusted Registry无论部署在本地或是私有云环境都会给你足够的灵活性,它将对其内部存储的Docker镜像文件进行全面管控。出于对数据保护和协作安全考虑,DockerTrusted Registry允许在你的防火墙内部进行管理和分发Docker镜像文件。
DockerTrusted Registry会很轻松的集成进你现有的基础设施中。DockerTrusted Registry支持以本地文件系统作为存储驱动,并且也支持像S3、Azure、Swift这种广泛的第三方云存储驱动。
注意:可以根据你的偏好选择存储后端驱动。可以选择如S3,Azure,Swift,Ceph或者本地文件系统。
易于使用和管理
优秀的工具如果不易于使用也是无用的。你可以快速的进行Docker Trusted Registry的一键式安装过程,以及进行基于图形界面的系统配置。另外,平滑版本更新机制会很容易获得最新的补丁和系统安装包,从而保证使用更具安全性的最新环境。升级为最新版本的安装包只需执行应用中的一键式安装过程。另外,管理员可以直接通过WEB管控界面监控系统健康情况。
注意:你可以在Docker Trusted Registry中搜索和浏览各种镜像资源
可以通过WEB界面管理你的Docker镜像及各种资源。用户可以从Docker Trusted Registry中的组织范围内进行搜索和浏览他所需要的镜像资源。在Docker Trusted Registry中可以建立公共及私有资源存储库,管理员可以为用户获得指定资源分配访问权限。为了提高存储效率,Docker Trusted Registry允许你对无用资源做删除标记,之后这些资源将不会出现在用户的UI界面中。这些被标记为删除标签的资源将被垃圾回收机制日后从硬盘中删除。你可以自定义垃圾回收的时间周期和频率从而达到最好的运行效果。
内容安全机制
Docker Trusted Registry允许你手动的控制哪些用户可以获取Docker镜像资源以及他们访问资源的权限类型。LDAP/AD集成选项意味着当用户访问Docker Trusted Registry时,可以直接依靠属组织的目录服务进行用户身份认证。可以配置各种角色的权限级别,比如可以配置管理员角色,也可以在组织内部对用户进行只读许可分组,通过建立组织体系为用户分组以及为可用资源分配访问许可。使用Docker的内容授信机制,管理员可以对镜像资源附加安全标记,该机制会保证系统中运行的是这些镜像资源的最新版本。Docker Trusted Registry也会存储用户审计日志信息,这可用来跟踪所有发生在系统中的用户活动状态。
注意:Docker Trusted Registry提供了灵活的配置选项用来满足你团队的需求。Docker Trusted Registry允许配置安全选项,上传证书,设置SSL身份认证及集成现有的目录服务等操作。可以依靠LDAP服务器为开发者快速分配角色权限,用来完成用户登录Docker Trusted Registry的身份验证过程。可以通过制定严格的安全策略彻底的增加对Docker镜像资源的访问安全性。
注意:Docker Trusted Registry具有开箱即用的Docker资源授信机制,允许管理员去标记镜像资源。在本图中,你可以看到绿色的“signed”标签,这将给与运维人员在生产环境中选择运行指定镜像资源的能力,也增加了镜像资源运行的安全性,这将确保最新的镜像资源被使用。
Docker数据中心订阅机制
Docker数据中心订阅机制能够让企业用Docker技术去构建云平台。利用Docker的本地集成工具可以创建CaaS平台的基础环境,允许企业省时以及无缝的将应用程序从开发环境移植到生产环境中。
Docker数据中心是开源软件、商业软件集成的解决方案,对于构建私有的Docker数据中心基础环境,你将获得全部的Docker API服务支持,配置验证支持及商业支持。这种构建于CaaS基础设施中的可插拔低耦合架构在计算、网络、和存储各环节都提供足够的灵活性,从而免去直接针对应用代码的困扰。Docker数据中心将尽可能的利用企业现有技术投入。开放的API服务接口允许将现有系统,例如LDAP/AD,监控及日志等系统,轻松的集成入你的Docker数据中心。
名称DUCPDocker Trusted Registry商业支持描述商业级本地服务,用于在本地及私有云环境中管理和部署容器化分布式应用。其安全特点诸如对LDAP/AD的集成,角色权限管控等,允许企业为应用及资源的管控针对IT团队制定相应的安全规范。准商业级本地服务,主要用来对镜像资源进行存储,交付及安全防护等管理。Docker Trusted Registry给予企业的开发人员及系统管理员针对应用进行构建、加载、运行等能力。用户会收到对于Docker引擎的商业化支持。Docker引擎商业版是在开源引擎的基础上构建的C/S结构引擎,而且增加了Docker团队的专业技术支持。特点•图形化管理系统,可对应用,容器,网络节点,镜像资源及存储介质等进行管理。•对用户及事件进行监控和日志管理。•开箱即用的高可用机制•LDAP/AD身份认证集成•针对团队的角色权限管控•SSO机制及在DTR上的镜像资源推拉操作。•开箱即用的数据安全传输层协议保护•集成了Docker原生技术栈,如Swarm,Compose,C/S结构引擎,及DTR等。•全方位的Docker API接口兼容性•集成了LDAP/AD的身份认证机制,针对管理员及用户的WEB管控系统•角色权限管控•针对镜像资源的内容授信标记及验证机制•释放内存的垃圾回收器•用户审计日志管理•直接联系支持•错误及补丁修正•热补丁及热修复机制•可预见的Docker规划路线图•长期的版本支持•缺陷修正机制•对配置的审批确认机制
Docker原始团队技术支持
对于Docker数据中心的用户,企业不仅将获得开源社区的支持,而且会直接收到来自Docker原始团队的技术支持。该团队成员都是Docker项目的主要贡献者及顶层维护者。Docker数据中心的用户将获得如下支持:
- 反馈机制-利用私有通讯频道对用户进行直接的团队技术支持。Docker技术团队会提供错误发现及修复服务,用来使企业更轻松的获得保障基础设施环境高效的运行时间。
- 安全机制-Docker团队将对IT基础设施环境内发现的安全性缺陷进行标注和发布修改补丁,也可以对配置验证进行热修复。
- 稳定机制-Docker团队将按照Docker的产品路线图为用户提供系统预览版,以及长期的版本支持,缺陷修复,运维运维系统验证及完全的Docker API接口支持。
Orchestration工具一般涵蓋了三大類功能,包括了服務管理機制、排程機制和資源管理機制,Orchestration工具可以將Web應用和各類服務和Container Runtime層隔離,來簡化複雜的容器叢集管理難題。
更進一步的功能細節,排程工具要做到置換、擴充/複製、重新排程、升級、降級、資源蒐集等。而資源管理機制則要能管CPU、記憶體、GPU、儲存(Volumes)、網路埠、IP位址等資源,而服務管理機制則要做到如標記(Labels)、命名空間或群組(Groups/Namespaces)、相依性(Dependencies)、負載平衡(Load Balancing)、可讀性檢查(Readiness Checking)等。另外,Orchestration工具最好還要能實作出非功能性的能力,例如擴充性、可用性、彈性、使用友善、移植性、安全性等。「最終就是要用Orchestration工具來建立一個高度可程式化的基礎架構(Programmable Infrastructure)。