Docker Trusted Registry技术简介–分布式应用上的内容安全与协作
企业应用开发团队都在致力于发展自动化运维方法论,分布式应用架构不仅仅用于加速软件交付,也减少了开发缺陷。Docker能在构建分布式应用时减少因语言栈,平台工具及基础设施等异质性所带来的痛苦。Docker容器将应用及其依赖项一起打包并与原运行环境隔离,这样才能使应用更容易的在不同系统中移植。Docker镜像就是这些应用容器的构建文件,这些文件最终被构建成容器用于分享,更新及部署等。
在企业本地构建的Docker Trusted Registry,允许企业对本地或私有云中的Docker镜像文件进行存储及管理,用来满足企业安全性和规范性需求。作为Docker容器云平台的一部分,这种端对端的IT管理架构给予了开发和运维人员对应用足够的灵活性、移植性和管控能力,DUCP和DockerTrusted Registry为企业在本地或私有云中构建了内容管理及计划管理的平台支持。
特点
细粒度用户管理:基于角色的权限控制,可以建立权限组管理,可以使用LDAP/AD用户认证。
资源管理:内存的垃圾回收机制,CPU、内存及存储监控机制。
安全及规范性:本地部署,用户审计日志,基于Docker内容信任的镜像文件签名。
DockerTrusted Registry是Docker容器云的核心组件,它允许企业在本地或私有云中存储及管理他们的Docker镜像资源。DockerTrusted Registry与UCP都是Docker数据中心的一部分,都受到Docker的商业支持。DockerTrusted Registry会在你现有的基础设施及应用交付流中轻松部署,配置并集成。
注意:上图显示的是管理员的WEB控制台界面。你可以看到DockerTrusted Registry中整体情况,也可以看到主机(内存,存储,CPU)信息和容器状态(管控服务器,身份服务器,负载均衡器,日志整合器)信息。
部署灵活性
DockerTrusted Registry无论部署在本地或是私有云环境都会给你足够的灵活性,它将对其内部存储的Docker镜像文件进行全面管控。出于对数据保护和协作安全考虑,DockerTrusted Registry允许在你的防火墙内部进行管理和分发Docker镜像文件。
DockerTrusted Registry会很轻松的集成进你现有的基础设施中。DockerTrusted Registry支持以本地文件系统作为存储驱动,并且也支持像S3、Azure、Swift这种广泛的第三方云存储驱动。
注意:可以根据你的偏好选择存储后端驱动。可以选择如S3,Azure,Swift,Ceph或者本地文件系统。
易于使用和管理
优秀的工具如果不易于使用也是无用的。你可以快速的进行Docker Trusted Registry的一键式安装过程,以及进行基于图形界面的系统配置。另外,平滑版本更新机制会很容易获得最新的补丁和系统安装包,从而保证使用更具安全性的最新环境。升级为最新版本的安装包只需执行应用中的一键式安装过程。另外,管理员可以直接通过WEB管控界面监控系统健康情况。
注意:你可以在Docker Trusted Registry中搜索和浏览各种镜像资源
可以通过WEB界面管理你的Docker镜像及各种资源。用户可以从Docker Trusted Registry中的组织范围内进行搜索和浏览他所需要的镜像资源。在Docker Trusted Registry中可以建立公共及私有资源存储库,管理员可以为用户获得指定资源分配访问权限。为了提高存储效率,Docker Trusted Registry允许你对无用资源做删除标记,之后这些资源将不会出现在用户的UI界面中。这些被标记为删除标签的资源将被垃圾回收机制日后从硬盘中删除。你可以自定义垃圾回收的时间周期和频率从而达到最好的运行效果。
内容安全机制
Docker Trusted Registry允许你手动的控制哪些用户可以获取Docker镜像资源以及他们访问资源的权限类型。LDAP/AD集成选项意味着当用户访问Docker Trusted Registry时,可以直接依靠属组织的目录服务进行用户身份认证。可以配置各种角色的权限级别,比如可以配置管理员角色,也可以在组织内部对用户进行只读许可分组,通过建立组织体系为用户分组以及为可用资源分配访问许可。使用Docker的内容授信机制,管理员可以对镜像资源附加安全标记,该机制会保证系统中运行的是这些镜像资源的最新版本。Docker Trusted Registry也会存储用户审计日志信息,这可用来跟踪所有发生在系统中的用户活动状态。
注意:Docker Trusted Registry提供了灵活的配置选项用来满足你团队的需求。Docker Trusted Registry允许配置安全选项,上传证书,设置SSL身份认证及集成现有的目录服务等操作。可以依靠LDAP服务器为开发者快速分配角色权限,用来完成用户登录Docker Trusted Registry的身份验证过程。可以通过制定严格的安全策略彻底的增加对Docker镜像资源的访问安全性。
注意:Docker Trusted Registry具有开箱即用的Docker资源授信机制,允许管理员去标记镜像资源。在本图中,你可以看到绿色的“signed”标签,这将给与运维人员在生产环境中选择运行指定镜像资源的能力,也增加了镜像资源运行的安全性,这将确保最新的镜像资源被使用。
Docker数据中心订阅机制
Docker数据中心订阅机制能够让企业用Docker技术去构建云平台。利用Docker的本地集成工具可以创建CaaS平台的基础环境,允许企业省时以及无缝的将应用程序从开发环境移植到生产环境中。
Docker数据中心是开源软件、商业软件集成的解决方案,对于构建私有的Docker数据中心基础环境,你将获得全部的Docker API服务支持,配置验证支持及商业支持。这种构建于CaaS基础设施中的可插拔低耦合架构在计算、网络、和存储各环节都提供足够的灵活性,从而免去直接针对应用代码的困扰。Docker数据中心将尽可能的利用企业现有技术投入。开放的API服务接口允许将现有系统,例如LDAP/AD,监控及日志等系统,轻松的集成入你的Docker数据中心。
名称 | DUCP | Docker Trusted Registry | 商业支持 |
描述 | 商业级本地服务,用于在本地及私有云环境中管理和部署容器化分布式应用。其安全特点诸如对LDAP/AD的集成,角色权限管控等,允许企业为应用及资源的管控针对IT团队制定相应的安全规范。 | 准商业级本地服务,主要用来对镜像资源进行存储,交付及安全防护等管理。Docker Trusted Registry给予企业的开发人员及系统管理员针对应用进行构建、加载、运行等能力。 | 用户会收到对于Docker引擎的商业化支持。Docker引擎商业版是在开源引擎的基础上构建的C/S结构引擎,而且增加了Docker团队的专业技术支持。 |
特点 | •图形化管理系统,可对应用,容器,网络节点,镜像资源及存储介质等进行管理。
•对用户及事件进行监控和日志管理。 •开箱即用的高可用机制 •LDAP/AD身份认证集成 •针对团队的角色权限管控 •SSO机制及在DTR上的镜像资源推拉操作。 •开箱即用的数据安全传输层协议保护 •集成了Docker原生技术栈,如Swarm,Compose,C/S结构引擎,及DTR等。 •全方位的Docker API接口兼容性 |
•集成了LDAP/AD的身份认证机制,针对管理员及用户的WEB管控系统
•角色权限管控 •针对镜像资源的内容授信标记及验证机制 •释放内存的垃圾回收器 •用户审计日志管理 |
•直接联系支持
•错误及补丁修正 •热补丁及热修复机制 •可预见的Docker规划路线图 •长期的版本支持 •缺陷修正机制 •对配置的审批确认机制 |
Docker原始团队技术支持
对于Docker数据中心的用户,企业不仅将获得开源社区的支持,而且会直接收到来自Docker原始团队的技术支持。该团队成员都是Docker项目的主要贡献者及顶层维护者。Docker数据中心的用户将获得如下支持:
- 反馈机制-利用私有通讯频道对用户进行直接的团队技术支持。Docker技术团队会提供错误发现及修复服务,用来使企业更轻松的获得保障基础设施环境高效的运行时间。
- 安全机制-Docker团队将对IT基础设施环境内发现的安全性缺陷进行标注和发布修改补丁,也可以对配置验证进行热修复。
- 稳定机制-Docker团队将按照Docker的产品路线图为用户提供系统预览版,以及长期的版本支持,缺陷修复,运维运维系统验证及完全的Docker API接口支持。
从今天开始
Docker数据中心订阅机制将提供两种技术支持模式。你可以选择“商业日支持模式”提供的每天12小时技术支持,或者选择“商业紧急支持模式”提供的全年365天及全天24小时技术支持。
Docker数据中心订阅机制为你本地及私有云环境的CaaS平台提供了全方位端对端的支持,让你获得Docker专业产品团队世界级的技术支持,这将是您企业的保障。
原文《Docker TrustedRegistry.pdf》
评论前必须登录!
注册