DevSecOps

6 set, 2017

Meus três novos recursos favoritos na edição empresarial do Docker

Publicidade

Estive na Docker há pouco mais de dois anos e trabalhei com todas as versões da Edição Empresarial do Docker (née Docker Datacenter), já que antes havia uma Edição Empresarial do Docker (EE). Estou mais entusiasmado com esta nova versão do que com qualquer versão anterior.

Existem vários recursos novos que irão facilitar o gerenciamento das suas aplicações(tanto tradicionais como nativos da nuvem) onde quer que precise que sejam executados: na nuvem ou no centro de dados, virtual ou físico, Linux ou Windows – e agora mesmo em IBM Z mainframes.

Levaria muito tempo para discutir todos os novos recursos. Então, com isso em mente, vou falar sobre os meus três recursos favoritos no Docker EE 17.06.

 

Clusters Hybrid-OS

Docker e Microsoft apresentaram suporte para os contêineres do Windows Server no último outono. Este foi um marco importante que ajudou Docker a se mover para o objetivo de abranger aplicações na totalidade do centro de dados. Com esta versão mais recente, o Docker estende ainda mais as operações de sistema operacional híbrido: os administradores de TI agora podem construir e gerenciar clusters compostos por Linux, Windows Server 2016 e mainframes IBM Z – todos do mesmo plano de gerenciamento. Isso significa que você pode gerenciar aplicações compostas de componentes Windows e Linux do Docker Universal Control Plane/ Plano de Controle Universal do Docker. Por exemplo, você pode executar o seu front-end no Linux e conectá-lo ao Servidor Microsoft SQL em execução no Windows.

O Docker EE 17.06 é a primeira plataforma Containers-as-a-Service a oferecer suporte ao nível de produção para o gerenciamento integrado e a segurança do Windows Server Containers.

Para obter mais informações sobre os clusters hybrid-OS, confira este vídeo.

 

Controle de Acesso baseado em Função Aprimorado (RBAC)

Docker EE sempre apresentou RBAC. Com o Docker EE 17.06, aprimoramos esses recursos para ampliar a forma como os administradores gerenciam o acesso aos recursos do cluster.

Para entender melhor como o RBAC funciona no Docker EE 17.06, é provavelmente melhor se eu definir quatro conceitos:

  • Funções personalizadas: Uma função é essencialmente um conjunto de permissões que definem as operações que alguém pode realizar nos recursos do cluster. Como em versões anteriores, o Docker EE 17.06 possui um conjunto de funções predefinidas (Somente Visualização, Controle Total, etc.). O que há de novo nesta versão é a capacidade de os administradores escolherem entre dezenas de recursos individuais para definir funções personalizadas.

Por exemplo, um administrador pode definir uma função “network-ops” que só concede a capacidade de executar um subconjunto de tarefas especificamente relacionadas à funcionalidade da rede.

 

 

Nota: Esta imagem mostra apenas um pequeno subconjunto de todas as várias permissões de operação disponíveis no Docker EE 17.06

Em resumo, as funções são o que alguém pode fazer ao trabalhar com o seu cluster Docker EE.

  • Sujeito: Os sujeitos definem quem pode executar determinadas tarefas. Os sujeitos podem ser usuários da Docker EE, equipes ou organizações.

 

 

  • Coleções: As coleções são um novo conceito no Docker EE. Elas fornecem um mecanismo para que os administradores agrupem os recursos de cluster (serviços, contêineres, volumes, redes, segredos, etc.) juntos. Um administrador atribui um rótulo Docker especial (com.docker.ucp.access.label) a um recurso particular para definir a qual coleção o recurso pertence.

As coleções podem ser aninhadas em uma hierarquia semelhante a um diretório. Por exemplo, um usuário administrador pode criar uma coleção de produtos e, em seguida, uma coleção de servidor web abaixo disso.

Coleções aninhadas herdarão permissões de suas coleções pai.

Você pode pensar em coleções como onde alguém pode executar tarefas.

  • Concessão: Uma concessão define quem (assunto) pode fazer o que (função) onde (coleção). Por exemplo, você pode criar uma concessão que especifica que a “Equipe Dev” obtém o acesso “Somente Visualização” em relação aos recursos na coleção “/ Produção”.

 

 

 

Além dessas novas capacidades, o Docker EE Advanced 17.06 amplia o conceito de RBAC para nodes também. Portanto, agora os administradores podem subdividir servidores de cluster entre equipes e garantir que aqueles recursos dedicados só sejam acessados por pessoas que tenham recebido concessão explicitamente. Esses recursos oferecem aos administradores uma flexibilidade quase infinita em relação à forma como desejam proteger seus recursos de cluster.

Para obter mais informações sobre o RBAC no Docker EE 17.06, consulte este vídeo.

 

Promoção de Imagem Automatizada e Repositório Imutável

Ok, isso são tecnicamente dois recursos, mas ambos são impressionantes: promoção de imagem automatizada e repositório imutável. Esses dois recursos permitem aos administradores garantir ainda mais a integridade das imagens do Docker.

A promoção de imagem automatizada proporciona aos profissionais de TI a capacidade de definir critérios que, quando cumpridos, promoverão automaticamente uma imagem de um repositório do Docker Trusted Registry/Registro Confiável de Docker (DTR) para outro.

Por exemplo, hoje você pode criar uma nova versão de uma aplicação, executá-la através de QA e, em seguida, – se ele passar – promovê-lo manualmente para o repositório de produção. O processo de QA pode incluir etapas como a verificação de vulnerabilidades ou o uso de componentes com determinadas licenças.

Com o Docker EE 17.06, você pode automatizar partes desse processo. Você pode definir critérios com base na tag da imagem, no número de vulnerabilidades na imagem, na presença de determinados pacotes ou no tipo de licença encontrada na imagem. Se esses critérios forem atendidos, a imagem será automaticamente promovida de um repositório para o outro.

 

 

Além disso, você pode aplicar várias políticas para criar cenários de promoção automáticos sofisticados.

As reposições imutáveis funcionam junto com a promoção da imagem (bem como os recursos existentes de varredura de segurança e assinatura de imagem) para ajudar a proteger a integridade das imagens do Docker. Como o nome indica, repositórios imutáveis permitem que os administradores evitem que as tags de imagem sejam alteradas em um determinado repositório.

Isso visa interromper um cenário no qual alguém envia uma versão de uma imagem com uma determinada tag e, em seguida, outra pessoa substitui essa imagem, enviando uma versão diferente usando a mesma tag que o usuário original. Com repositórios imutáveis, você pode ter certeza de que suas imagens não serão acidentalmente (ou intencionalmente) substituídas.

Para obter mais informações sobre promoção de imagens e repositórios imutáveis, veja este vídeo.

 

Proteja e Gerencie Mais Aplicações

Ok – Eu sei que eu disse que eu iria falar sobre meus três novos recursos favoritos, mas eu tenho que adicionar meu outro novo recurso favorito: Docker Security Scanning/Varredura de Segurança do Docker para imagens Windows. Docker Security Scanning, parte do Docker EE Advanced, verifica automaticamente as imagens para vulnerabilidades e explorações comuns à medida que são enviadas para DTR. Anteriormente, isso só funcionou com imagens do Linux, mas com o Docker EE Advanced 17.06 agora também funciona com imagens do Windows!

Então, você tem: meus três (ou quatro ou cinco, dependendo de como você contou) novos recursos favoritos no Docker EE 17.06.

Obrigado pelo tempo despendido para aprender o que há de novo no Docker EE 17.06. Como eu disse, há muitos outros recursos novos. Oras, nem falei sobre compilações em vários estágios ou a nova UI. Espero que depois de ler isso, você fique tão entusiasmado com o Docker EE 17.06 quanto eu estou.

Continue a sua viagem Docker com estes links úteis:

 

***

 

Este artigo é do Docker Core Engineering. A tradução do artigo foi feita pela Redação iMasters com autorização, e você pode acompanhar o artigo em inglês no link: https://blog.docker.com/2017/08/three-favorite-new-features-docker-enterprise-edition/