DevSecOps

21 fev, 2017

Apresentando Docker Datacenter 1.13 com segredos, varredura de segurança, cache de conteúdo e muito mais

Publicidade

É mais um dia emocionante com uma nova versão do Docker Datacenter (DDC) na 1.13. Essa versão inclui um monte de novos recursos em torno de serviços de aplicativos, segurança, distribuição de imagens e usabilidade.

Vamos explorar alguns dos novos recursos:

Gestão Integrada de Segredos

Essa versão do Docker Datacenter inclui suporte integrado para o gerenciamento de segredos desde o desenvolvimento até a produção.

Esse recurso permite que os usuários armazenem dados confidenciais (por exemplo, senhas, certificados) com segurança no cluster e injetem esses segredos em um serviço. Os desenvolvedores podem fazer referência aos segredos necessários para diferentes serviços no familiar formato de arquivo Compose e transferência para TI para implantação na produção. Confira este texto do blog do Docker sobre gestão de segredos para obter mais detalhes sobre a implementação. O DDC integra segredos e adiciona vários aprimoramentos de nível empresarial, incluindo gerenciamento de ciclo de vida e implantação de segredos na interface do usuário, controle de acesso granular baseado em rótulo para segurança aprimorada e auditando o acesso dos usuários a segredos via syslog.

Varredura de segurança de imagens e monitoramento de vulnerabilidades

Outro elemento do oferecimento de aplicativos mais seguros gira em torno da capacidade de garantir a entrega confiável do código que compõe esse aplicativo. Além do Docker Content Trust (já disponível no DDC), estamos entusiasmados em adicionar Docker Security Scanning para permitir a varredura em nível binário de imagens e suas camadas. O Docker Security Scanning cria uma lista de materiais (BOM) da sua imagem e verifica os pacotes e as versões em relação a vários bancos de dados CVE. A lista de materiais é armazenada e verificada regularmente contra as bases de dados CVE. Portanto, se uma nova vulnerabilidade for relatada contra um pacote existente, qualquer usuário poderá ser notificado da nova vulnerabilidade. Além disso, os administradores do sistema podem integrar seus CIs e construir sistemas com o serviço de varredura usando os novos webhooks de registro.

Malha de roteamento HTTP (HRM)

Anteriormente disponível como um recurso experimental, a malha de roteamento baseada em HTTP (Hostname) está disponível para produção nessa versão. O HRM estende a malha de roteamento de rede em modo swarm existente, permitindo rotear nomes de host baseados em HTTP para seus serviços.

Novos recursos nessa versão incluem a capacidade de gerenciar HRM para um serviço através da interface do usuário, suporte para HTTPS pass-through através do protocolo SNI, utilizando múltiplas redes de HRM para isolamento de aplicações e integração de sessões. Veja a captura de tela abaixo para saber como o HRM pode ser facilmente configurado dentro da UI de administração do DDC.

Compose para Serviços

Essa versão do DDC aumentou o suporte para gerenciar aplicativos distribuídos complexos na forma de pilhas – grupos de serviços, redes e volumes. O DDC permite que os usuários criem pilhas por meio de arquivos do Compose (versão 3.1 yml) e implementem através da interface do usuário e da CLI. O desenvolvedor pode especificar a pilha através do formato de arquivo Compose familiar; para uma transferência contínua, TI pode cortar e colar o arquivo Compose e implementar serviços na produção.

Uma vez implementados, os usuários do DDC são capazes de gerenciar as pilhas diretamente pela UI e clicar em serviços, tarefas, redes e volumes individuais para gerenciar suas operações de ciclo de vida.

Cache de Conteúdo

Para empresas com equipes de aplicativos distribuídas em diversos locais e que desejam manter o controle centralizado de imagens, o desempenho do desenvolvedor é fundamental. Ter os desenvolvedores conectados a repositórios milhares de quilômetros de distância nem sempre faz sentido quando se considera latência e largura de banda. Novidade para essa versão é a capacidade de configurar caches de registro satélite para pulls mais rápidas de imagens Docker. Os caches podem ser atribuídos a usuários individuais ou configurados por cada usuário com base em sua localização atual. Os caches de registro podem ser implantados em uma variedade de cenários, incluindo alta disponibilidade e em cenários complexos de encadeamento de cache para os ambientes de datacenter mais rigorosos.

Registro Webhooks

Para melhor integrar com sistemas externos, DDC agora inclui webhooks para notificar sistemas externos sobre eventos de registro. Esses eventos variam de eventos push ou pull em repositórios individuais, eventos de verificação de segurança, criação ou exclusão de repositórios e eventos do sistema como coleta de lixo. Com esse conjunto completo de pontos de integração, você pode automatizar completamente o seu ambiente de integração contínua e o processo de criação de imagem do docker.

Melhorias na usabilidade

Como sempre, adicionamos uma série de recursos para aperfeiçoar e melhorar continuamente a usabilidade do sistema tanto para desenvolvedores quanto para administradores de TI.

  • Métricas de nível de node e cluster em CPU, memória e uso de disco. Classifique os nodes por uso para solucionar rapidamente os problemas, e as métricas também são enroladas no painel de controle para obter uma visão panorâmica do uso de recursos no cluster.
  • Processo de atualização de aplicativos mais sutil com suporte para reversão durante atualizações contínuas e notificações de status para atualizações de serviço.
  • Instalação e configuração mais fáceis com a capacidade de copiar um comando de instalação do Docker Trusted Registry diretamente da Universal Control Plane UI.
  • Opções de configuração LDAP/AD adicionais na Universal Control Plane UI
  • Modelos de nuvem na AWS e no Azure para implantar o DDC em poucos cliques

Esses novos recursos e mais são apresentados em uma série de vídeos de demonstração do Docker Datacenter.

Comece com o Docker Datacenter

Esse é apenas o mais recente conjunto de recursos para se juntar ao Docker Datacenter

***

Este artigo é do Docker Core Engineering. A tradução do artigo foi feita pela Redação iMasters com autorização, e você pode acompanhar o artigo em inglês no link: https://blog.docker.com/2017/02/docker-datacenter-1-13/.