如何利用Docker Datacenter支撑内部CaaS
今天,我们满怀兴奋之情宣布 Docker Datacenter(简称DDC) 的正式发布,这套集成化端到端平台专门用于将应用程序开发与管理工作由内部数据中心迁移至云环境下,并借此实现高敏捷性水平。
在Docker Datacenter的帮助下,企业将能够立足于内部或者虚拟私有云环境实现 容器即服务(简称CaaS) 的部署工作。CaaS能够提供一整套IT管理及安全应用的内容与基础设施环境,开发人员则以此为基础通过自助服务模式实现应用程序的构建与部署。
Docker Datacenter 当中包含一系列领先的Docker开源项目、商用软件并同大量经过验证并受到支持配置相集成:
- Universal Control Plane (UCP) 1.0 ,嵌入Swarm以实现对Docker环境的管理与编排能力。
- Trusted Registry (DTR) 1.4.3 ,用于实现Docker镜像管理、安全保护与协作。
- 商业支持 Docker Engine 1.10 作为强大的容器运行时方案。
下面我们将对其功能特性做出深入审视。
易于设置及使用
我们希望用户能够尽快利用Docker Datacenter打理各类实际性任务,因此我们投入大量时间以确保安装、配置与升级等流程能够快速简便地得到完成。DTR与UCP本身就属于Docker化应用程序,因此能够在Docker Datacenter当中快速启动。而一旦投入运行,适用于UCP与DTR的Web管理员UI则开始负责后续配置工作,具体包括存储、凭证以及用户管理,且一切都可通过几次点击轻松实现。同一套UI还可作用于用户,保证他们便捷地同应用程序、repo、网络以及访问分卷进行交互。
Docker原生配备Engine、Networking与Swarm
Docker Datacenter支持Docker API并在平台中直接嵌入多种高人气Docker开源项目,具体包括Engine以及Swarm等等。这意味着应用程序开发人员能够利用一条简单的docker-compose up命令定义Docker Compose与UCP之直接协作。整个过程不涉及任何重写与调整——只需立足于开发成果将其敏捷部署至Swarm即可。大家不仅能够实现对整体Swarm集群内各应用、网络及分卷的可视能力与管理能力,Docker Datacenter在本质上还能够保证应用程序的可移植能力,包括由开发向生产之流程乃至跨越各网络与存储供应程序(插件)以及任意云环境(私有云与公有云)。
在以下截图当中,大家可以看到Networks作为UCP UI中的第一个类对象。我们可以直接在该UI中创建网络,或者docker-compose up一个文件并在其中做出网络定义。在此之后,UCP将创建对应网络并将其显示在Networking屏幕当中。
内置高可用性与安全性
为了确保应用程序流水线的顺畅推进,Docker Datacenter还内置有面向应用程序环境的高可用性与安全性机制。UCP能够利用多台主机之上的控制器得到轻松设置以实现高可用性。一旦其中某台主机发生宕机或者故障,整体系统将继续保持Swarm集群同UCP设置、账户乃至权限状态的一致性。TLS亦会在加入该集群的同时在各Docker主机上得到自动化设置,这样大家就能够在无需额外调整的前提下在自己的Docker环境内确保安全通信。需要访问UCP的客户端能够通过用户指定型客户端绑定轻松接入——其中包含有UCP各自所需的凭证与认证密钥,进而提供对UCP之上所运行应用程序加以确切管理的正确权限水平。
从开发到生产,全程配合集成化内容安全保护
安全保障必须以多层级方法的姿态实现; 从运行时到内容再到访问者身份乃至可执行之操作等等。Docker Datacenter将Docker Content Trust与DTR相结合,从而提供一整套贯穿应用程序生命周期始终的集成化内容安全保障机制。Content Trust使大家有能力通过数字化密钥进行镜像标记,而后对这些镜像签名加以验证。举例来说,中央IT团队能够创建基础镜像、对其进行标记并将它们上传至Trusted Registry受信注册表实例当中。而与DTR相集成则能够将签名状态显示在UI中以供开发人员及IT人员查阅。开发者们可以提取这些镜像,以其为基础构建应用程序并通过部署实现生产环境测试。当Content Trust被激活时,环境中的Docker Engine将无法访问或者运行那些未被标记的镜像。
贯穿整个应用程序生命周期的用户与访问管理机制
要对运行在容器内的负载进行安全保护,首先需要通过命令来控制哪些负载能够运行在环境之内; 接下来,我们需要控制有资格对负载进行访问的用户身份,这代表着一种新的控制层级:谁有资格访问、允许其执行哪些操作、其能够访问哪些具体内容。UCP与DTR都允许大家通过GUI实现用户及团队管理,或者集成至现有LDAP/AD服务器以继承已定义之用户及群组成员。与DTR类似,UCP允许我们以基于角色的方式为团队分配指向特定容器组的权限(例如设置‘只读’以实现对容器的罗列/检查,而对设置‘全部控制’以开启/停止/删除/查看容器)。这种细粒度访问控制机制保证了每个团队都能够随时根据实际需要以适当方式访问应用程序及其资源。
灵活选择插件、驱动程序与开放API
每一家企业都拥有不同的系统、工具与流程。Docker Datacenter在设计上充分考虑到了当前运行环境的实际需要,并提供出色的灵活性以在无需进行应用程序代码重构的前提下对基础设施内的任意部分做出调整。举例来说,其网络插件能够帮助我们轻松利用Docker定义各应用容器网络的对接方式,同时选出特定数量的提供程序以交付底层网络基础设施。亦有多种面向存储体系的插件选项。存储驱动程序能够轻松将DTR与存储基础设施相结合,从而存储镜像及API并允许我们从日志记录及监控系统中提取状态及日志等数据。这种模式建立起极具生命力的生态系统,目前已经有数百家合作伙伴为Docker用户提供各类网络、存储、监控以及工作流自动化等可行选项。
而这一切还仅仅是Docker Datacenter强大能力的一个侧面。感兴趣的朋友请查看以下资源以获取更多信息,并体验为期30天的Docker Datacenter免费试用方案。
与 Docker Datacenter相关之更多资源(英文原文):
- Register for the Docker Datacenter Webinar on March 1
- Try Docker Datacenter today with a free 30 day trial
- Learn Docker Datacenter for free in the month of March with our new training series New Docker Datacenter training series – save your seat with the coupon DKRtrainingbeta to take the complimentary course
- Check out our Docker Datacenter website and documentation
- Interested in CaaS? Download the white paper: Modern Application Architecture
原文链接: Introducing Docker Datacenter to Power Your On-Premises CaaS