Docker Платформа распределённых приложений

Продукт
Разработчики: Docker, Inc
Дата премьеры системы: 2013/03/13
Дата последнего релиза: 2019/11/18
Технологии: PaaS - Platform As A Service - Бизнес-платформа как сервис,  Виртуализация,  Средства разработки приложений

Содержание

Docker - открытая платформа, ориентирована на разработчиков и системных администраторов. Назначение продукта: создание, доставка и запуск распределённых приложений.

Платформа создана на принципе контейнерной виртуализации или виртуализации на уровне операционной системы, который заставляет ядро операционной системы поддерживать несколько рабочих пространств пользователей одновременно, так, что на одном физическом сервере можно запускать одновременно несколько копий операционной системы и они будут работать на одном ядре.

В составе системы Docker Engine - компактный, легкий в работе инструмент упаковки, и Docker Hub, облачный сервис для обмена приложениями и автоматизации рабочих процессов.

Docker помогает быстро собрать приложение из компонентов, предупреждая появление возможных шероховатостей между разработкой, обеспечением качества и эксплуатацией.

Продукт распространяется как свободное программное обеспечение под лицензией Apache 2.0. Написан на языке Go.

История

2024

Хакеры по всему миру превращают серверы компаний в майнинг-фермы из-за дыры в контейнерной системе Docker

В начале июня 2024 года исследователи проанализировали кампанию криптоджекинга и пришли к выводу, что хакеры по всему миру превращают удаленные API-серверы компаний в майнинг-фермы для криптовалюты из-за дыры в контейнерной системе Docker из проекта Commando с открытым исходным кодом.

Злоумышленники используют образ образа «cmd.cat/chattr», чтобы получить доступ к серверу и управлять Docker на скомпрометированном хосте. Все начинается с оценки доступности сервера Docker Remote API, после чего хакеры инициируют процесс создания контейнера, который дает возможность получить доступ к операционной системе хоста. В случае отсутствия требуемого образа, злоумышленники загружают его из репозитория «cmd.cat» и создают контейнер. Скрипт осуществляет проверку системы на наличие определенного файла и, при его отсутствии, скачивает и запускает вредоносный файл ZiggyStarTux — IRC-бот, созданный на базе открытого исходного кода, производный от вируса Kaiten (Tsunami). Хотя хакерский C2-сервер оказался недоступен для анализа, исследователи смогли определить индикатор атаки, который позволит отслеживать активность вредоносного ПО в сети.

Хакеры по всему миру превращают удаленные API-серверы компаний в майнинг-фермы для криптовалюты из-за дыры в контейнерной системе Docker

«
Важно отметить, что хакеры используют Docker-образы для развертывания скриптов криптоджекинга на зараженных системах, — подчеркнули специалисты Trend Micro. - Такой метод позволяет злоумышленникам использовать слабые места в настройках Docker и уклоняться от обнаружения антивирусными программами.
»

Известно, что хакеры используют данный метод с начала 2024 года. Чтобы обезопасить среду разработки от таких атак, следует тщательно настраивать контейнеры и API, использовать только официальные или сертифицированные образы и проводить регулярные аудиты безопасности.[1]

Доступность для пользователей GitVerse

Для пользователей GitVerse стало доступно российское «зеркало» Docker Hub. Об этом разработчик сообщил 3 июня 2024 года. Подробнее здесь.

2019

Приобретение Mirantis у Docker бизнеса, связанного с платформой Docker Enterprise

В ноябре 2019 года Mirantis, разработчик OpenStack с российскими корнями, выкупила у компании Docker Inc бизнес, связанный с платформой Docker Enterprise – ПО для быстрой сборки, отладки и развертывания контейнеризированных приложений в любой среде.

Использование Docker набирает популярность во всем мире по мере того как растет интерес к контейнерной виртуализации. Платформа распространяется по двум моделям: по лицензии с открытым кодом Docker Community Edition и лицензии Docker Enterprise Edition на основе подписки. По данным Mirantis, треть компаний из списка Forune 100 использует Docker Enterprise.Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос

Сооснователь и член совета директоров Mirantis Алекс Фридланд пояснил TAdviser, что их компания купила все активы бизнеса Docker Enterprise. К ней перешли интеллектуальная собственность, контракты с более чем 700 компаниями, использование торговой марки, сотрудники, существующие и будущие финансовые потоки. Штат Mirantis в связи с приобретением увеличится на 300 человек.

Mirantis купила все активы бизнеса Docker Enterprise (фото - DockerCon)

У Docker после этой сделки осталась часть бизнеса, связанная с поддержкой разработчиков и продукты Docker Hub (платформа по управлению контейнерами и распространению образов контейнеров) и Docker Desktop (среда разработки микросервисов).

«
В результате этой сделки объединенная компания становится крупнейшей независимой cloud-native компанией с открытым кодом в области инфраструктуры - физической и для приложений, которая обладает масштабами и ресурсами для обслуживания крупнейших компаний мира и дает последним прочную основу для их цифровой трансформации. Мы становимся реальной альтернативой VMware и IBM Red Hat, а также позволяем нашим клиентам самим решать, как распределять их ресурсы между приватными и публичными облаками, - заявил Алекс Фридланд в разговоре с TAdviser.
»

В Mirantis говорят, что после сделки команда Docker Enterprise продолжит разработку и поддержку платформы, а также вместе с командой Mirantis займется реализацией на платформе новых возможностей, которые ожидают корпоративные клиенты, как, например, реализация подхода «как сервис», интеграция с Mirantis Kubernetes и другими облачными технологиями.

Сооснователь Mirantis также сообщил TAdviser, что их компания будет предоставлять Docker Enterprise в существующем виде – в виде подписки на использование ПО, а также добавит опцию Managed Service, когда продукт предоставляется как услуга, при которой Mirantis отвечает за эксплуатацию и предоставляет клиенту SLA.

При этом на Kubernetes - платформу с открытым кодом для автоматизации развертывания, масштабирования и управления контейнеризированными приложениями - в Mirantis делают особую ставку. Используя ее, клиенты могут управлять Docker-контейнерами, которые они берут из открытого доступа. Mirantis предлагает Kubernetes своим клиентам по модели «как сервис» - Kubernetes-as-a-Service (KaaS).

«
Kubernetes - основной вектор развития компании. Docker Enterprise уже больше двух лет поддерживает Kubernetes наряду с Docker Swarm. Mirantis планирует поддерживать и развивать Docker Swarm в течении по крайней мере следующих двух лет и предложит своим клиентам плавный переход со Swarm на Kubernetes, - пояснил TAdviser Фридланд.
»

По мере роста спроса на контейнерную виртуализацию большое внимание Kubernetes уделяют многие крупные ИТ-компании и облачные провайдеры. Так, например, Amazon, Microsoft, Google и IBM уже предлагают поддержку Kubernetes для своих облачных платформ. А в ноябре 2019 года VMware предложила в бета-версии набор средств для преобразования vSphere – своего флагманского продукта – в нативную платформу для кластеров Kubernetes. Сформировав за несколько лет обширный портфель решений и сервисов для Kubernetes, VMware в итоге дошла до абсолютной интеграции с контейнерным решением.

Обнаружение червя для криптоджекинга, распространяющегося с помощью контейнеров Docker

17 октября 2019 года стало известно о том, что команда исследователей из Unit 42 компании Palo Alto Networks обнаружили, по их словам, первый червь для криптоджекинга, распространяющийся с помощью контейнеров Docker.

Обнаружение червя для криптоджекинга, распространяющегося с помощью контейнеров Docker

Как сообщалось, вредоносное ПО, получившее название Graboid, загружается с C&C-серверов и предназначено для майнинга криптовалюты Monero. Для распространения червь периодически запрашивает у C&C-сервера информацию об уязвимых хостах и случайным образом выбирает следующую цель. По словам исследователей, в среднем каждый криптомайнер активен на протяжении 63% времени, а периоды майнинга составляют 250 с.

В ходе анализа вредоносной кампании было обнаружено 2 тыс. подключенных к Сети установок Docker с отсутствующим механизмом авторизации, что позволяет злоумышленнику получить полный контроль над движком Docker (Community Edition) и хостом.

В ходе атаке киберпреступник может скомпрометировать незащищенный демон Docker, после чего запустить вредоносный контейнер из Docker Hub, получить скрипты и список уязвимых хостов от C&C-сервера, а затем повторить операцию для атаки на следующую цель.

Graboid включает в себя функции как червя, так и майнера криптовалюты. Каждый раз вредонос случайным образом выбирает три цели, устанавливает червь на первой, останавливает работу майнера на второй и запускает его на третьей, создавая непредсказуемое поведение. Вредоносный контейнер не запускается сразу после взлома хоста, а ожидает, когда другой скомпрометированный хост начнет процесс майнинга.

«
По сути, майнер на каждом зараженном хосте случайным образом контролируется всеми другими зараженными хостами. Мотивация создания такого случайного механизма неясна. Это может быть результатом плохого дизайна, техникой уклонения от обнаружения (не очень эффективной), самодостаточной системой или преследовать другие цели.

поясняют исследователи Palo Alto Networks
»

По словам исследователей, вредоносный образ Docker (pocosow/centos) на октябрь 2019 года был загружен более 10 тыс. раз из Docker Hub. Контейнер для майнинга криптовалюты, который размещает червь (gakeaws/nginx), был загружен более 6500 раз. Исследователи также обнаружили, что пользователь gakeaws опубликовал второй образ криптоджекинга (gakeaws/mysql), который имеет идентичное содержание с gakeaws/nginx.[2]

2017

Поддержка Kubernetes

17 октября 2017 года компания Docker объявила об официальной поддержке Kubernetes в своей платформе [3].

Согласно видению разработчиков, программная платформа Docker состоит из четырёх слоёв:

  1. исполняемой среды для запуска контейнеров containerd (соответствует стандарту от OCI, Open Container Initiative),
  2. инструмента оркестровки Swarm («превращает группу узлов в распределённую систему»),
  3. Docker Community Edition (реализация простого рабочего процесса по сборке и доставке приложений в контейнерах),
  4. Docker Enterprise Edition (безопасное управление контейнерами в production).

Все эти слои собираются из Open Source-компонентов посредством проекта Moby.

Работа в Moby над поддержкой Kubernetes для Docker ведётся более года и включает в себя необходимые изменения в Open Source-проектах containerd и cri-containerd, LinuxKit, InfraKit, libnetwork, Notary, libentitlement.

В качестве дистрибутива Kubernetes, интегрируемого с Docker, будет использоваться основная community-сборка проекта, официально выпускаемая некоммерческой организацией CNCF.

Docker Enterprise Edition

3 марта 2017 года компания Docker заявила о выпуске Docker Enterprise Edition (EE) - коммерческой платформы Docker, ориентированной на создание и управление контейнерами, масштабирования гибридных облачных сред. В составе продукта среда исполнения, инструменты оркестровки контейнеров, средства управления и обеспечения безопасности.

Представление Docker Enterprise Edition, (2017)

Одновременно компания инициировала программу сертификации, которая позволит сторонним разработчикам размещать свои приложения в Docker Store. Docker сертифицировала EE для работы с дистрибутивами [4]:

EE работает в облачных средах AWS и Azure.

Платформа представлена тремя редакциями: базовая, стандартная и расширенная. В базовой версии предлагается сертификация инфраструктуры и поддержка. Сертифицированные контейнеры и плагины доступны в Docker Store. Стандартная версия дополнена многопользовательской поддержкой c возможностью изолированно обслуживать разных пользователей, например подписчиков SaaS, в рамках одного сервиса. В рамках этой редакции предлагаются дополнительные инструменты для управления контейнерами и их образами; средства обеспечения безопасности адаптированы для работы в ЦОДах. Расширенная версия комплектуется антивирусом и инструментом для мониторинга уязвимостей.

Docker 1.13

19 января 2017 года компания Docker сообщила о выпуске релиза Docker 1.13. В составе релиза функции для создания контейнеров, управления ими и обеспечения их безопасности. Добавлены команды, с помощью которых можно организовать эффективное использование дискового пространства контейнерами.

Команда «docker system prune» удаляет неиспользуемые данные, команда «docker system df» показывает пользователю объем занятого пространства на заданном диске.

Реклама Docker 1.13, (2017)

Функция сжатия squash помогает эффективнее работать с местом на диске контейнерам Docker. Она выполнена в виде экспериментальной опции к команде «docker build». Использование squash обеспечивает коллапс (сжатие) множественных слоёв файловой системы, образующихся в процессе создания контейнера, в единый слой.

В релизе Docker 1.12, в июне 2016-го, была возможность интеграции средства оркестровки контейнеров Swarm непосредственно в движок Docker. В обновлении Docker 1.13 режим работы со Swarm дополнительно усовершенствован.

Посредством стандартной команды «docker-compose» в версии 1.13 пользователь может развернуть сервис Swarm и управлять им, задавать требуемое количество экземпляров (узлов) для каждого сервиса. В режиме Swarm появилось улучшение: он интегрирован с Secret Management API (API для управления секретными данными), при помощи которого можно безопасно хранить и извлекать конфиденциальные данные, используемые в сервисах Docker.

В терминологии сервисов Docker Swarm понятие "секрет" (secret) представляет собой объект данных, например, пароль, личный ключ SSH, SSL-сертификат или другой набор данных, которые нельзя передавать по сети или хранить в незашифрованном виде в Dockerfile или в исходном коде вашего приложения. Начиная с версии Docker 1.13 при помощи секретов Docker этими данными можно управлять централизованно и безопасным образом передавать их только в те контейнеры, в которых есть необходимость в этих данных.

В состав релиза вошла пары инкрементных обновлений технологий мандатного управления доступом в Linux, в частности SELinux (Security Enhanced Linux) и AppArmor. Помимо этого, в версию 1.13 перейдут исправления безопасности, сделанные в релизе 1.12.6, выпущенном 10 января 2017 года. В нем закрыта дыра в безопасности с кодом CVE-2106-9962, суть которой описана как «небезопасное открытие дескриптора файла позволяет повысить уровень привилегий» — она допускала утечку данных из контейнера.

2016: Docker 1.11

14 апреля 2016 года Docker, Inc представила релиз инструментария для управления изолированными Linux-контейнерами Docker 1.11. В рамках версии предоставляется высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений[5].

Docker 1.11 перешел на легковесный runtime runC и управляющий инструментарий containerd, совместимые со спецификациями OCI (Open Container Initiative), определяющими единый формат контейнеров и универсальную среду окружения для их запуска.

runC предоставляет обособленный набор компонентов для запуска контейнеров на широком спектре систем, позволяя обойтись без внешних зависимостей, так как поддержка различных технологий изоляции встраивается в runtime контейнера. Для организации работы с контейнерами runC поддерживает пространства имён Linux (namespaces), различные средства повышения безопасности Linux (SELinux, Apparmor, seccomp, cgroups, capability, pivot_root, сброс uid/gid), live-миграцию (используется CRIU), возможности создания контейнеров в Windows 10, поддержку интеграции с systemd и переносимые профили производительности (предоставлены Google).

Containerd включает фоновый процесс и клиент командной строки, использующий runC для запуска контейнеров, соответствующих спецификации OCI. Из расширенных возможностей containerd отмечается поддержка seccomp, непривилегированных контейнеров (user namespace), применение criu для клонирования и live-миграции. При одновременном запуске 1000 контейнеров containerd обеспечивает производительность запуска в 126-140 контейнеров в секунду.

Движок Docker работает в качестве надстройки над containerd, что позволяет сохранить привычный для пользователей Docker интерфейс. Интеграция containerd существенно упростила кодовую базу Docker и избавила от ряда проблем. Разделение Docker на независимые слои упростило сопровождение продукта и существенно повысило его качество. Особое внимание было уделено производительности - задействование дополнительных механизмов межпроцессного взаимодействия не только не привело к замедлению работы, но и ускорило работу благодаря распараллеливанию операций создания контейнеров.

Представление параллелизма обработки (2016)


Изменения в Docker 1.11

  • Поддержка балансировки нагрузки через распределение запросов к контейнерам в режиме "round robin" с использованием DNS;
  • Экспериментальная поддержка VLAN в сетевой инфраструктуре контейнеров;
  • Возможность использования аппаратных устройств Yubikey для формирования цифровых подписей для образов контейнеров;
  • Поддержка привязки произвольных меток в формате ключ/значение к сетям и дисковым разделам по аналогии с привязкой меток к контейнерам и образам;
  • Улучшена обработка состояния нехватки дискового пространства в хранилищах на базе device mapper;
  • Выпуск инструмента Docker Compose 1.7, позволяющего организовать работу распределённого на несколько хостов приложения, в работу которого вовлечено несколько контейнеров, запущенных в кластере на базе Docker Swarm. В новой версии добавлен команда "docker-compose exec" (аналог "docker exec") и опция "--build" для команды "docker-compose up", инициирующая предварительный запуск "docker-compose build";
  • Выпуск инструмента Machine 0.7, предназначенного для быстрого развёртывание хостов в гостевых окружениях систем виртуализации VirtualBox, VMware, AWS, Digital Ocean и Microsoft Azure. Осуществляет создание начинки сервера, установку на него Docker и настройку клиента для работы с данным сервером. В новой версии драйвер Microsoft Azure переведён на новый Azure API;
  • Выпуск инструмента Swarm 1.2, предоставляющего средства кластеризации для упакованных в контейнеры приложений. Swarm даёт возможность управлять кластером из нескольких хостов Docker (например, созданных с использованием Docker Machine) в форме работы с одним виртуальным хостом. Так как Swarm использует штатный Docker API, он может применяться для управления и другими поддерживающими данный API инструментами, такими как dokku, fig, krane, flynn, deis, docker-ui, shipyard, drone.io, Jenkins. В новой версии стабилизирована поддержка перепланировки, обеспечивающей автоматическое перемещение контейнера на рабочий узел в случае сбоя текущего узла.

2015: Выпущен релиз Docker 1.8

12 августа 2015 года компания Docker представила релиз инструментария Docker 1.8. Продукт содержит высокоуровневый API для управления контейнерами на уровне изоляции отдельных приложений[6].

Разработчики Docker отметили возможность продукта запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, не заботясь о формировании начинки контейнера, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Код Docker написан на языке Go и распространяется под лицензией Apache 2.0.

Схема взаимодействия, 2015

Инструментарий основан на использование встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Для создания контейнеров предлагается использовать libcontainer (обёртка над namespaces и cgroups), также возможно применение lxc, libvirt, systemd-nspawn, OpenVZ контейнеров с помощью библиотеки LibCT и других систем изоляции. Для формирования контейнера достаточно загрузить базовый образ окружения (docker pull base), после чего можно запускать в изолированных окружениях произвольные приложения (например, для запуска bash можно выполнить "docker run -i -t base /bin/bash").


Наиболее заметные инновации в Docker 1.8:

  • Функциональность Docker Content Trust для проверки достоверности образа контейнера по цифровой подписи, позволяет удостовериться, что образ размещён в репозитории заявленным издателем. Для верификации используется система открытых ключей, при которой образ подписывается закрытым ключом издателя, а затем может быть проверен при помощи публично доступного открытого ключа. Для публикации, верификации и безопасного обновления образов в Docker интегрирован инструментарий Notary, основанный, в свою очередь, на фреймворке The Update Framework (TUF). Проверка осуществляется автоматически при выполнении типовых команд, таких как docker pull, docker push, docker build, docker create и docker run;

  • Представлен Docker Toolbox, специализированный инсталлятор для Windows и OS X, упрощающий развёртывание и запуск окружения разработчика Docker. Docker Toolbox позиционируется как замена Boot2Docker и включает клиентское ПО для Docker, компоненты Machine и Compose, а также систему виртуализации VirtualBox;

  • В разряд стабильных переведена добавленная в прошлом выпуске экспериментальная система для подключения плагинов, выполняемых в форме отдельных процессов-обработчиков. В разряд стабильный также переведены плагины для организации хранилищ, например, позволяющие работать с сетевыми хранилищами, такими как Flocker, Blockbridge, Ceph, ClusterHQ, EMС и Portworx;

  • Система драйверов для ведения логов, позволяющих реализовать различные схемы сохранения системного журнала, в том числе передачи логов контейнера на внешний syslog-сервер, расширена возможностью передачи логов в системы Graylog и Fluentd. Добавлен драйвер для организации ротации логов на диске;

  • Команда "docker cp" теперь может применяться не только для копирования файлов из контейнера на хост-систему, но и наоборот. Например, "docker cp foo.txt mycontainer:/foo.txt";

  • Для запуска демона Docker представлена новая команда "docker daemon", которую следует использовать вместо опции "-d". Новая команда позволяет явно разделить клиентские опции (docker --help) и опции демона (docker daemon --help);

  • Возможность настройки формата вывода команды "docker ps" через указание опции "--format";

  • Поддержка настройки директории с файлами конфигурации клиента через указание пути в опции --config или переменной окружения DOCKER_CONFIG, что даёт возможность запустить разные экземпляры docker с разными наборами конфигурации;

  • Выпуск инструмента Machine 0.4, предназначенного для быстрого развёртывание хостов в гостевых окружениях систем виртуализации VirtualBox, VMware, AWS, Digital Ocean и Microsoft Azure. Осуществляет создание начинки сервера, установку на него Docker и настройку клиента для работы с данным сервером. В новой версии добавлены средства настройки движка для использования http-прокси;

  • Выпуск инструмента Swarm 0.4, предоставляющего средства кластеризации для упакованных в контейнеры приложений. Swarm даёт возможность управлять кластером из нескольких хостов Docker (например, созданных с использованием Docker Machine) в форме работы с одним виртуальным хостом. Так как Swarm использует штатный Docker API, он может применяться для управления и другими поддерживающими данный API инструментами, такими как dokku, fig, krane, flynn, deis, docker-ui, shipyard, drone.io, Jenkins. В новой версии улучшена реализация встроенного планировщика и драйвера для интеграции с Mesos (теперь можно использовать инструменты docker для управления кластером Mesos);

  • Выпуск инструмента Docker Compose 1.4, позволяющего организовать работу распределённого на несколько хостов приложения, в работу которого вовлечено несколько контейнеров, запущенных в кластере на базе Docker Swarm. В этой версии значительно увеличена скорость запуска и остановки приложений, пересоздание контейнера производится только при необходимости, обеспечено параллельное выполнение работ. Добавлена возможность назначения произвольных имён контейнерам и поддержка чтения конфигурации из стандартного ввода (можно генерировать файл конфигурации на лету);

2014

Microsoft портирует Docker на Windows Server и Windows Azure

22 октября 2014 года Microsoft сообщила о предстоящем переносе кода платформы Docker на Windows Server и Windows Azure.

Платформа Docker разработана для операционной системы Linux и использует возможности контейнерной виртуализации, глубоко интегрированные в Linux-ядро. Портировать такое ПО на Windows - непростая задача, однако Microsoft собирается сделать это. Компания заявила о намерении поддержать и финансировать усилия Open Source-разработчиков и реализовать поддержку API Docker в своем облачном сервисе Windows Azure.

В июне 2014 года появилась возможность запуска Docker-хостов на Windows Azure. Пользователь может создать в облаке Microsoft виртуальную машину, установить на нее Linux, запустить среду Docker и в ней - свои приложения. Однако, компания стремится обеспечить запуск задач на Windows-хостах, как в облаке Azure, так и в любых других публичных и частных средах.

Аналитики отметили стремление компании называть эту технологию "контейнерами Windows", тем самым отмечая вероятность существенного отличия внутреннего устройства Windows-версии Docker от оригинала. Однако, компания обещает - все приложения, запускаемые в среде Docker на 22 октября 2014 года, будут работать в окружении Windows.

На 22 октября 2014 года в виртуальной среде Docker можно запустить 45 тыс. готовых образов различных приложений.

Open Source сообщество отметило особенность, которая стала, в некотором смысле, победой сообщества: для обеспечения поддержки Docker внутри Windows будут, по сути, реализованы ключевые особенно ядра Linux.

Docker 1.3.2: исправлены критические ошибки

Осенью 2014 года состоялся выход внеочередного обновления открытой системы управления контейнерной виртуализацией Docker 1.3.2, вызванный необходимостью исправления двух ошибок, получивших статус критических. Обнаруженные уязвимости позволяли злоумышленнику получить доступ к файловой системе хост-машины за пределами контейнера, что крайне опасно[7].

Первой уязвимости был присвоен идентификатор CVE-2014-6407. Она позволяет злоумышленнику переместить файлы из контейнера в файловую систему хост-машины используя команды docker pull или docker load. Это возможно из-за ошибки при обработке жёстких и символических ссылок в программе извлечения данных из образа контейнера. В результате злоумышленник сможет выполнить в хост-системе произвольный код и изменить собственные права доступа.

Ошибка содержится во всех предыдущих версиях Docker. Таким образом, обновление является обязательным.

Вторая уязвимость имеет идентификатор CVE-2014-6408. Ошибка позволяет игнорировать ограничения, заданные для изолированного контейнера, что также позволяет злоумышленнику выйти за его пределы. Это связано с тем, что пользователь имеет возможность присвоить образу собственные параметры безопасности и изменить общий профиль безопасности для всех контейнеров, опирающихся на аналогичный образ.

Ошибка найдена в выпусках с номерами 1.3.0 и 1.3.1. Так что, на практике и тут обновления носит обязательный характер — вряд ли кто-то использует более ранние выпуски.

Работы по включению поддержки Docker в среду Apache Hadoop

С 2014 года ведутся работы по включению поддержки Docker в среду управления фреймворка распределённых приложений Hadoop; по результатам тестирования вариантов платформы виртуализации для Hadoop, проведённом в мае 2014 года, Docker показал на основных операциях (по массовому созданию, перезапуску и уничтожению виртуальных узлов) существенно более высокую производительность, нежели KVM, в частности, на тесте массового создания виртуальных вычислительных узлов прирост потребления процессорных ресурсов в Docker зафиксирован в 26 раз ниже, чем в KVM, а прирост потребления ресурсов оперативной памяти — втрое ниже.

2013

Поддержка Docker-контейнеров в среде Google Compute Engine

В декабре 2013 года объявлено о поддержке развёртывания Docker-контейнеров в среде Google Compute Engine.

Частичная поддержка Docker в Red Hat Enterprise Linux 6.5, полная - в Fedora версии 20

С ноября 2013 года частичная поддержка Docker включена в дистрибутив Red Hat Enterprise Linux версии 6.5, полная — в 20 версию дистрибутива Fedora, ранее достигнуто соглашение с Red Hat о включении с 2014 года Docker в тиражируемую PaaS-платформу Open Shift.

Поддержка Docker в OpenStack (релиз Havana)

В октябре 2013 года выпущен релиз Havana тиражируемой IaaS-платформы OpenStack, в котором реализована поддержка Docker (как драйвер для OpenStack Nova).

Публикация Docker под лицензией Apache 2.0

В марте 2013 года код Docker опубликован под лицензией Apache 2.0. В октябре 2013 года подчёркивая смещение фокуса к новой ключевой технологии, dotCloud переименована в Docker (PaaS-платформа сохранена под названием — dotCloud).

2008: Запуск проекта

Проект начат в 2008 году, как внутренняя разработка компании dotCloud, с целью создания публичной PaaS-платформы с поддержкой различных языков программирования.

Примечания

Ссылки

1. Docker

2. Microsoft пообещала открытую платформу виртуализации приложений



ПРОЕКТЫ (2) ИНТЕГРАТОРЫ (2) РЕШЕНИЕ НА БАЗЕ (1)
СМ. ТАКЖЕ (113)

ЗаказчикИнтеграторГодПроект
Проект не афишируется---2024.03---
- Российский экспортный центр (РЭЦ)
Вебпрактик (Webpractik)---Описание проекта



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (53)
  Крок (40)
  Айтеко (Ай-Теко, iTeco) (13)
  Крок Облачные сервисы (13)
  Cloud4Y (ООО Флекс) (12)
  Другие (513)

  Commvault (5)
  ITglobal.com (ИТглобалком Рус) (3)
  Крок (2)
  Cloud4Y (ООО Флекс) (2)
  Delta Computers (Дельта Компьютерс) (2)
  Другие (24)

  Крок Облачные сервисы (3)
  ISPsystem (Экзософт) (1)
  ITglobal.com (ИТглобалком Рус) (1)
  Кортис (1)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (1)
  Другие (1)

  К2 Тех (3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (3)
  Cloud4Y (ООО Флекс) (2)
  Delta Computers (Дельта Компьютерс) (2)
  Ред Софт (Red Soft) (2)
  Другие (19)

  СП Облачная платформа (Базис, Basis) (2)
  Аксофт (Axoft) (2)
  Астра Группа компаний (2)
  Aerodisk (Аеро Диск) (1)
  Ред Софт (Red Soft) (1)
  Другие (17)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  VMware (94, 136)
  Microsoft (14, 39)
  IBM (18, 38)
  Крок (2, 37)
  Крок Облачные сервисы (1, 37)
  Другие (398, 312)

  VMware (4, 6)
  Commvault (2, 5)
  IBM (2, 4)
  ITglobal.com (ИТглобалком Рус) (2, 3)
  РусБИТех-Астра (ГК Астра) (1, 3)
  Другие (14, 15)

  Крок (1, 3)
  Крок Облачные сервисы (1, 3)
  ISPsystem (Экзософт) (1, 1)
  VMware (1, 1)
  СП Облачная платформа (Базис, Basis) (1, 1)
  Другие (3, 3)

  Orion soft (Орион) (2, 5)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  Крок Облачные сервисы (1, 3)
  ITglobal.com (ИТглобалком Рус) (1, 3)
  VStack (ИТглобалком Лабс) (1, 3)
  Другие (9, 13)

  РусБИТех-Астра (ГК Астра) (1, 4)
  СП Облачная платформа (Базис, Basis) (2, 2)
  ITglobal.com (ИТглобалком Рус) (1, 2)
  Orion soft (Орион) (1, 2)
  Ред Софт (Red Soft) (1, 2)
  Другие (10, 12)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  VMware vSphere - 77
  Microsoft Hyper-V - 37
  Крок: Виртуальный дата-центр (IaaS) - 37
  Citrix Virtual Apps и Desktops (ранее XenApp и XenDesktop) - 20
  Cisco UCS Unified Computing System (Cisco UCCX) - 18
  Другие 370

  Commvault Complete Data Protection - 4
  Astra Linux: Брест Виртуализация - 3
  ITglobal.com: VDI - 3
  IBM Cloud Paks - 3
  Cloud4Y Виртуальный рабочий стол (VDI) - 2
  Другие 16

  Крок: Виртуальный дата-центр (IaaS) - 3
  Aerodisk vAIR - 1
  VMware vSphere - 1
  ISPsystem VMmanager - 1
  VStack платформа виртуализации - 1
  Другие 1

  Orion soft: Zvirt Система безопасного управления средой виртуализации - 4
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
  VStack платформа виртуализации - 3
  Крок: Виртуальный дата-центр (IaaS) - 3
  Ред Виртуализация - 2
  Другие 9

  Astra Linux: Брест Виртуализация - 4
  VStack платформа виртуализации - 2
  Ред Виртуализация - 2
  Базис.WorkPlace - 2
  Orion soft: Zvirt Система безопасного управления средой виртуализации - 2
  Другие 11

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ITglobal.com (ИТглобалком Рус) (81)
  Т1 Интеграция (ранее Техносерв) (76)
  Microsoft (33)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (27)
  Онланта (21)
  Другие (339)

  ITglobal.com (ИТглобалком Рус) (20)
  Т1 Интеграция (ранее Техносерв) (12)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (10)
  АйТи Про (IT Pro) (4)
  Т1 Облако (Т1 Клауд) ранее T1 Cloud (3)
  Другие (31)

  ITglobal.com (ИТглобалком Рус) (16)
  OneFactor (Уанфактор) ЕдиныйФактор (3)
  VK (ранее Mail.ru Group) (3)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (3)
  Cloud.ru (Облачные технологии) ранее SberCloud (1)
  Другие (3)

  ITglobal.com (ИТглобалком Рус) (14)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4)
  Cloud.ru (Облачные технологии) ранее SberCloud (3)
  Softline (Софтлайн) (2)
  VK (ранее Mail.ru Group) (2)
  Другие (13)

  Cloud.ru (Облачные технологии) ранее SberCloud (3)
  Softline (Софтлайн) (3)
  ITglobal.com (ИТглобалком Рус) (2)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2)
  Другие (7)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft (19, 133)
  ITglobal.com (ИТглобалком Рус) (1, 83)
  Т1 Облако (Т1 Клауд) ранее T1 Cloud (1, 81)
  Т1 Интеграция (ранее Техносерв) (1, 81)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (4, 48)
  Другие (278, 307)

  ITglobal.com (ИТглобалком Рус) (1, 20)
  Т1 Облако (Т1 Клауд) ранее T1 Cloud (1, 15)
  Т1 Интеграция (ранее Техносерв) (1, 15)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (1, 10)
  IBM (2, 4)
  Другие (26, 39)

  ITglobal.com (ИТглобалком Рус) (1, 17)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (1, 6)
  НеоЛабс (NeoLabs) (1, 1)
  Cloud.ru (Облачные технологии) ранее SberCloud (1, 1)
  Ростелеком (1, 1)
  Другие (2, 2)

  ITglobal.com (ИТглобалком Рус) (1, 14)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2, 4)
  Мобильные ТелеСистемы (МТС) (1, 4)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
  IXcellerate (Икселерейт) (1, 3)
  Другие (10, 16)

  Softline (Софтлайн) (2, 3)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2, 3)
  Мобильные ТелеСистемы (МТС) (2, 3)
  Cloud.ru (Облачные технологии) ранее SberCloud (1, 3)
  Huawei (1, 3)
  Другие (8, 12)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft Azure - 93
  ITglobal.com: Публичное облако - 83
  Т1 Облако (ранее T1 Cloud) - 81
  VK Cloud Универсальная облачная платформа для развития цифровых сервисов (ранее VK Cloud Solutions) - 44
  OnCloud.ru - 21
  Другие 224

  ITglobal.com: Публичное облако - 20
  Т1 Облако (ранее T1 Cloud) - 15
  VK Cloud Универсальная облачная платформа для развития цифровых сервисов (ранее VK Cloud Solutions) - 10
  Microsoft Azure - 4
  АйТи Про: BI.Qube - 4
  Другие 23

  ITglobal.com: Публичное облако - 17
  VK Cloud Универсальная облачная платформа для развития цифровых сервисов (ранее VK Cloud Solutions) - 6
  Национальная облачная платформа o7.com - 1
  НеоЛабс: АИСТ Платформа общего доступа к инфраструктуре аэропорта - 1
  Cloud Advanced - 1
  Другие 0

  ITglobal.com: Публичное облако - 14
  МТС Exolve - 4
  Softline Multicloud (Мультиоблако) - 3
  Cloud Advanced - 3
  VK Cloud Универсальная облачная платформа для развития цифровых сервисов (ранее VK Cloud Solutions) - 3
  Другие 8

  Cloud Advanced - 3
  VK Cloud Универсальная облачная платформа для развития цифровых сервисов (ранее VK Cloud Solutions) - 2
  Softline Multicloud (Мультиоблако) - 2
  МТС Exolve - 2
  ITglobal.com: Публичное облако - 2
  Другие 7