Термины

Виртуализация - технология, позволяющая запускать экземпляры операционных систем (гостевые машины) параллельно и изолированно на единственной хост-машине. При этом каждой гостевой машине предоставляются собственные ресурсы, а гостевая операционная система может быть полностью отличной от операционной системы хост-машины;

Гипервизор - программное обеспечение, позволяющее запускать множественные гостевые (виртуальные) машины на единственной физической машине (хост-машине), а также обеспечивающее  предоставление ресурсов виртуальным машинам;

Гостевая машина - виртуальная машина, запускаемая в изолированной среде системы виртуализации внутри хост-машины;

Гостевая операционная система - операционная система, работающая на гостевой машине;

Хост-машина - машина, в операционной системе которой запущена система виртуализации, под управлением которой работают гостевые машины.

Типы виртуализации в ОС СН

Программное обеспечение входящее в состав ОС СН поддерживает два типа виртуализации:

• Полная виртуализация - технология виртуализации обеспечивающая полное моделирование используемого оборудования полностью индивидуальное для каждой гостевой ОС. Гостевые ОС полностью изолированы друг от друга, и каждая гостевая ОС работает в собственной программно-аппаратной среде, полностью копирующей реальное оборудование и содержащей полную копию всех необходимых ресурсов;
  
  
• Контейнерная виртуализация - технология виртуализации обеспечивающая совместное использование ресурсов гостевыми операционными системами. Экземпляры операционных системах, выполняющихся в контейнерах, изолированы друг от друга, но при этом некоторые ресурсы используются ими совместно.

Системы виртуализации  в ОС СН

В состав ОС СН входят две системы виртуализации, поддерживающие два описанных выше типа виртуализации:

• libvirt - система полной виртуализации;
• docker - система контейнерной виртуализации.

Система контейнерной виртуализации Docker

Термины

Докерфайл - текстовый документ, содержащий все команды, выполнение которых требуется для создания образа Docker. Образы могут создаваться автоматически путём интерпретации докерфайлов и применения содержащихся в докерфайле инструкция к образу;

Слой - внутри образов слой это изменение файловой системы, представленное инструкцией в докерфайле. Слои последовательно "накладываются" на базовую файловую систему образа, создавая итоговый образ. Любой слой может использоваться несколькими образами одновременно. При изменении образа в нём заменяются только изменившиеся слои, что позволяет обновлять образы быстро и с небольшими затратами ресурсов. Размер образа равен сумме размеров входящих в него слоёв;

Образ - основа контейнеров. Контейнер не имеет состояний и не изменяется. Контейнер состоит из:

1. Базовой файловой системы;
2. Упорядоченного набора изменений ("слоев") в этой файловой системе;
3. Базовых параметров исполнения, применяемых при запуске контейнеров. 

Контейнер - образ, находящийся в работе, то есть образ с новым изменяющимся слоем. При работе контейнера все изменения сохраняются в новом слое, а образ (т.е. все предыдущие слои) остаётся неизменным;

Реестр образов - сетевое хранилище подготовленных образов, доступных для загрузки на целевые машины и последующего выполнения в качестве контейнеров.

Особенности

Система контейнерной виртуализации Docker является не просто системой виртуализации, а системой быстрого распространения и развёртывания приложений.

Традиционный способ развёртывания приложений без использования Docker предполагает следующие шаги:

• передача пользователю приложения комплекта неких файлов приложения, как правило:
  • исполнимый файл;
  • конфигурационный файл;
  • сценарии установки и удаления;
  • инструкции по установке;
• выполнение пользователем для развёртывания предоставленных сценариев и инструкций на целевой машине.

При этом, несмотря на то, что разработчиками приложений тратятся значительные усилия на создание и проверку сценариев развёртывания, учитывающих всевозможные особенности целевых машин и возможные конфликты с другими приложениями, выполнение действий по установке часто завершается неудачей - в силу специфических особенностей  целевых машин, все варианты которых предусмотреть невозможно.

Docker предлагает альтернативный вариант развертывания приложений, при котором поставщик приложений передаёт пользователям приложений предварительно настроенные контейнеры с приложениями. Эти контейнеры просто запускаются пользователем на целевой машине, предоставляя каждому приложению изолированное предварительно настроенное окружение для работы. Таким образом, исключается существенная часть ошибок развертывания, связанных с предварительной настройкой нестандартных пользовательских систем. Хорошим примером использования возможностей Docker по быстрому развёртыванию приложений является пример развертывания собственного реестра образов, выполняемого путем простого скачивания подготовленного образа (см. раздел "Администрирование" - "Создание собственного реестра образов").

При этом, по сравнению с системами полной виртуализации, запуск контейнеров требует значительно меньеших вычислительных ресурсов, чем запуск полноценной виртуальной машины, и, кроме того, Docker для экономии ресурсов поддерживает систему повторного использования "слоев". "Слой" в терминологии Docker - это некий моментальный снимок состояния системы, а "образ" - это итоговое состояние системы с учетом состояний всех подлежащих слоев. При этом "слои" могут использоваться повторно разными "образами":

Дополнительным эффектом от повторного использования "слоев" является снижение объемов передаваемых данных при передаче подготовленных в виде образов прикладных программ: при использовании реестра образов Docker передаваться будет только новые слои, в примере выше - слой "Базовая система Astra Linux SE" будет загружен из реестра образов только один раз, далее загружаться будут только новые слои.

Ограничения Docker

Администрирование Docker

Установка Docker

Установка Docker для работы в привилегированном режиме (не рекомендуется)

В ОС СН Смоленск 1.7 Docker представлен пакетом docker.io и может быть установлен с помощью графического менеджера пакетов или из командной строки командой:

Установка выполняется от имени пользователя, являющегося администратором системы, и после установки Docker рекомендуется предоставить этому пользователю право работать с контейнерами не используя sudo. Для этого пользователя нужно включить в группу docker: Изменение вступит в силу после перезапуска пользовательской сессии.

Для более ранних версий Astra Linux см. статью: Установка и настройка Docker в ОС Astra Linux

Установка, включение и применение Docker для работы в непривилегированном (rootless) режиме (рекомендованный режим)

Для использования Docker в rootless режиме следует установить пакет rootless-helper-astra:

После установки пакета необходимо включить пользовательские службы Docker для тех пользователей, которые будут использовать контейнеры Docker в rootless режиме: и, при необходимости, разрешить автоматический запуск этих служб: Дальнейшее применение Docker пользователями возможно с помощью команды rootlessenv. Будучи запущена без параметров, эта команда предоставит пользователю командную оболочку, в которой пользователь сможет выполнять команды Docker от своего имени. При запуске с параметрами команда rootlessenv попытается интерпретировать параметры как стандартные команды Docker, и выполнить их в пользовательском окружении. Все данные при этом будут сохраняться в домашнем каталоге пользователя. Например, создать образ для использования текущим пользователем можно командой: От команд, описанных в Создание собственного образа для использования в Docker, приведённая выше команда отличается только использованием rootlessenv для выполнения команды docker import.  При этом стандартная команда  покажет список пользовательских образов, а команда запустит пользовательский образ. Далее примеры команд приводятся от имени sudo, для работы в rootless режиме sudo может быть везде заменено на rootlessenv.

Создание собственного реестра образов

Загрузить подготовленный образ Docker, содержащий приложение "Реестр образов Docker". Образ "Реестр образов Docker" загружается из реестра образов Docker:

После выполнения указанной команды локальный реестр образов автоматически запущен и готов к работе. Управление работой контейнера реестра осуществляется так же как управление любым другим контейнером. например остановка работы реестра:

Удаление реестра:

Создание и модификация собственных образов

Создание простого образа из chroot-окружения

Простой пример создания собственного образа см. в статье Создание собственного образа для использования в Docker

Модификация образа с помощью докерфайла

Подробное описание структуры и работы с докерфайлами доступно в справочной системе man:

Докер может создавать образы автоматически, получая инструкции из докерфайла. Докерфайл представляет собой текстовый файл содержащий все инструкции которые понадобилось бы выполнить пользователю создавая образ. Используя команду docker build пользователи могут использовать для создания образов автоматические сценарии, содержащие множество команд. Команда docker build создаёт образ из докерфайла и контекста. Контекст представляет набор файлов в указанной локации. Локация контекста может быть задана как путь (PATH) в файловой системе или как ссылка (URL) на сетевой репозиторий Git. По умолчанию используется докерфайл с именем Dockerfile, расположенный в корне контекста.

Команда docker build выполняется службой (демоном) dockerd, при этом полное содержимое контекста рекурсивно пересылается службе dockerd и может по мере надобности копироваться в создаваемый образ. Копирование выполняется командами, указанными в докерфайле.

Перед началом выполнения инструкций, указанных в докерфайле, проводится проверка всех инструкций на корректность. Инструкции выполняются последовательно,  и результат выполнения каждой инструкции фиксируется в отдельном слое. Рабочим каталогом по умолчанию является корневой каталог (может быть изменен инструкцией WORKDIR в докерфайле). Инструкции выполняются без передачи контекста, т.е., например, при выполнении инструкций:

в первой инструкции команда pwd будет выполнена в каталоге /home, во второй инструкции команда pwd будет выполнена в рабочем каталоге, заданном по умолчанию.

Далее приведён пример сборки образа с помощью команды docker build. Сборка выполняется на основе ранее созданного образа wiki/astralinux:orel (см. Создание собственного образа для использования в Docker). Порядок действий:

1. Создать каталог контекста сборки и файлы этом каталоге:

   mkdir build-orel
   echo "Это импортированные данные" > build-orel/data-to-import
   Т.е. в контексте сборки создан файл с именем data-to-import и содержащий текст "Это импортированные данные" (без кавычек).
   
   

2. В файл build-orel/Dockerfile внести следующие данные:

   # указание из какого образа выполнять сборку
   FROM wiki/astralinux:orel
   # скопировать файл data-to-import из контекста сборки в образ
   COPY /data-to-import /srv
   # создать в образе пустой файл /srv/created-file
   RUN touch /srv/created-file
   # вывести на печать содержимое скопированного файла 
   RUN cat /srv/data-to-import
   # вывести на печать рабочий каталог
   RUN echo Current work directory is $(pwd)

   
   

3. Выполнить сборку образа с тегом test:

   docker build -t test build-orel/
   

   ---

   Sending build context to Docker daemon   5.12kB
Step 1/5 : FROM wiki/astralinux:orel
 ---> 60d0611fe56a
Step 2/5 : COPY /data-to-import /srv
 ---> 7a75a002d29f
Step 3/5 : RUN touch /srv/created-file
 ---> Running in 709bb54af8c3
Removing intermediate container 709bb54af8c3
 ---> b5fd28178901
Step 4/5 : RUN cat /srv/data-to-import
 ---> Running in 4c69f455cf2f
Это импортированные данные
Removing intermediate container 4c69f455cf2f
 ---> c8f8c7c3797a
Step 5/5 : RUN echo Current work directory is $(pwd)
 ---> Running in 27db5fcaaba5
Current work directory is /
Removing intermediate container 27db5fcaaba5
 ---> 14446097a09e
Successfully built 14446097a09e
Successfully tagged test:latest
   На шаге 4 выводится содержимое скопированного из контекста файла, на шаге 5 выводится рабочий каталог;
   
   

4. Убедиться, что образ test появился в списке образов:

   docker images
   

   ---

   REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
test                latest              14446097a09e        2 minutes ago       290MB
wiki/astralinux     orel                60d0611fe56a        About an hour ago   290MB
busybox             latest              b97242f89c8a        7 days ago          1.23MB

5. Запустить контейнер из образа и проверить содержимое:
   

   docker run --rm -it test
   

   ---

   root@978a4cc9fbd8:/# ls -l /srv
total 4
-rw-r--r-- 1 root root  0 Jan 20 10:12 created-file
-rw-r--r-- 1 root root 51 Jan 20 10:11 data-to-import
root@978a4cc9fbd8:/# cat /srv/data-to-import  
Это импортированные данные
root@978a4cc9fbd8:/# exit
exit
   В контейнере в каталоге /srv присутствует скопированный в образ файл data-to-import содержащий текст "Это импортированные данные" и созданный при создании образа пустой файл created-file.
   
   

Управление Docker-ом

Подробная справка по командному интерфейсу Docker представлена на сайте разработчиков: https://docs.docker.com/engine/reference/commandline/docker/. При работе в системе список команд можно получить с помощью команды:

Более подробную справку по аргументам команд можно получить с помощью ключа --help, или с помощью справочной системы man, например: Часто употребимые команды (аргументы команд для краткости не указаны):

Загрузка образа в реестр

Получить список доступных на локальной машине образов:

Пометить загружаемый образ тегом (tag) для загрузки в нужный реестр: Перепроверить список доступных образов, чтобы убедиться, что тег присвоен верно: В примере выше первые две строки сообщают об одном и том же образе (идентификатор образа 5d69ce8720a7). При этом образ помечен как размещённый в двух локациях - на локальной машине wiki/astralinux и сетевом реестре на локальной машине localhost:5000.

Загрузить образ в реестр:

Использование Docker

Получение образа из реестра

Пример получения образа Docker из реестра описан выше (см. "Создание собственного реестра образов"). При этом для получения образа используется просто команда запуска контейнера (docker run), которая, не найдя на локальной машине указанный образ, ищет образ в реестре образов, и, если образ найден, автоматически загружает и запускает его.

Образ также можно просто загрузить из реестра с помощью команды docker pull, например:

Копирование образа без использования реестра

Образ, хранящийся на локальной машине может быть скопирован (например, на другую (целевую) машину) без использования реестра образов. Далее для примера используется стандартный образ hello-world из реестра образов Docker. Перенос образа на другую машину:

1. Выгрузить образ в файл архива:

   docker save -o hello-world.bz2 hello-world
   Опция -o указывает имя файла, в который нужно выводить данные. Если опция не указана, то вывод осуществляется в стандартный вывод (stdout), что можно использовать для автоматизации работы (см. далее).
    

2. Скопировать полученный файл hello-world.bz2 на целевую машину любым доступным способом;
   
   

3. На целевой машине загрузить файл в локальный реестр образов:

   docker load -i hello-world.bz2
   Опция -i указывает имя файла, из которого должен загружаться образ. Если опция не указана - образ загружается из стандартного ввода.

Или, как вариант, выполнить все указанные выше шаги одной командой, скопировав создаваемый файл через SSH (естественно, на целевом компьютере для этого должен быть настроен SSH):

Где:

• docker save hello-world - команда выгрузки образа с именем hello-world. В отличие от примера выше команда используется без указания файла, то есть выводит в стандартный вывод (stdout);
• bzip2 - программа сжатия данных (архиватор);
• ssh user@host 'bunzip2 | docker load' - подключение через SSH к компьютеру с именем host от имени пользователя user и запуск команды загрузки образа из стандартного ввода (stdin). Пользователь user на целевом компьютере должен иметь право работать с Docker без использования sudo.

Создание контейнеров из образов и основы работы с контейнерами

При запуске приложений, упакованных в контейнеры Docker, важно понимать разницу между "образом" (неизменяемым набором данных) и "контейнером" (изменяемым набором данных, создаваемых из "образа").

Для примера используем стандартный образ busybox, который загрузим из ресстра Docker:

Исходное состояние: в локальном репозитори имеются образы hello-world и busybox: И нет ни одного контейнера:

Создание нового контейнера из образа busybox и его запуск выполняется одной командой:

Где:

• --name run-busybox - присвоить создаваемому контейнеры имя run-busybox. Имя можно не указывать, тогда оно будет создано автоматически.
• --rm - уничтожить контейнер после завершения его работы;
• -i - запустить контейнер в интерактивном режиме;
• -t - создать терминал;
• /# - приглашение интерактивного режима запущенного контейнера и ожидание ввода.

Проверим из отдельной терминальной сессии список контейнеров:

В списке появился новый контейнер с именем run-busibox.

Вернёмся в первую терминальную сессию, и выйдем из интерактивного контейнера командой exit. Повторная проверка командой docker container ls -a покажет, что список контейнеров пуст (опция --rm указывает удалить контейнер после завершения работы).

Повторно запустим контейнер, уже без опции --rm, и, для примера, не задавая имя контейнера:

Снова проверим список контейнеров из отдельной сессии:
В списке появился новый контейнер с автоматически созданным именем amazing_morse.
Снова вернёмся в первую терминальную сессию, и выйдем из интерактивного контейнера командой exit. Повторная проверка покажет, что теперь в списке контейнеров сохранился контейнер:
Повторно выполним команду docker run:
И из отдельной терминальной сессии увидим, что контейнеров теперь стало 2: 1) ранее созданный amazing_morse (неактивный) и 2) новый admiring_murdock (активный):
То есть:

Для запуска созданного и сохранённого контейнера используется команда docker start (обратите внимание, используется не образ, а контейнер):

опции -ai задают подключение в интерактивном режиме, но контейнер можно можно запустить и в фоновом режиме: К контейнеру работающему в фоновом режиме можно подключиться командой docker attach:
Отключиться от конейнера, не останавливая его, можно нажав последовательно клавиши Ctrl+p Ctrl+q, можно также остановить контейнер, введя команду exit.

Выше описано, как работать с контейнерами, в том числе сохраняя сделанные изменения. То есть, первоначальный образ можно "изменить" (естественно, не сам образ, который неизменен, изменения регистрируются в контейнере), и далее контейнер можно преобразовать в образ с помощью команды docker container commit:

Проверим список образов:

Монтирование файловых ресурсов хост-машины

Docker поддерживает следующие варианты монтирования файловых ресурсов хост-машины:

• bind - монтирование файла или каталога хост-машины в контейнер. Примонтированный ресурс доступен по его абсолютному пути на хост машине.

  Метод монтирования является устаревшим и не рекомендуется к применению.
• mount - монтирование заранее созданных изолированных томов для размещения данных.
• tmpfs - монтирование временных ресурсов вне файловой системы хост-машины и вне изменяемого слоя контейнера в памяти хост-машины. Данные уничтожаются после остановки контейнера и не могут разделяться между контейнерами.

Опции монтирования задаются при создании контейнеров из образов, и сохраняются в параемтрах контейнера. Опции монтирования могут задаваться в двух альтернативных форматах: "формат -v" и "формат --mount". Значение "формат -v" состоит их трех фиксированных полей, разделённых символами двоеточия: ресурс монтирования, точка монтирования, опции монтирования. Значение "формат --mount" состоит из списка пар вида "опция=значение", разделённых запятыми, см. примеры далее. Опции монтирования в варианте bind фактически отличается от опция монтирования в варианте mount названием монтируемого ресурса: в первом случае это путь к файловому объекту, во втором - имя заранее созданного тома монтирования. Если точка монтирования внутри контейнера не существует то она создаётся автоматически, причём всегда в виде каталога.

Опции монтировниния "формат --mount":

Запуск контейнера с bind-монтированием текущего каталога на хост-машине в каталог /app контейнера:

Создание тома с именем my-vol для последующего монтирования:

Запуск контейнера с mount-монтированием тома my-vol на хост-машине в каталог /app контейнера:

Запуск контейнера с tmpfs-монтированием:

Рекомендации по контролю безопасности контейнеров

По материалам: https://www.stackrox.com/post/2017/08/hardening-docker-containers-and-hosts-against-vulnerabilities-a-security-toolkit/

1. По умолчанию клиенты Docker обмениваются информацией со службой Docker через Unix-сокет /var/run/docker.sock.  При неверно установленных правах доступа этот сокет может быть примонтирован контейнером, который в таком случае получит полный контроль над службой Docker.
   Для предотвращения такого рода угроз следует использовать соответствующие профили SELinux/AppArmor.
   
   
2. При монтировании к контейнерам файловых ресурсов хост-машины содержащих информацию о хост-машине (например, каталоги /etc/ или /usr/).
   Для предупреждения нежелательного изменения информации следует использовать монтирование в режиме "только чтение" и, по возможности, следует исключить применение монтирования файловых объектов, влияющих на конфигурацию хост-машины.
   
   
3. Привилегированные контейнеры имеют практически такие же права, как привилегированный пользователь хост-машины.
   При работе привилегированных контейнеров следует использовать для них ограничения привилегий.
   
   
4. Использование ssh для работы с контейнерами затрудняет управление ключами и политиками доступа ssh.
   Следует по использовать доступ ssh к только хост-машине, а для доступа к контейнерам использовать команды docker exec или docker attach. 
   
   

5. При запуске контейнеров, требующих доступ к ним через сеть, используются параметры запуска, указывающие сетевые порты, через которые разрешен доступ (опция -p команды doсker run), например:

   docker run -d -p 5000:5000 --restart=always --name registry registry:2
   
   Проверить к каким портам разрешён доступ у работающих контейнеров можно выполнив команду docker inspect. Пример выполнения этой команды для всех запущенных контейнеров:
   
   docker ps --quiet | xargs docker inspect --format '{{ .Id }}: Ports={{ .NetworkSettings.Ports }}'
   

   ---

   385c73836ec1f12469c6a9f46ec5b06e63cc59f02722bed2a2f42eda83944420: Ports=map[5000/tcp:[map[HostIp:0.0.0.0 HostPort:5000]]]
   В примере приведён вывод команды для единственного ранее запущенного контейнера  registry:2, доступ к которому разрешен через порт 5000.
   

6. Контейнеры по умолчанию запускаются с применением ограничений AppArmour/SELinux и seccomp. С помощью опции --unconfined возможен запуск контейнеров без применения этих ограничений. 
   Следует избегать применения опции --unconfined.
   
   
7. Контейнеры могут запускаться с опциями --pid и --net в пространствах имён хост-машины (пространство процессов и сетевое пространство соответственно). Такие контейнеры получают возможность контролировать процессы хост-машины или подключаться к привилегированным сетевым портам хост-машины.
   Следует избегать использования контейнеров, работающих в пространствах имён хост-машины.
   
   
8. При использовании контейнеров предоставляющих службы по сетевому протоколу TCP следует использовать защиту передаваемых данных с помощью TLS (см. https://docs.docker.com/engine/security/https/).
   
   

9. В Astra Linux возможно монтирование файловых ресурсов в режимах "разделяемый" (shared), "подчинённый" (slave) или "частный" (private). При монтировании в режиме "разделяемый" изменения, сделанные через любую точку монтирования распространяются на все точки монтирования, что может привести нарушению работы контейнеров из-за нежелательных изменений файловых объектов другими контейнерами.
   Следует избегать монтирования с опцией ":shared", т.е команд запуска контейнеров вида:

   docker run --volume=/hostPath:/containerPath:shared <имя_образа> 
   Проверить используют ли контейнеры разделяемое монтирование можно командой:
   docker ps --quiet --all | xargs docker inspect --format '{{ .Id }}: Propagation={{range $mnt := .Mounts}} {{json $mnt.Propagation}} {{end}}'

Возможный сценарий применения Docker

Таким образом, возможный сценарий применения Docker:

1. Создать (загрузить) исходный образ;
2. Создать из этого образа контейнер, работая в котором выполнить и сохранить дополнительные настройки;
3. Конвертировать контейнер с выполненными настройками в новый образ;
4. Скопировать новый образ на целевые машины для использования;
5. На целевых машинах:
   1. Можно использовать контейнеры, сохраняющие возникающие при эксплуатации изменения в этих контейнерах;
   2. Можно использовать образ, монтируя к нему внешние каталоги, в которых сохраняются изменения, не сохраняя изменения в контейнерах;
   3. Можно комбинировать указанные варианты.