Docker 股份有限公司已经发布了开源 Docker 容器引擎项目的 1.13 版。这个版本包括对 Docker CLI 的重大重新调整,引入了回收再利用磁盘空间的‘clean-up’命令,以及几个实验性特性,比如镜像层压缩和改进了日志的 Prometheus-style 端点。伴随 Docker 1.13 版的发行,还有支持工具链的新版本,包括: Docker Compose 1.10 、 Docker Machine 0.9.0 和 Notary 0.4.3 。所有这些版本都包括在 Docker for Mac 和 Docker for Windows 的捆绑下载中。
这个版本的 Docker CLI 围绕像“容器”和“镜像”这样的管理对象已经做了重大的调整,虽然 1.13 版之前的命令在这个版本中仍然是可用的。Docker 官博声称在 1.12 版中包含有‘run’、‘build’ 和 ‘images’等 40 多个命令,这使帮助页面很是混乱,也很难做到 tab 补齐。Docker 1.13 版重新组织了每个命令,使其作用于有相互影响的逻辑对象之下,即管理对象。例如,容器的‘run’ 和 ‘stop’现在是 ‘docker container’ 管理命令的子命令,而镜像的‘build’ 和 ‘history’是 ‘docker image’的子命令。Docker Captain Arun Gupta 写了一篇已有命令到新管理命令的全面映射的博客。管理命令示例如下:
$ docker container run hello-world $ docker image ls $ docker image rm hello-world --force
Docker 1.13 版引入了几个‘ clean-up ’命令。例如,‘docker system df’将显示已使用的磁盘空间,而 ‘docker system prune’ 将清除所有未使用的数据(在删除之前由用户予以确认)。来自于系统 prune 的数据将被清除,包括所有已停止的容器、所有一个容器也未使用的卷和网络,以及所有挂起的镜像。Prune 也可以用于消除特定的数据。例如,‘docker volume prune’ 和 ‘docker image prune’,目标分别为未用的卷和挂起的镜像。
该 1.1.3 版现在包括一个针对 Docker 守护进程的“实验性”标记,从而将这些实验性的特性包含在 Docker 的稳定版本中。该实验性标志在当前针对 Mac 和 Windows 的 Docker 下载中默认是开启的,而在单独的二进制下载中不是。因此,开发人员和运维人员应该留意一下,确保他们清楚在他们的开发和生产配置中开启了哪些特性。
在 Docker 1.13 版中新的实验性特性包括一个‘docker build’ ‘–squash’ 标记,它把所有由构建生成的文件系统层取出来并合并到一个新的层。 Docker 客博表示,这能简化创建最小容器镜像的过程,但镜像移动时可能会导致更高的成本,因为压缩的层不能再在镜像间共享了。Docker 仍然缓存单个层以使后来的构建更快速。Docker 1.13 版还支持构建内容的压缩,使用‘–compress’标记从 CLI 发送给守护过程即可。通过减少数据发送量从而加快在远程守护进程上完成构建的速度。
Docker 1.13 版还增加了一个实验性 Prometheus-style 端点,以及容器、镜像和其他守护进程状态的基本度量。‘docker service logs’是一个新的实验性命令,其目标是使服务调试更加简单。与必须追踪为特定服务供能的主机和容器并从这些容器拉取日志不同,‘docker service logs’ 是从运行某一服务的所有容器中拉取日志并流化它们到运维人员的控制台。
Docker 1.13 版为‘docker stack deploy’ 命令增加了 Compose 文件支持,以便服务可以直接使用‘docker-compose.yml’ 文件部署到内置的 Docker Swarm Mode 群集。这个增强克服了部署 Docker Compose 栈到 Docker Swarm Mode 必须捆绑 Compose 到 Distributed Application Bundles (DAB) 中的限制,它未完全支持所有的 Docker Compose 操作,比如 volume mounts 。(请注意,不要把 Docker Swarm Mode 和原始独立的 Docker Swarm 搞混,它与 Docker Compose v2 语法兼容,但运行容器时不能使用内置于 Docker Engine Swarm Mode 的功能。)
Docker Compose 1.10 引入第三版 Compose 语法,它移除了多个属性,比如‘volume_driver’、‘volumes_from’ 和 ‘cpu_shares’,并增加了 ‘deploy’属性。与被移除属性相关的所有操作在其他的属性上仍然是有效的,从 Compose 早期版本迁移的操作应参阅更新指南。这些服务部署属性使容器复制因子、更新策略(也就是滚动更新)、部署限制和资源配置(可以使用新的简化的 'cpus’资源限制代替已有的 cpu-quota、cpu-shares 或者 cpuset-cpus)的规范成为可能。
这些部署属性只在使用‘docker stack deploy’ 部署 Swarm Mode 集群时产生作用,在使用‘docker-compose up’ 和 ‘docker-compose run’时则会忽略。举一个包含有第三版语法的’docker-compose.yml’文件示例如下:
version: "3" services: web: image: web labels: com.example.description: "This label will appear on all containers for the web service" deploy: labels: com.example.description: "This label will appear on the web service" resources: limits: cpus: '0.001' memory: 50M reservations: cpus: '0.0001' memory: 20M mode: replicated replicas: 6 update_config: parallelism: 2 delay: 10s restart_policy: condition: on-failure placement: constraints: - node.role == manager - engine.labels.operatingsystem == ubuntu 14.04
在本版本针对 Swarmkit 中新的 Secret API 增加的支持中,包含Docker Swarm Mode 的最新版本。这个功能与 Kubernetes Secrets 或中立平台 HashiCorp Vault 开源产品类似。相关的 Secrets API GitHub issue 表示这一功能当前适用于仅以 Swarm 作为数据存储的 Swarm Mode,并且仅针对 Linux。这一版本是未来 Docker 针对 Windows、不同数据存储等等继续增强安全支持的基础。
Docker 安全仅适用于 Swarm 服务,不适用于单独的容器。然而,容器可以指定作为规模为 1 的 Swarm 内的服务来运行。若想详细了解该安全功能是如何实现的,以及相关的注意事项,可以深入研究该文档。
在该1.13 版中其他值得注意的包括这样一份公告,公告称 Docker for AWS 和 Docker for Azure 已经结束公开测试即将面世。该 Docker 管理插件 API不再是实验性的了。然而,该API 与之前Docker 1.12 中的版本已经有了很大的变化,在升级到Docker 1.13 之前必须要使用’docker plugin rm’命令先卸载插件。该‘MAINTAINER’ Dockerfile 声明也成了不赞成的,推荐使用‘LABEL’ 来代替。
此外,Docker 1.13 版还包括针对Linux 托管访问控制技术的更新,其中包括 SELinux (安全增强的 Linux) 和 AppArmor 。然而,几个与 high-profile 相关的缺陷仍然是打开状态,包括增加对 sharing Unix sockets 的支持,以及在安装好的卷中访问文件会变得非常慢(尽管这可能使用第三方工具 docker-sync 缓解)。
在 Docker 客博中可以找到关于此 Docker 1.13 版的其他信息,在 Docker GitHub 资源库中可以找到完整的 1.13 版更新说明。Docker 1.13 版二进制和分别“针对 Mac”和“针对 Windows”的捆绑可以从 Docker 网站上下载。
查看英文原文: Docker 1.13 Released with Improved CLI, Compose-file Support for Swarm Mode, and Secrets API
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论