Red Hat Enterprise Linux 7 zawiera oficjalną obsługę uruchamiania kontenerów Docker, a Red Hat oferuje zestaw oficjalnych obrazów Rhel Docker. Ciekawą cechą tych obrazów jest to, że pakiety mogą być instalowane za pośrednictwem subskrypcji Red Hat Network bez konieczności przeprowadzania jakiejkolwiek konfiguracji w kontenerze.
Aby zacytować https://access.redhat.com/articles/881893#createimage :
„W bieżącej wersji Red Hat Docker domyślny obraz dokowania RHEL 7 pobierany z Red Hat będzie mógł czerpać z uprawnień RHEL 7 dostępnych z systemu hosta. Tak długo, jak host Docker jest poprawnie subskrybowany, a repozytoria są po włączeniu musisz mieć potrzebne oprogramowanie w swoim kontenerze (i mieć dostęp do Internetu z hosta Docker), powinieneś być w stanie zainstalować pakiety z repozytoriów oprogramowania RHEL 7 ”.
Obawiam się, że mechanizm, dzięki któremu można to osiągnąć, jest raczej niejasny. Na przykład podczas uruchamiania nowego kontenera z obrazem rhel7.1 można uruchomić yum install foo
nawet bez konfigurowania zmiennych środowiskowych proxy HTTP. Bez zrozumienia tego mechanizmu administrator systemu jest potencjalnie na łasce nieznanych interakcji między systemem hosta, demonem Docker i uruchomionymi kontenerami. Sugeruje to również, że normalna izolacja między hostem a kontenerem jest w jakiś sposób zagrożona (choć w łagodny sposób).
Mówiąc krótko: W jaki sposób osiąga się tę obsługę subskrypcji i czy zależy ona od niestandardowej wersji demona Docker dostarczanego przez Red Hat za pośrednictwem sieci subskrypcji?
Odpowiedzi:
Red Hat przenosi łatkę do tak
docker
zwanej łatki „tajemnic”, która umieszcza informacje o uprawnieniach w kontenerach po ich uruchomieniu.Lepszy opis łaty i link do wcześniejszego PR znajduje się w repozytorium projectatomic / docker :
https://github.com/projectatomic/docker/tree/docker-1.13.1-rhel#add-rhel-super-secrets-patchpatch
Uwaga: musisz wybrać jedną z gałęzi (link prowadzi do gałęzi „docker-1.3.1-rhel”), aby zobaczyć wszystkie informacje o przeniesionej łatce.
źródło
yum
komendach w kompilacji Docker lub obraz Dockera zawiedzie?Wiedząc, w jaki sposób maszyny wirtualne zarządzane przez Red Hat Satellite są licencjonowane, i wychodząc z komentarza @ Leynos, spodziewałbym się, że istnieje coś podobnego do
virt-who
, czyli usługa, która rozmawia z hostem wirtualizacji (vSphere, KVM itp.) I wysyła do niej zapytania znaleźć szczegóły dotyczące maszyn wirtualnych. Następnie wykonuje niezbędne wywołania API w satelicie, aby umożliwić maszynie wirtualnej korzystanie z licencji centrum danych hosta.Spodziewałbym się, że demon dokera Red Hat zapewnia coś podobnego, pozwalając kontenerowi wiedzieć, że działa z subskrybowanego hosta Docker, a zatem korzysta z tej subskrypcji.
Również stąd :
Jest więc coś w kontenerze lub demonie, które może wysłać zapytanie do hosta w celu znalezienia informacji o subskrypcji (i prawdopodobnie również informacji repo).
źródło