如何利用Docker Datacenter支撐內部CaaS

今天，我們滿懷興奮之情宣布 Docker Datacenter（簡稱DDC） 的正式發布，這套集成化端到端平臺專門用于將應用程序開發與管理工作由內部數據中心遷移至云環境下，并借此實現高敏捷性水平。

在Docker Datacenter的幫助下，企業將能夠立足于內部或者虛擬私有云環境實現 容器即服務（簡稱CaaS） 的部署工作。CaaS能夠提供一整套IT管理及安全應用的內容與基礎設施環境，開發人員則以此為基礎通過自助服務模式實現應用程序的構建與部署。

Docker Datacenter 當中包含一系列領先的Docker開源項目、商用軟件并同大量經過驗證并受到支持配置相集成：

• Universal Control Plane (UCP) 1.0 ，嵌入Swarm以實現對Docker環境的管理與編排能力。
• Trusted Registry (DTR) 1.4.3 ，用于實現Docker鏡像管理、安全保護與協作。
• 商業支持 Docker Engine 1.10 作為強大的容器運行時方案。

下面我們將對其功能特性做出深入審視。

易于設置及使用

我們希望用戶能夠盡快利用Docker Datacenter打理各類實際性任務，因此我們投入大量時間以確保安裝、配置與升級等流程能夠快速簡便地得到完成。DTR與UCP本身就屬于Docker化應用程序，因此能夠在Docker Datacenter當中快速啟動。而一旦投入運行，適用于UCP與DTR的Web管理員UI則開始負責后續配置工作，具體包括存儲、憑證以及用戶管理，且一切都可通過幾次點擊輕松實現。同一套UI還可作用于用戶，保證他們便捷地同應用程序、repo、網絡以及訪問分卷進行交互。

Docker原生配備Engine、Networking與Swarm

Docker Datacenter支持Docker API并在平臺中直接嵌入多種高人氣Docker開源項目，具體包括Engine以及Swarm等等。這意味著應用程序開發人員能夠利用一條簡單的docker-compose up命令定義Docker Compose與UCP之直接協作。整個過程不涉及任何重寫與調整——只需立足于開發成果將其敏捷部署至Swarm即可。大家不僅能夠實現對整體Swarm集群內各應用、網絡及分卷的可視能力與管理能力，Docker Datacenter在本質上還能夠保證應用程序的可移植能力，包括由開發向生產之流程乃至跨越各網絡與存儲供應程序（插件）以及任意云環境（私有云與公有云）。

在以下截圖當中，大家可以看到Networks作為UCP UI中的第一個類對象。我們可以直接在該UI中創建網絡，或者docker-compose up一個文件并在其中做出網絡定義。在此之后，UCP將創建對應網絡并將其顯示在Networking屏幕當中。

內置高可用性與安全性

為了確保應用程序流水線的順暢推進，Docker Datacenter還內置有面向應用程序環境的高可用性與安全性機制。UCP能夠利用多臺主機之上的控制器得到輕松設置以實現高可用性。一旦其中某臺主機發生宕機或者故障，整體系統將繼續保持Swarm集群同UCP設置、賬戶乃至權限狀態的一致性。TLS亦會在加入該集群的同時在各Docker主機上得到自動化設置，這樣大家就能夠在無需額外調整的前提下在自己的Docker環境內確保安全通信。需要訪問UCP的客戶端能夠通過用戶指定型客戶端綁定輕松接入——其中包含有UCP各自所需的憑證與認證密鑰，進而提供對UCP之上所運行應用程序加以確切管理的正確權限水平。

從開發到生產，全程配合集成化內容安全保護

安全保障必須以多層級方法的姿態實現; 從運行時到內容再到訪問者身份乃至可執行之操作等等。Docker Datacenter將Docker Content Trust與DTR相結合，從而提供一整套貫穿應用程序生命周期始終的集成化內容安全保障機制。Content Trust使大家有能力通過數字化密鑰進行鏡像標記，而后對這些鏡像簽名加以驗證。舉例來說，中央IT團隊能夠創建基礎鏡像、對其進行標記并將它們上傳至Trusted Registry受信注冊表實例當中。而與DTR相集成則能夠將簽名狀態顯示在UI中以供開發人員及IT人員查閱。開發者們可以提取這些鏡像，以其為基礎構建應用程序并通過部署實現生產環境測試。當Content Trust被激活時，環境中的Docker Engine將無法訪問或者運行那些未被標記的鏡像。

貫穿整個應用程序生命周期的用戶與訪問管理機制

要對運行在容器內的負載進行安全保護，首先需要通過命令來控制哪些負載能夠運行在環境之內; 接下來，我們需要控制有資格對負載進行訪問的用戶身份，這代表著一種新的控制層級：誰有資格訪問、允許其執行哪些操作、其能夠訪問哪些具體內容。UCP與DTR都允許大家通過GUI實現用戶及團隊管理，或者集成至現有LDAP/AD服務器以繼承已定義之用戶及群組成員。與DTR類似，UCP允許我們以基于角色的方式為團隊分配指向特定容器組的權限（例如設置‘只讀’以實現對容器的羅列/檢查，而對設置‘全部控制’以開啟/停止/刪除/查看容器）。這種細粒度訪問控制機制保證了每個團隊都能夠隨時根據實際需要以適當方式訪問應用程序及其資源。

靈活選擇插件、驅動程序與開放API

每一家企業都擁有不同的系統、工具與流程。Docker Datacenter在設計上充分考慮到了當前運行環境的實際需要，并提供出色的靈活性以在無需進行應用程序代碼重構的前提下對基礎設施內的任意部分做出調整。舉例來說，其網絡插件能夠幫助我們輕松利用Docker定義各應用容器網絡的對接方式，同時選出特定數量的提供程序以交付底層網絡基礎設施。亦有多種面向存儲體系的插件選項。存儲驅動程序能夠輕松將DTR與存儲基礎設施相結合，從而存儲鏡像及API并允許我們從日志記錄及監控系統中提取狀態及日志等數據。這種模式建立起極具生命力的生態系統，目前已經有數百家合作伙伴為Docker用戶提供各類網絡、存儲、監控以及工作流自動化等可行選項。

而這一切還僅僅是Docker Datacenter強大能力的一個側面。感興趣的朋友請查看以下資源以獲取更多信息，并體驗為期30天的Docker Datacenter免費試用方案。

與 Docker Datacenter相關之更多資源（英文原文）:

• Register for the Docker Datacenter Webinar on March 1
• Try Docker Datacenter today with a free 30 day trial
• Learn Docker Datacenter for free in the month of March with our new training series New Docker Datacenter training series – save your seat with the coupon DKRtrainingbeta to take the complimentary course
• Check out our Docker Datacenter website and documentation
• Interested in CaaS? Download the white paper: Modern Application Architecture

原文鏈接： Introducing Docker Datacenter to Power Your On-Premises CaaS