Grundlagen

• Eine Freie Software zur Isolierung von Anwendungen mit Hilfe von Containervirtualisierung.
• Es vereinfacht die Bereitstellung von Anwendungen, weil sich Container, die alle nötigen Pakete enthalten, leicht als Dateien transportieren und installieren lassen.
• Container gewährleisten die Trennung und Verwaltung der auf einem Rechner genutzten Ressourcen.
• Das umfasst: Code, Laufzeitmodul, Systemwerkzeuge, Systembibliotheken – alles was auf einem Rechner installiert werden kann.
• Es können mehrere Prozesse isoliert und damit unabhängig voneinander ausgeführt werden.
• Dies ermöglicht eine einfaches Aktualisierung des Containers ohne andere Container zu gefährden.
• In der idealen Welt läuft in einem Docker Container nur ein Prozess.
• Wenn ein weitere Prozess benötigt wird, sollte dieser in ein anderen Container ausgelagert werden.
• Dies wird aber nicht immer eingehalten.

[Bearbeiten]

• Es basiert auf Linux-Techniken wie Cgroups und Namespaces, um Container zu realisieren.
• Anfänglich wurde die LXC-Schnittstelle des Linux-Kernels verwendet
• Die Docker-Entwickler haben mittlerweile eine eigene Programmierschnittstelle namens libcontainer entwickelt
• Diese steht auch anderen Projekten zur Verfügung.
• Als Speicher-Backend verwendet Docker das Overlay-Dateisystem "aufs", ab Version 0.8 unterstützt die Software aber auch "btrfs".
• Prinzipiell ist Docker auf die Virtualisierung mit Linux ausgerichtet.
• Es kann allerdings auch mittels Hyper-V oder VirtualBox auf Windows und HyperKit oder VirtualBox auf macOS verwendet werden.
• Die Ressourcentrennung alleine mit den Docker zugrunde liegenden Techniken wie Namespaces und Cgroups gilt nicht als völlig sicher.
• Mir Red Hat Unterstützung wurde eine sicherheitsrelevante Kernel-Erweiterung für SELinux implementiert
• Diese sichert die Container auf der Ebene des Host-Systems zusätzlich ab.