Как изолировать приложения от базовых изменений ОС с помощью Докера
Я не пользователь докера, просто хочу знать, является ли это случаем грамотного использования для докера.
Текущее состояние
Мы развертываем пользовательские приложения Java на RHEL/VMware. Для функционирования правильно приложения зависят от локальной Среды выполнения Java, Tomcat, учетных записей локального пользователя, запускают/останавливают сценарии и параметры среды, все из которых должны быть установлены и настроены заранее на машине.
Проблема: Обновления/Обслуживание RHEL
Периодическое обслуживание ОС разрушает среду, иногда Tomcat, другой Java времен, но учетные записи главным образом локального пользователя и полномочия, вынуждая нас назвать SAS для устранения проблем; это - главный ЛАВАШ.
Вопрос
Мы можем использовать контейнеры докера для инкапсуляции наших приложений Java наряду с их зависимостями (Среда выполнения Java, Tomcat, учетные записи пользователей, локальные настройки, и т.д.), такой, что мы изолируемся от будущего обслуживания на базовой ОС? В таком сценарии контейнеры докера, не файлы ВОЙНЫ/JAR Java, становятся основными артефактами развертывания, корректными?
Это - мое понимание докера, простите незнание, если это не имеет никакого смысла :-D
Я работаю администратором VMware vSphere и смотрю на докеры как на угрозу (может стоить мне работы, если контейнеры заменят виртуальные машины), и как возможность (это В конце концов, технология виртуализации , так что , возможно, мы могли бы сделать ее частью нашего портфеля и предоставить ее как услугу ).
Но на ваш вопрос: да,Docker-контейнеры станут основными артефактами развертывания.
Но, пожалуйста, подумайте, что это означает. Обновления Java, Tomcat и т. Д. Делаются не просто так, часто для устранения серьезных проблем с безопасностью. Если вы помещаете все зависимости своего приложения в контейнер докеров , вы несете ответственность за все обновления безопасности . В настоящий момент ваша операционная группа отвечает за развертывание исправлений безопасности для Java, Tomcat и прочего. С docker вы должны перестроить контейнер с обновлениями (не так сложно, но вам нужно это сделать) и повторно развернуть его. Так что в конце концов у вас будет простой: остановите и удалите старый контейнер, разверните и запустите новый.
Конечно, вы можете просто игнорировать любые обновления безопасности и отказаться от развертывания исправлений ... Интересно, что ваша ИТ-служба безопасности скажет об этом.