Docker-Tutorial, Teil 3: Images bauen und verwalten

Schichtweise

Erkan Yanar

Wer ungerne Docker-Images aus externen Quellen ausführt, etwa aus Sicherheitsgründen, baut sich auf einfache Weise eigene und richtet sich zum Speichern und Verteilen im Firmennetz ein lokales Repository ein.

Der dritte und letzte Teil des Tutorials widmet sich dem Bau von Docker-Images, Dateisystemabbildern mit „self-contained“ Anwendungen. Von diesen starten – bei Bedarf mehrere – Docker-Container. „Self-contained“ bedeutet, dass alle Abhängigkeiten der Applikation (Libraries) innerhalb des Image erfüllt sind und die Applikation läuft, ohne dass weitere Voraussetzungen erfüllt sein müssten. Die Images lassen sich auf andere Docker-Hosts verteilen, auf denen die Applikation unverändert starten kann. Docker fungiert also quasi wie ein Paketmanager, der statische Pakete wie „Blobs“ (Binary Large Objects) verteilt.

Base Images erstellen

Docker-Images bestehen aus aufeinandergestapelten Layern mit einem „Base Image“ als Ursprung. Im produktiven Einsatz empfiehlt es sich, auch das Base Image selbst zu bauen. Dazu gilt es, ein entsprechendes Filesystem zu erstellen und mit Docker zu importieren. Das Folgende erzeugt ein Build Image:

BUILDDIR=/var/tmp/IMAGE
mkdir $BUILDDIR 
debootstrap --variant=minbase   
 --components=main,universe --arch=amd64 
 vivid $BUILDDIR
chroot $BUILDDIR
dpkg-divert --local --rename --add  
 /usr/sbin/invoke-rc.d
echo -e '#!/bin/bash\ntrue\n'  > /usr/sbin/invoke-rc.d
chmod 700 /usr/sbin/invoke-rc.d
apt-get clean
exit
tar -C $BUILDDIR -c .  | docker import –  
 ix/ubuntu:15.04

Jetzt steht ein eigenes Base Image von Ubuntu zur Verfügung.

Container-Portabilität eingeschränkt

Images sind Filesysteme, die Docker unter Verwendung von Funktionen des Linux-Kernels als Container startet. Dabei kommt der Kernel des Hosts zum Einsatz. Das wirkt sich auf die Portabilität der Images aus: Sie beschränkt sich auf andere Linux-Distributionen. Da BSD und (Open)Solaris via „Branded Zones“ kompatibel sind, eignen sich diese Betriebssysteme ebenfalls. Entwickler, die Docker unter OS X oder Windows verwenden, benötigen eine virtuelle Linux-Instanz, etwa mittels VirtualBox.

Dass Microsoft angekündigt hat, mit dem Windows Server 2016 auch Docker einzubinden, ist in diesem Zusammenhang irreführend. Zwar finden die API und damit die Kommandozeilen-Tools Berücksichtigung, die Images selbst werden zwischen der Windows- und der Linux-Welt aber nicht austauschbar sein können.

Docker-Images werden mithilfe simpler Anweisungsdateien namens Dockerfile erstellt. Eigene Applikations-Images vereinfachen das Integrieren von Docker in die eigene Infrastruktur – wobei es allerdings unbedingt die Sicherheitsaspekte zu beachten gilt.