Bagaimana cara yum dengan Langganan Jaringan Red Hat bekerja di dalam gambar Docker rhel?

10

Red Hat Enterprise Linux 7 termasuk dukungan resmi untuk menjalankan wadah Docker, dan Red Hat menawarkan serangkaian gambar Docker resmi. Fitur yang menarik dari gambar-gambar ini adalah bahwa paket dapat diinstal melalui Red Hat Network Subscription host tanpa harus melakukan konfigurasi dalam wadah.

Mengutip https://access.redhat.com/articles/881893#createimage :

"Untuk rilis Red Hat Docker saat ini, gambar Docker RHEL 7 default yang Anda tarik dari Red Hat akan dapat menggunakan hak RHEL 7 yang tersedia dari sistem host. Jadi, selama host Docker Anda berlangganan dengan benar dan repositori tersedia diaktifkan bahwa Anda perlu mendapatkan perangkat lunak yang Anda inginkan dalam wadah Anda (dan memiliki akses Internet dari host Docker Anda), Anda harus dapat menginstal paket dari repositori perangkat lunak RHEL 7. "

Kekhawatiran saya adalah bahwa mekanisme untuk mencapai hal ini agak buram. Ketika memulai sebuah wadah baru dengan gambar rhel7.1, misalnya, dimungkinkan untuk dijalankan yum install footanpa mengkonfigurasi variabel lingkungan proxy http. Tanpa memahami mekanisme ini, administrator sistem berpotensi bergantung pada interaksi yang tidak diketahui antara sistem host, daemon Docker, dan menjalankan wadah. Ini juga menunjukkan bahwa isolasi normal antara inang dan wadah dalam beberapa cara dikompromikan (meskipun dengan cara yang jinak).

Untuk menjelaskannya: Bagaimana dukungan berlangganan ini tercapai, dan apakah itu tergantung pada pembuatan kustom daemon Docker yang disediakan oleh Red Hat melalui Jaringan Berlangganan?

Leynos
sumber
Terima kasih @michael. Sayangnya, saya tidak memiliki akses ke jawaban yang diposting di situs itu, karena saya secara pribadi tidak memiliki akun Berlangganan Red Hat. (Akun yang digunakan majikan saya dipegang oleh staf di tempat lain dalam organisasi). Saya akan melihat apakah seseorang dengan akses yang relevan di organisasi dapat memberi saya salinan jawaban KB ini.
Leynos
@michael Anda dapat memposting komentar Anda sebagai jawaban.
Bram
@MichaelHampton Saya punya kesempatan untuk membaca jawabannya di situs Red Hat. Mungkin perlu diperhatikan dalam setiap jawaban yang diposting di sini bahwa fungsionalitas yang dimaksud bergantung pada versi kustom Red Hat dari daemon Docker.
Leynos

Jawaban:

4

Red Hat membawa tambalan yang dockerdisebut tambalan 'rahasia' yang memasang informasi hak ke dalam wadah saat dijalankan.

Anda dapat melihat deskripsi patch yang lebih baik dan tautan ke PR hulu di repo projectatomic / buruh pelabuhan :

https://github.com/projectatomic/docker/tree/docker-1.13.1-rhel#add-rhel-super-secrets-patchpatch

Catatan, Anda harus memilih salah satu cabang (tautan menuju ke cabang 'buruh pelabuhan-1.3.1-rhel') untuk melihat semua informasi tambalan yang dibawa.

rageear
sumber
Dan karena itu, jika Anda menggunakan coba ke Docker CE (yang tidak memiliki jalur itu) daripada Docker Red Hat yang disediakan, Anda tidak akan memiliki informasi hak dan yumperintah di dalam pembuatan Docker Anda atau gambar Docker akan gagal?
Raedwald
2

Mengetahui bagaimana mesin virtual yang dikelola oleh Red Hat Satellite dilisensikan, dan pergi dari komentar @ Leynos, saya berharap bahwa ada sesuatu yang mirip dengan virt-who, yang merupakan layanan yang berbicara dengan host virtualisasi (vSphere, KVM, dll) dan menanyakannya ke temukan detail VM. Kemudian melakukan panggilan API yang diperlukan dalam Satelit untuk memungkinkan VM untuk menggunakan lisensi pusat data host.

Saya berharap bahwa daemon buruh pelabuhan Red Hat menyediakan sesuatu yang serupa, memungkinkan wadah untuk mengetahui bahwa itu berjalan dari host Docker yang berlangganan dan oleh karena itu memanfaatkan langganan itu.

Juga dari sini :

PENTING: Menjalankan wadah dengan perintah buruh pelabuhan, seperti yang dijelaskan dalam topik ini, tidak secara khusus mengharuskan Anda untuk mendaftarkan sistem Host Atom RHEL dan melampirkan langganan. Namun, jika Anda ingin menjalankan perintah instal yum di dalam sebuah wadah, wadah tersebut harus mendapatkan informasi berlangganan yang valid dari RHEL Atomic Host atau itu akan gagal.

Jadi, ada sesuatu dalam wadah atau daemon yang dapat meminta host untuk menemukan informasi berlangganan (dan mungkin juga info repo).

shearn89
sumber