Red Hat Network Subscription ile yum rhel Docker görüntülerinin içinde nasıl çalışır?

Red Hat Enterprise Linux 7, Docker kapsayıcılarını çalıştırmak için resmi destek içerir ve Red Hat, bir dizi resmi rhel Docker görüntüsü sunar. Bu görüntülerin ilginç bir özelliği, paketlerin kap içinde herhangi bir yapılandırma yapmak zorunda kalmadan ana bilgisayarın Red Hat Ağ Aboneliği aracılığıyla kurulabilmesidir.

Alıntı yapmak için https://access.redhat.com/articles/881893#createimage :

"Geçerli Red Hat Docker sürümü için, Red Hat'tan çektiğiniz varsayılan RHEL 7 Docker görüntüsü, ana bilgisayar sistemindeki RHEL 7 yetkilerini kullanabilecektir. Bu nedenle, Docker ana makineniz gerektiği gibi abone olduğu ve depolar kapınıza istediğiniz yazılımı almanız gerektiğinde (ve Docker ana makinenizden Internet erişiminiz varsa), RHEL 7 yazılım havuzlarından paketler yükleyebilmeniz gerekir. "

Benim endişem, bunun gerçekleştirildiği mekanizmanın oldukça opak olmasıdır. Örneğin, rhel7.1 görüntüsüyle yeni bir kapsayıcı başlatılırken yum install foo, http proxy ortam değişkenlerini yapılandırmadan bile çalıştırmak mümkündür . Bu mekanizmayı anlamadan, sistem yöneticisi potansiyel olarak ana bilgisayar sistemi, Docker arka plan programı ve çalışan kapsayıcılar arasında bilinmeyen etkileşimlerin merhametindedir. Bu aynı zamanda konak ve kap arasındaki normal izolasyonun bir şekilde tehlikeye girdiğini (iyi huylu da olsa) göstermektedir.

Bir noktaya değinmek gerekirse: Bu abonelik desteği nasıl elde edilir ve Abonelik Ağı aracılığıyla Red Hat tarafından sağlanan Docker arka plan programının özel yapısına bağlıdır?

Red Hat docker, 'gizlilik' yaması adı verilen bir yamayı çalıştırdıklarında yetkilendirme bilgilerini kaplara bağlayan bir yama taşır .

Yamanın daha iyi bir tanımını ve projektatomik / liman işçisi deposunda yukarı akış PR'sine bir bağlantı görebilirsiniz :

https://github.com/projectatomic/docker/tree/docker-1.13.1-rhel#add-rhel-super-secrets-patchpatch

Not: Taşınan tüm yama bilgilerini görmek için dallardan birini seçmeniz gerekir (bağlantı 'docker-1.3.1-rhel' dalına gider).

Red Hat Satellite tarafından yönetilen sanal makinelerin nasıl lisanslandığını ve @ Leynos'un yorumunu bilerek virt-who, sanallaştırma ana bilgisayarıyla (vSphere, KVM, vb.) Konuşan ve bunu sorgulayan bir hizmet olan benzer bir şey olmasını beklerdim . VM'lerin ayrıntılarını bulma. Daha sonra VM'nin ana bilgisayarın veri merkezi lisansını kullanmasına izin vermek için Uydu'da gerekli API çağrılarını yapar.

Red Hat docker arka plan programının benzer bir şey sağlamasını, kabın abone olunan bir Docker ana bilgisayarından çalıştığını bilmesini ve bu nedenle bu aboneliği kullanmasını beklerim.

Ayrıca buradan :

ÖNEMLİ: Bu konuda açıklandığı gibi, docker komutuyla kapları çalıştırmak, RHEL Atomic Host sistemini kaydetmenizi ve bir abonelik eklemenizi gerektirmez. Ancak, bir konteyner içinde yum install komutlarını çalıştırmak istiyorsanız, kabın RHEL Atomic Host cihazından geçerli abonelik bilgisi alması gerekir, aksi takdirde başarısız olur.

Yani, kapsayıcıda veya arka plan programında, abonelik bilgilerini bulmak için ana bilgisayarı sorgulayabilecek bir şey var (ve muhtemelen bilgileri de repo).