Docker - Zugang und Nutzung
Technische Anforderungen
Konfiguration
Zur Einrichtung (Provisionierung) eines Docker-Containers müssen diesem entsprechende System-Ressourcen zugewiesen werden. Die konkrete Konfiguration ist abhängig von der in einem Container eingesetzten dynamischen Webanwendung. Die Anforderungen an die Systemressourcen sind in der Checkliste anzugeben.
Innerhalb der Docker-Container sind derzeit grundsätzlich folgende Technologien zugelassen:
|
Betriebssystem |
Suse-Linux |
|
Sprachen |
Java |
|
Datenbanken |
MongoDB |
|
Frameworks |
Node.js |
|
(Application-)Server |
Apache |
Bei Bedarf sind in Absprache mit dem Basiskomponentenverantwortlichen abweichende Ausstattungen des Containers möglich.
Datenhaltung
Bei der Erstellung von Docker-Containern ist darauf zu achten, dass die Datenhaltung separat zu erfolgen hat. Es wird daher beim Speichern von Daten empfohlen, je ein Docker-Image für die Anwendungs-Logik und die Datenhaltung (Datenbank-Volumes) zu erstellen.
Inbetriebnahme einer Container-Anwendung
Übernahme von Docker-Images
Hierfür stellt der Verfahrenseigner oder der Hersteller ein Docker-Image (tar-Archiv) bereit (keine Docker-Files). Es ist sicherzustellen, dass alle erforderlichen Bestandteile zur Installation eines lauffähigen Docker-Containers enthalten sind. Die Bereitstellung kann via Upload-Link über den Dienst SiDaS (Sicherer Datenaustausch Sachsen) oder per Bekanntgabe von Downloadinformationen an die Leitstelle E-Government erfolgen. Der zugehörige SiDaS-Upload-Link ist über servicedesk@sid.sachsen.de (Betreff: Docker-Image) anzufordern. Der Eingang wird durch die Leitstelle geprüft.
Mit der Lieferung ist eine Dokumentation zum Docker-Image durch den Verfahrenseigner bereitzustellen. Darin ist die grundsätzliche Funktionsweise der Anwendung darzustellen, welche auch die Kommunikationsbeziehungen zu internen oder auch externen (außerhalb des Anwendungs-Containers bzw. anderer Internet-Ressourcen) Diensten darstellt. Außerdem ist die ausgefüllte Checkliste zu Ressourcenanforderungen, Konfigurationsparametern etc. mitzuliefern.
Die Basiskomponentenverantwortung behält sich vor, Images bzw. Container aufgrund von Sicherheitsmängeln oder Verstößen gegen den Datenschutz abzulehnen bzw. außer Betrieb zu nehmen.
Deployment
Das Deployment (Provisionierung) von Docker-Images zu lauffähigen Containern wird über das Change-Request-Verfahren der E-Government-Plattform beim Plattformbetrieb beauftragt. Die Anwendung wird zunächst als Test-Container innerhalb des Sächsischen Verwaltungsnetzes (SVN) zugänglich gemacht und durch die Anwendungsbetreuung im SID hinsichtlich der Lauffähigkeit getestet und dem Verfahrenseigner zur Prüfung übergeben. Dieser erteilt die Freigabe und beauftragt SID mit der Freischaltung und damit den Produktiveinsatz für das Internet.
Sollte das gelieferte Docker-Image die angegebenen Ressourcen-Vorgaben überschreiten, behält sich die Anwendungsbetreuung bzw. der Basiskomponentenverantwortliche vor, das Docker-Image abzulehnen bzw. außer Betrieb zu nehmen.
Betrieb einer Container Anwendung
Laufender Betrieb
Der Plattformbetreiber verantwortet das Docker System inklusive Docker Dienst und die laufenden Prozesse der Docker Container auf dem Host. Nicht in der Verantwortung des Plattformbetreibers befinden sich die Services in den Docker Containern.
Logging und Monitoring
Für den Docker Dienst auf dem Host ist kein dediziertes Logging konfiguriert. Die Logausgaben des Docker Dienstes werden jedoch in eine Datei gespeichert. Die laufenden Docker Container besitzen im Regelfall Logfiles, welche durch den Plattformbetrieb gesichtet werden können. Zu den Regelaufgaben des Plattformbetriebs gehört die Kontrolle des Monitorings, um sich einen täglichen Status über das Verhalten des Systems zu verschaffen. Insbesondere die Metriken für CPU, RAM, Storage und Netzwerk werden dabei geprüft.
Anwendungs-Updates / Patcheinspielungen
Verantwortlich für Patcheinspielungen im Rahmen des Change Managements außerhalb der Docker Container Services ist der Plattformbetreiber. Die Patchverantwortung beinhaltet alle Ressourcen des Betriebssystems inklusive des Docker Dienstes auf dem Host.
Patchenspielungen innerhalb der Container Services verantwortet der Verfahrenseigener (Behörde) und/oder externe Entwicklungsdienstleister. Der Verfahrenseigner ist somit für die Aktualität und Sicherheit der Container-Anwendung selbst sowie aller genutzten Software (inkl. Lizenzierungen) innerhalb des Containers verantwortlich. Die Release Notes sind bei jedem Update zu aktualisieren und mitzuliefern.
Dem Verfahrenseigner bzw. dem von ihm beauftragten Hersteller kann ein SSH-Zugang (VPN-Remote Zugriff) zum Container eingerichtet werden, über welchen die Konfiguration innerhalb des Containers erfolgen kann. Der SSH-Dienst muss dazu Bestandteil des Containers sein. Alternativ dazu kann ein aktualisiertes Image bereitgestellt und im Rahmen des etablierten Change-Verfahrens der E-Government-Plattform installiert werden.
