原标题:Container双周报第38期:第一个社群版Docker正式登场,开始支援多阶段部署
重点新闻(07月01日-07月14日)
-第一个社群版Docker正式登场,开始支援多阶段部署
Docker在今年迈向商业化的步伐频频,首先在DockerCon高峰会上推出Moby专案跟LinuxKit,一举为社群及企业画上一道明确的界线。近日Docker公司释出了第一个全部由Moby专案建置的Docker社群版(Communtiy△Edition,CE)17.06版。
在新版本中,Docker最强调的新特色,就是支援多阶段建置(Multi-stage△builds)功能,Docker开发者社群总监Mano△Marks而多阶段建置的特色在于,在单一Dockerfile中,开发者可以在系统完成最终的建置过程前,自订多阶段的建置过程,像是进行编译、设定系统组态。而此作法的优点在于,开发者可以利用容量较大的映像档,完成前阶段的建置工作,最后完成的映像档,只有运作应用程序所需要的档案。
新版本也加强Swarm△mode的功能。首先是组态物件(Configuration△Objects),在使用Swarm△mode时,开发者可以利用Docker既有传输密码、SSH私钥或SSL凭证等数据的方式,递送这些组态设定。
同时新版透过缩短凭证替换的周期,借此加强使用上的安全。Docker解释,swarm△mode的公开金钥基础架构(PKI)內建在Docker中,“让使用者能安全的将容器部署在调度系统”,同时,在swarm中的各节点间的通讯,都是依赖TLS协议进行加密、封装。相当依赖凭证系统运作之下,在新版中,使用者可以自由设定凭证轮调的周期。更多资讯
-Kubernetes△1.7新版上线,新增资料加密及强化稽核日志功能
如同Google先前所规画每季推出一大新版本的步调,新版Kubernetes△1.7版也正式在6月底上线。针对新版的释出,Kubernetes官方使用了里程碑一词形容,无论在资安、储存,或是系统的扩充性都有所进步,例如,在此版本开始支援资料加密,更在Runtime增加了一个整合层(Aggregation△Layer),让开发者可以自行串接第三方API,扩大容器生态系。
在资讯安全方面,其中一大重要亮点就是开始支援资料加密,Kubernetes表示,只有1.7版之后的版本才支援此功能。未来企业若想要升级至1.8版,必须先把资料解密才能进行升级。另外,API伺服器所储存的稽核日志(Audit△Logs),系统管理员可借此追溯事件的起因、发生时间等纪录。而此功能也支援管理者利用系统事件作为条件过滤Log纪录。
新版Kubernetes也加强支援有态系统的应用。其中一个新Beta功能是StatefulSet△Updates。Kubernetes解释,此功能让Kafka、Zookeeper、etcd等应用程序自动更新,或是执行滚动式更新。此外,StatefulSet△Updates还可用更新容器映像档、标签。
除了加强资安以及支援有态应用,加强系统扩充性也是一大特色。新版在Runtime层级实作了一个API整合层,让进阶使用者可以在丛集中导入第三方或是自建的API,或是使用Kubernetes內建的设计。更多资讯
-甲骨文开源释出3项开源容器开发工具
容器技术现在也成软件大厂甲骨文极力押宝的目标,近日一口气开源释出3个容器开发工具,分别是微容器建置工具(Microcontainer△builder)Smith、微容器除错器Crashcart及容器Runtime元件Railcar。
甲骨文云端开发事业部架构师Vish△Abrams表示,目前自家云端服务许多功能已经导入容器技术,而3项近日开源的容器开发工具,“可以协助开发者建置、维运容器。”
第一项工具是微容器建置工具Smith。Vish△Abrams表示,在建置过程中,甲骨文也碰上许多操作面问题,例如容器映像档体积太大、权限扩张,或是漏洞管理。为此,甲骨文的解决方式就是利用微容器。他表示,微容器并非新技术、新格式,而是让容器內只包含单一可执行档(single△executable)、执行唯读档案系统等特性,“透过Smith可以让建置过程更加安全、一致。”
第二项工具则是微容器除错工具Crashcart。Vish△Abrams表示,当使用者将容器尺寸缩小,部署在正式环境中时,也让执行诊断、故障排除的工作变得更困难。他解释,大多情况,开发者都可以在容器的宿主机上执行除错,“但有时必须存取容器內的档案系统。”利用Crashcart,开发者可将二进位档案载入至运行中容器,“检查问题的成因。”
最后则是容器Runtime△Railcar,“对于容器Runtime而言,Go语言并不是一个好选择。”Vish△Abrams表示,引用提供容器、微服务平台的SaaS厂商Weaveworks的研究,该厂商表示,使用Go语言,除了不容易除错外,也不能安全地修改命名空间。他表示,Go仍然是个优异的程式语言,但是对需要高度掌握执行绪、处理许多系统呼叫的系统而言,“有许多更好选项。”他表示,甲骨文开源释出的这个Runtime,就具备如C语言对底层高度掌握的优点。更多资讯
-Mesosphere技术长看容器如何影响开发者
在容器技术逐渐成熟,核心技术厂商Docker也迈入商业化阶段下,也逐渐成为企业在正式环境导入的选项。在容器调度工具仍有一席之地的Mesosphere技术长Tobi△Knaup表示,容器技术改变开发者使用工具的习惯。就已监控工具为例子,云端技术还不普遍前,“它们都是已监控主机为主”,但到了现今应用程序才是关注焦点,“导致这些工具不再变得好用。”再者,容器技术很适合用于打包应用程序,以及执行12 factors△app,“不过这些应用程序仍然需要连结到资料库及后端服务。”因此,在容器世界中执行这些后端服务也成为开发者得面对的挑战。
另外,云端原生应用也是近年非常热门的名词。Tobi△Knaup表示,云端原生一词反应的是现象是,“大型网络公司如何打造自家的基础架构,并且为了快速创新、快速迭代而做的优化工作”,让开发团队、产品团队可以快速地部署软件。
他表示,快速部署也是每个企业都应该关注的目标,像是如何缩短部署时间,从每小时缩端短至数秒钟,“而云端原生就让基础架构具备快速跌代的能力。”更多资讯
-容器服务厂商Hyper发表相容OCI标准的Runtime△runV
近日容器新创Hyper发布了一款相容开放容器OCI标准的Runtime△runV,想要让容器具备多租户管理能力,以利此项技术能在5G、边缘运算或IoT都能有所运用。这一款Runtime是以Hypervisor为基础发展,目前相容于OCI标准,不过由于Hypervisor与容器技术间的区隔,部分功能像是命名空间、拆分权限的Capability机制,“并不适用于runV。”
Hyper认为,容器在打包、派送执行应用程序的能力上非常出色,但是由其共用作业系统核心的原因,在多租户环境下,目前它的安全性仍然不如虚拟机。也因此,Hyper选择使用传统的Hypervisor技术如KVM、Xen开启容器映像档,而非选择cgroup、命名空间等机制。根据Hyper的评测,runV可以在100ms內,在一个micro△VM中开启一个Docker映像档。目前runV总共支援的虚拟化平台包含KVM(QEUM△2.0版后)、Xen(4.5版后)以及Mac版本的VirtualBox。而相容的Linux作业系统则是Ubuntu、CentOS、Fedora以及Debian。
现在runV现在开始准备要支援ARM伺服器,Hyper认为,透过容器多租户的机制,“无论是效能或单台伺服器上容器密度的提升,都能有所改善。”目前Hyper也与ARM合作,结合runV及ARM平台,进军IoT、5G以及边缘运算。更多资讯
-容器安全平台Twistlock△2.1新版释出,內建云端原生防火墙功能
主攻容器资安市场的Twistock,旗下容器资安平台Twistlock△2.1也在近日释出。Twistlock技术John△Morello表示,新版本推出许多新功能,像是容器应用程序防火墙、漏洞风险评估、整合机密档案管理。
新版本中,Twistlock相当强调的功能就是云端原生应用程序防火墙,“完全透过软件定义的方式实作。”John△Morello表示,传统的网页应用程序防火墙,需要透过人工作业,连结防火墙以及其保护的应用程序。但是现在IT基础架构逐渐上云的时代中,“透过容器调度工具部署应用程序时,有许多事情办得相当难管理”,他举例,像是应用程序不再具有固定IP、维运人员无法全权掌握网络路由拓朴,或是部署负载平衡器。
John△Morello举例,当开发者执行Wordpress时,透过云端原生防火墙,系统可以自动重新安排流入容器、Pod的网络流量,“只让干净的网络流量引入容器中”,企业也不需为此改变既有的映像档、容器或是系统架构。他表示,在系统逐渐熟悉这些过滤原则后,就可用于抵抗SQL△Injection攻击、跨网站指令码攻击,并且阻挡来自恶意端点发出的请求。更多资讯
Container产品更多动态
-DevOps即服务供应商Cloud△66释出Container△Stacks△V2版,开始支援Kubernetes更多资讯
-DevOps即服务供应商Cloud△66推出Docker建置工具Habitus△1.0版,可支援Java及Go语言更多资讯
-容器资安厂商Aqua容器安全平台2.5版释出,支援多租户容器资安管理更多资讯
-监控工具Prometheus△2.0 Alpha△3版释出更多资讯
Container资源
※观点:为什么Codeship对新社群版Docker有所期待
※观点:深入探讨云端原生应用程序防火墙(Cloud△Native△App△Firewall)
※How-To:利用Codeship△Pro上传映像档至DockerHub
※How-To:结合Docker跟Drone,打造CI/CD工作流程
※How-To:靠容器平台Kotena、Fluentd及Docker,管理容器內的Log资料
※How-To:利用Codeship△Pro上传映像档至DockerHub
※How-To:OpenShift上使用Minishift建置Node.js开发环境
相关:
百名大学生暑期进长安区政府机关学习实践活动正式启动 [热搜]
7月14日,长安区委组织部、区政府办、团区委联合组织的2017年度“我与长安同奔跑,锻炼培养助成长”暑期大学生进机关学习实践活动启动。来自陕西师范大学、西安电子科技大学、西北大学、西安外国语大学、西安邮电大学
实时热点 【环球网综合报道记者赵衍龙】菲律宾前总统阿基诺三世将因2015年的44名特警被屠事件,面临刑事及贪污控告。 台湾“中央社”7月14日报道称,菲律宾监察专...菲律宾前总统阿基诺三世 菲律宾前总统阿基诺三世
菲律宾前总统阿基诺三世菲律宾前总统阿基诺三世将因2015年的44名特警被屠事件,面临刑事及贪污控告。台湾“中央社”7月14日报道称,菲律宾监察专员办公室今天发布声明,称监察专员莫拉莱斯(ConchitaMorales)已下令就
美国众议院民主党议员布拉德·谢尔曼当地时间12日,美国众议院民主党议员布拉德·谢尔曼正式提出一项针对美国总统特朗普的弹劾条款,指责特朗普在“通俄门”的调查中妨碍司法公正。据美国《国会山》日报12日报道,加
7月12日上午,苹果公司宣布,将投资10亿美元在贵州省贵安新区建设iCloud数据中心。这是苹果公司在中国的第一个数据中心。苹果公司在声明中提到,选择贵州,除了让用户体验速度和可靠性,还包括“符合相关新规,这些规