原标题:Container周报第64期:容器监控有视觉化监控地图新帮手,Google则开源了沙盒容器Runtime gVisor能像VM那样安全又轻巧
05/06~05/12精选Container新闻容器监控新帮手,Datadog推视觉化容器监控地图在正式环境导入容器的企业,如果想要监控容器基础架构状况,除公有云厂商提供的原厂服务,或自用开源解决方案搭建,都是常见的做法。不过,过去就耕耘云端应用程序监控的Datadog,近日也释出了新的监控工具容器地图(Container? Map),让开发者可以对容器应用程序即时进行监控、除错。 Datadog表示,这款容器监控地图以过去的Autodiscovery为基础,搭配新的视觉化呈现方式,企业可观察容器基础架构的整体运作状况,根据需求,进行分组、过滤,或是进一步检个别容器。另外也提供非常高弹性、互动式的操作,根据不同的中介资料,使用者可以对基础架构的容器进行分类,像是服务的类别、提供服务的区域、容器任务角色,“或是任何企业所想要的观察面向,都可以做为分类的标准。”Datadog举例,利用每个容器中的标签,系统可以将基础架构执行特定Docker映像档的容器,进行标色。
容器储存新创StorageOS推出企业级容器持久储存,Docker、Kubernetes及OpenShift都支援容器储存新创StorageOS近日正式推出企业级容器持久储存解决方案,而储存方案也原生支援Kubernetes、Docker及OpenShift等环境。目前该平台所支援的调度工具,共为Docker△Swarm及Kubernetes,相容的作业系统则是Ubuntu及RedHat△Linux。使用者除了能利用命令程式介面操作外,StorageOS也提供视觉化介面的操作模式。StorageOS主打的就是能支援任何基础架构,无论企业内部资料中心、VM环境、裸机或是其他公有云中,都可以让容器应用、Kubernetes应用建立持久储存。
OpenFaaS也推出云端版,结合Git流程自建无伺服器应用更容易了可用来自建无伺服器平台的开源OpenFaaS专案作者Jock△Reed宣布,进一步推出OpenFaaS△Cloud,这是一套利用Docker结合Git工作流程来建立无伺服器云端服务平台的软件。可以将GitHub上的开发专案,通过JSON资料抛转,就能快速建立和部署一个云端Function△as△a△Services服务平台。这套OpenFaaS云可以支援Docker的Swarm或Kubernetes调度平台。也可串接到常见CI/CD工具或程式码代管服务,如GitLab, Travis△CI, CircleCI, Flux。目前支援 Go、Node.js、Python、Ruby和C#语言。
Windows△Server容器套件有远端执行漏洞,Windows容器用户快更新使用Windows环境执行容器的企业用户要小心了,近日微软公开了编号CVE-2018-8115的漏洞。在Windows△Server容器套件hcsshim(Host△Compute△Service△Shim)的函式库中,隐含了远端程式码执行漏洞。微软表示,该漏洞会让系统无法正确认证使用者上传的容器映像档,因此,攻击者可事先准备特殊设计的容器映像档,里头打包着恶意程式码。一旦握有系统权限的管理员,不慎将此映像档上传至Windows主机,该恶意容器映像档便可通过此漏洞,对主机发动攻击。早在2月时,资安研究员Michael△Hanselmann就已经发现该漏洞,并且主动回报至微软安全性回应中心(MSRC)及Docker。微软也在5月2日释出的hcsshim△0.6.10版中修补了漏洞。
从源头映像档确保安全,Aqua推免费容器映像档扫描工具MicroScanner容器资安新创Aqua在近日释出了一款免费的映像档扫描工具MicroScanner。该公司强调,免费版所用漏洞资料库,与付费商用版相同,“也让开发者可以得到不错的扫描成效。”不过相比付费版本,MicroScanner的应用情境较为阳春,仅能在Dockerfile执行建置阶段时进行扫描工作。一旦MicroScanner发现映像档内有高风险漏洞,系统会自动回传安装映像档安装失败的讯息,同时,也会将相关资讯,使用JSON格式纪录,回传给使用者。借此,从最初期的建置阶段进行把关,企业就能确保映像档安全无虞。
?
Google开源沙盒容器Runtime△gVisor,与VM一样安全但更轻巧为解决容器的安全性问题,Google开源了用Go开发的沙盒容器Runtime△gVisor,提供类似虚拟机器般的隔离安全性,但是更为轻巧,不过gVisor只实作Linux系统部分API,因此并非所有应用程序都能够在gVisor执行,不过常用的Node.js、Java△8、MySQL以及Jenkins等应用程序都不是问题。
Google表示,容器的发明彻底改变了开发、封装以及部署应用程序的方法,但是其曝露广泛的系统表面,对于执行一些不受信任或是潜在恶意应用程序存在疑虑。而传统的Linux容器并非沙盒环境,因为应用程序存取系统资源与非容器化的系统相同,都是直接呼叫主机核心,并以特殊权限执行,与硬件交互执行后将结果回传给应用程序。
@上标:甲骨文、GPU#标题:甲骨文容器引擎再升级,让Kubernetes可用GPU进行高速运算@内文:过去虽不及其他软件大厂的步调快,但是甲骨文在近年拥抱容器技术、Kubernetes的速度也急起直追。在今年度欧洲举办的KubeCon及云端原生年会中,甲骨文有了重大发布,宣布加强自家的甲骨文容器引擎(Oracle△Container△Engine),除了整并几项重要的Kubernetes功能外,也让该容器引擎能相容自家开源释出的无伺服器专案Fn。针对高效能应用,现在甲骨文也支援Kubernetes在Nvidia△Tesla△GPU上运作,甲骨文表示,在单一裸机实例中,搭配两个Nvidia△Tesla△P100执行CUDA程式,运算力可达21 TFLOPS。
?
阿里云也推纯Kubernetes容器服务上线阿里云在去年11月进军Kubernetes代管服务后,近日再加码推出新的容器服务无伺服器Kubernetes丛集服务。目前阿里云所提供的Kubernetes服务,总共有两种模式。首先是基本的代管Kubernetes丛集服务。第二种是这次新推的无伺服器Kubernetes服务,强调企业可以快速建立Kubernetes应用,阿里云表示,在无伺服器Kubernetes的应用情境下,只需要5秒,就能完成Kubernetes丛集建置,再花额外30秒,就能搞定应用程序部署。而新收费制度也更为弹性,根据使用者所使用的CPU、记忆体量,随需计价。而开发者可以迳行着手开发应用,不需要花费额外成本执行伺服器维运工作。
?
责任编辑/王宏仁
更多Container产品动态Azure容器监控服务预览版释出,可用来监控Azure△Kubernetes服务Azure△Kubernetes服务再升级,靠滑鼠点击就能建置Kubernetes丛集@资料来源:iThome整理,2018年5月相关:
容器资安厂商Twistlock要支援多方容器Runtime格式,囊括runC、containerd及cri
容器技术这几年的在IT业界引起的风潮,Docker公司可谓厥功甚伟,除了为IT架构带来新想像外,也带来更多周边新需求,像是容器安全、储存以及调度等。而其中一家主打容器资安服务新创公司Twistolck,现在更深化服务,要
Chef自动化布建服务Habitat Builder也开始相容Azure环境,可用来部署容器化应用程序
图片来源: Chef 提供应用程序组态管理的Chef在去年用开源自动化派送专案Habitat为基础,推出自动化部建服务Habitat△Builder,当时该公司的规画就是要让它能横跨多种基础架构,从公有云、Docker、Kubernetes、Cloud△
AI趋势周报第39期:Google新AI小游戏,展示TensorFlow.js威力
Emoji△Scavenger△Hunt可以直接在手机浏览器运行,不会存取后端伺服器、也不会搜集或储存手机的照片。 图片来源: Google 重点新闻(0504~0510)?Google△????TensorFlow.js△??Google推出新AI小游戏,展示TensorFl
Build 2018:开源微软研究院发展十年的跨平台机器学习框架ML.NET
微软目标要让ML.NET成为通用开发工具,支援现存流行机器学习函式库 微软在其Build△2018大会上,发表了跨平台的机器学习框架ML.NET,能帮助开发者建立自己的机器学型模型,并使用在应用程序中,微软也强调,使用ML
OpenShift挺进私有容器云平台IBM Cloud Private
要想要在私云环境部署OpenShift的企业,除了OpenStack、裸机环境的选择之外,现在也可以靠私有容器云平台IBM△Cloud△Private执行OpenShift了。在近日的红帽高峰会中,红帽与IBM推出这桩合作案,红帽技术副总裁Paul△