原标题:Container双周报第30期:Docker和CoreOS双双捐出容器核心Runtime
图片来源:Docker
重点新闻(03月11日-03月24日)
·容器核心元件变成公共财,Docker和CoreOS双双将自家容器Runtime捐给云端原生运算基金会
在去年Docker将Docker Engine内的核心元件Containerd开源,为容器格式标準化踏出关键一步后,近日Docker和CoreOS一同宣布,Containerd和rkt专案都要贡献给云端原生运算基金会(CNCF)。Docker技术长Solomon Hykes表示,在过去4年中,他看见Docker为产业带来前所未见的颠覆、创新,「将Containerd贡献给CNCF,将为容器生态系带来下一波的创新动能。」而CoreOS技术长Brandon Philips表示,将rkt、Containerd这些专案贡献给CNCF,也能确保容器社群继续合作。
为何Docker特别属意CNCF,Solomon Hykes解释,有3大原因。首先,Containerd是Docker的核心元件,已随Docker部署到数百万台机器上,希望透过CNCF组织持续推动容器化风潮。再者,Google早就将Kubernetes贡献给CNCF,虽然Kubernetes从1.5已经支援Docker,但Solomon Hykes和Kuberntes专案关键人物都希望,让Containerd成为Kubernetes的重要核心runtime,捐给同一个机构有助于整合。另外,CNCF也拥有不少与容器相关的重要开源专案,像是gRPC以及Prometheus。更多资讯
·IBM Bluemix容器服务也开始支援Kubernetes
容器调度的战局中,Kubernetes目前已经是声望最大的专案,除了GCP、AWS及Azure三大云环境都支援,现在连IBM旗下的Bluemix PaaS平台的容器服务,也宣布开始支援Kubernetes。不过,目前这个服务还是位于Beta版本。
IBM表示,企业在Bluemix除了能使用Docker及Kubernetes,加速应用程式交付外,还可以结合Watson的云端认知服务。而在使用者在Bluemix上建立Kubernetes丛集后,就可以同时运行无态、有态应用程式。更多资讯
·DC/OS 1.9版释出,强化大数据分析服务和自动化部署
距离1.8版释出才5个月,Mesosphere近日又迅速推出了DC/OS 1.9版。Mesosphere表示,新版简化了大数据平台的建置,甚至只需点击几个按键就能部署多种大数据服务平台。也新增了7个资料服务,可供企业快速部署,包括了Alluxio、Lightbend、DataStax、dataArtisans、Couchbase、Redis Labs、Confluent。
1.9版特别强化了资料服务自动化部署机制,开发者可以只靠一行指令,部署Spark、Cassandra、HDFS、Kafka及Elasticserach等工具,而DC/OS也降低每个服务实例的大小,藉此提升服务实例的密度。另外,这版本中,Mesosphere也开始支援了Kubernetes及Docker Swarm,让开发者可以将这些大数据服务部署于容器中运行。更多资讯
·Container6大资安迷思
对比Container,不少企业仍抱持传统VM技术更为安全的想法。过去任职排名财星500大的化学厂商Albemarle资安长, 现在为容器资安厂商Twistlock技术长John Morello表示,他不时听到有关容器技术安全议题的错误认知,「它们像都市传说般存在,不停地被覆诵。」
第一迷思:容器也能越狱(Jailbreaks)。他认为,越狱听起来很吓人,但是现实中却很少发生,「多数攻击是锁定攻击应用程式,若已入侵应用程式,何必还需越狱呢?」John Morello表示,对企业真正重要的问题在于,了解骇客发起攻击的时间点,以及系统是否已遭攻击。
第二迷思:Container得解决多租户问题,才可以用于正式环境。他解释:「没有一家企业真的需要因此而困扰。」只要将应用程式拆分为多个微服务,并且部署在VM中即可解决。
第三迷思:靠应用程式防火墙,就可以保护容器应用。他表示,因为容器应用经常在几秒内就会切换所在主机,甚至连资料流量(payload)都採加密传输的状况下,「应用程式防火墙可说是无用武之地。」容器安全性高度仰赖开发者的资安意识,得开发出够安全的微服务架构才行。
第四迷思:端点防护可以保护微服务。John Morello表示,端点虽然很适合保护笔记型电脑、PC以及行动装置,「但是端点防护并不是为保护微服务而生」,它也无法介入Docker runtime以及容器调度的运作。
第五迷思:在Dockerfiles的FROM指令加上latest参数就能取得最新版本。他解释,容器漏洞管理并不如表面上简单,「原始映像档不一定永远都会随着专案更新」,取得最新版映像档Base Layer,并不代表会将映像档中每一层都同步更新。
第六迷思:无法分析容器中的恶意行为。John Morello表示,容器行为可以监控。有几个方法如,容器manifest档详细描述了容器的行为,可以用来转换出资安特徵档。再者,容器组成会有一定的合理性,例如开发者常会把几个知名应用系统组成一包容器微服务来执行,容器部署比VM部署更可有基本规则可参考。另外,容器只有在更新程式时才改变,一旦发现Container运作行为变了,「不是组态设定改变,就是遭受攻击。」更多资讯
·Intel自家容器技术Clear Containers释出2.1.1新版,支援Docker Swarm及Kubernetes
在2015年Intel为了卡位轻量级作业系统,也推出自家的容器技术Clear Containers,在近日,Intel宣布推出Clear Containers 2.1.1版,同时支援目前市面上的主流容器调度工具,如Kubernetes、Docker Swarm。主要有3个特色:一、加强容器网路功能,支援更複杂的网路组态设定。二、将容器工作流程隔离于命名空间,加强隔离性及安全性。第三是加强了工作流程监控功能。更多资讯
更多产品动态
·Docker将Containerd专案捐给云端原生计算基金会更多资讯
·AWS版Docker登上AWS市集更多资讯
·资料中心作业DC/OS推出1.9版,加强支援容器技术及大数据服务更多资讯
·Apache Mesos 1.2.0版释出,强化Mesos容器化功能更多资讯
·红帽更新Fedora Atomic,加强软体打包功能更多资讯
·Google App Engine开始支援ASP.NE核心更多资讯
·Google GCP支援PHP 7.1版更多资讯
·红帽OpenShif支援企业靠New Relic监控应用程式运作更多资讯
·开发板UP board支援Docker容器更多资讯
Container资源
※官方:MapR如何让大数据Docker Container变得更轻量
※官方:Aqua Security确保Kubernetes部署安全的方式
※How-To:建立Windows Docker持续整合流程
※How-To:替Docker化Elasticsearch建立快照
相关:
(健康医疗网/记者郭庚儒报道)打造新北失智友善城!新北市卫生局宣布成立“失智症共同照护网”,将亚东、恩主公、淡水马偕、新店耕莘、双和、汐止国泰,以及台北慈济共7家医院纳入失智症核心医院,提供新北市失智症病
他是皮尔洛接班人、大巴黎核心,比梅西矮4厘米却头球攻破巴萨! [生活]
欧冠赛场上,巴黎圣日耳曼被逆转的奇耻大辱还在球迷的口中流转,有关球队新的传闻又开始飘散,那就是关于球队的中场核心维拉蒂的去向问题。最近几日,诸多豪门都表示了对维拉蒂十分感兴趣,尤其是巴塞罗那和尤文图斯
【环球时报综合报道】美国有线电视新闻网(CNN)21日称,一名白宫官员证实,美国“第一女儿”伊万卡将在白宫西翼拥有一间办公室,特朗普正在为其申请安全审查。报道称,此举将伊万卡置于特朗普政府的核心位置。美国《华
AI趋势双周报第3期:广告预测分析不再只用单一机器学习法,能靠整体学习来增加准确性
图片来源: ConversionLogic 重点新闻(0304~0317)广告预测分析不再只用单一机器学习法,能靠整体学习来增加準确性美国洛杉矶广告预测分析公司Conversion Logic打破以往只用一种机器学习法的分析方式,在自家的XC Logi
Fintech双周报第17期:鸿海涉足区块链,与中国点融网推区块链平台“Chained Finance”
重点新闻(03/04-03/17)鸿海涉足区块链,与中国点融网推区块链平台「Chained Finance」鸿海集团旗下金融服务平台子公司富金通和中国点融网在3月7日宣布,合作推出区块链平台「Chained Finance」,将区块链技术导入供