重點新聞(07月01日-07月14日)

·第一個社群版Docker正式登場,開始支援多階段部署

Docker在今年邁向商業化的步伐頻頻,首先在DockerCon高峰會上推出Moby專案跟LinuxKit,一舉為社群及企業畫上一道明確的界線。近日Docker公司釋出了第一個全部由Moby專案建置的Docker社群版(Communtiy Edition,CE)17.06版。

在新版本中,Docker最強調的新特色,就是支援多階段建置(Multi-stage builds)功能,Docker開發者社群總監Mano Marks而多階段建置的特色在於,在單一Dockerfile中,開發者可以在系統完成最終的建置過程前,自訂多階段的建置過程,像是進行編譯、設定系統組態。而此作法的優點在於,開發者可以利用容量較大的映像檔,完成前階段的建置工作,最後完成的映像檔,只有運作應用程式所需要的檔案。

新版本也加強Swarm mode的功能。首先是組態物件(Configuration Objects),在使用Swarm mode時,開發者可以利用Docker既有傳輸密碼、SSH私鑰或SSL憑證等數據的方式,遞送這些組態設定。

同時新版透過縮短憑證替換的周期,藉此加強使用上的安全。Docker解釋,swarm mode的公開金鑰基礎架構(PKI)內建在Docker中,「讓使用者能安全的將容器部署在調度系統」,同時,在swarm中的各節點間的通訊,都是仰賴TLS協定進行加密、封裝。相當仰賴憑證系統運作之下,在新版中,使用者可以自由設定憑證輪調的周期。更多資訊

·Kubernetes 1.7新版上線,新增資料加密及強化稽核日誌功能

如同Google先前所規畫每季推出一大新版本的步調,新版Kubernetes 1.7版也正式在6月底上線。針對新版的釋出,Kubernetes官方使用了里程碑一詞形容,無論在資安、儲存,或是系統的擴充性都有所進步,例如,在此版本開始支援資料加密,更在Runtime增加了一個整合層(Aggregation Layer),讓開發者可以自行串接第三方API,擴大容器生態系。

在資訊安全方面,其中一大重要亮點就是開始支援資料加密,Kubernetes表示,只有1.7版之後的版本才支援此功能。未來企業若想要升級至1.8版,必須先把資料解密才能進行升級。另外,API伺服器所儲存的稽核日誌(Audit Logs),系統管理員可藉此追溯事件的起因、發生時間等紀錄。而此功能也支援管理者利用系統事件作為條件過濾Log紀錄。

新版Kubernetes也加強支援有態系統的應用。其中一個新Beta功能是StatefulSet Updates。Kubernetes解釋,此功能讓Kafka、Zookeeper、etcd等應用程式自動更新,或是執行滾動式更新。此外,StatefulSet Updates還可用更新容器映像檔、標籤。

除了加強資安以及支援有態應用,加強系統擴充性也是一大特色。新版在Runtime層級實作了一個API整合層,讓進階使用者可以在叢集中導入第三方或是自建的API,或是使用Kubernetes內建的設計。更多資訊

·甲骨文開源釋出3項開源容器開發工具

容器技術現在也成軟體大廠甲骨文極力押寶的目標,近日一口氣開源釋出3個容器開發工具,分別是微容器建置工具(Microcontainer builder)Smith、微容器除錯器Crashcart及容器Runtime元件Railcar。

甲骨文雲端開發事業部架構師Vish Abrams表示,目前自家雲端服務許多功能已經導入容器技術,而3項近日開源的容器開發工具,「可以協助開發者建置、維運容器。」

第一項工具是微容器建置工具Smith。Vish Abrams表示,在建置過程中,甲骨文也碰上許多操作面問題,例如容器映像檔體積太大、權限擴張,或是漏洞管理。為此,甲骨文的解決方式就是利用微容器。他表示,微容器並非新技術、新格式,而是讓容器內只包含單一可執行檔(single executable)、執行唯讀檔案系統等特性,「透過Smith可以讓建置過程更加安全、一致。」

第二項工具則是微容器除錯工具Crashcart。Vish Abrams表示,當使用者將容器尺寸縮小,部署在正式環境中時,也讓執行診斷、故障排除的工作變得更困難。他解釋,大多情況,開發者都可以在容器的宿主機上執行除錯,「但有時必須存取容器內的檔案系統。」利用Crashcart,開發者可將二進位檔案載入至運行中容器,「檢查問題的成因。」

最後則是容器Runtime Railcar,「對於容器Runtime而言,Go語言並不是一個好選擇。」Vish Abrams表示,引用提供容器、微服務平臺的SaaS廠商Weaveworks的研究,該廠商表示,使用Go語言,除了不容易除錯外,也不能安全地修改命名空間。他表示,Go仍然是個優異的程式語言,但是對需要高度掌握執行緒、處理許多系統呼叫的系統而言,「有許多更好選項。」他表示,甲骨文開源釋出的這個Runtime,就具備如C語言對底層高度掌握的優點。更多資訊

·Mesosphere技術長看容器如何影響開發者

在容器技術逐漸成熟,核心技術廠商Docker也邁入商業化階段下,也逐漸成為企業在正式環境導入的選項。在容器調度工具仍有一席之地的Mesosphere技術長Tobi Knaup表示,容器技術改變開發者使用工具的習慣。就已監控工具為例子,雲端技術還不普遍前,「它們都是已監控主機為主」,但到了現今應用程式才是關注焦點,「導致這些工具不再變得好用。」再者,容器技術很適合用於打包應用程式,以及執行12 factors app,「不過這些應用程式仍然需要連結到資料庫及後端服務。」因此,在容器世界中執行這些後端服務也成為開發者得面對的挑戰。

另外,雲端原生應用也是近年非常熱門的名詞。Tobi Knaup表示,雲端原生一詞反應的是現象是,「大型網路公司如何打造自家的基礎架構,並且為了快速創新、快速迭代而做的優化工作」,讓開發團隊、產品團隊可以快速地部署軟體。

他表示,快速部署也是每個企業都應該關注的目標,像是如何縮短部署時間,從每小時縮端短至數秒鐘,「而雲端原生就讓基礎架構具備快速跌代的能力。」更多資訊

·容器服務廠商Hyper發表相容OCI標準的Runtime runV

近日容器新創Hyper發布了一款相容開放容器OCI標準的Runtime runV,想要讓容器具備多租戶管理能力,以利此項技術能在5G、邊緣運算或IoT都能有所運用。這一款Runtime是以Hypervisor為基礎發展,目前相容於OCI標準,不過由於Hypervisor與容器技術間的區隔,部分功能像是命名空間、拆分權限的Capability機制,「並不適用於runV。」

Hyper認為,容器在打包、派送執行應用程式的能力上非常出色,但是由其共用作業系統核心的原因,在多租戶環境下,目前它的安全性仍然不如虛擬機。也因此,Hyper選擇使用傳統的Hypervisor技術如KVM、Xen開啟容器映像檔,而非選擇cgroup、命名空間等機制。根據Hyper的評測,runV可以在100ms內,在一個micro VM中開啟一個Docker映像檔。目前runV總共支援的虛擬化平臺包含KVM(QEUM 2.0版後)、Xen(4.5版後)以及Mac版本的VirtualBox。而相容的Linux作業系統則是Ubuntu、CentOS、Fedora以及Debian。

現在runV現在開始準備要支援ARM伺服器,Hyper認為,透過容器多租戶的機制,「無論是效能或單臺伺服器上容器密度的提升,都能有所改善。」目前Hyper也與ARM合作,結合runV及ARM平臺,進軍IoT、5G以及邊緣運算。更多資訊

·容器安全平臺Twistlock 2.1新版釋出,內建雲端原生防火牆功能

主攻容器資安市場的Twistock,旗下容器資安平臺Twistlock 2.1也在近日釋出。Twistlock技術John Morello表示,新版本推出許多新功能,像是容器應用程式防火牆、漏洞風險評估、整合機密檔案管理。

新版本中,Twistlock相當強調的功能就是雲端原生應用程式防火牆,「完全透過軟體定義的方式實作。」John Morello表示,傳統的網頁應用程式防火牆,需要透過人工作業,連結防火牆以及其保護的應用程式。但是現在IT基礎架構逐漸上雲的時代中,「透過容器調度工具部署應用程式時,有許多事情辦得相當難管理」,他舉例,像是應用程式不再具有固定IP、維運人員無法全權掌握網路路由拓樸,或是部署負載平衡器。

John Morello舉例,當開發者執行Wordpress時,透過雲端原生防火牆,系統可以自動重新安排流入容器、Pod的網路流量,「只讓乾淨的網路流量引入容器中」,企業也不需為此改變既有的映像檔、容器或是系統架構。他表示,在系統逐漸熟悉這些過濾原則後,就可用於抵抗SQL Injection攻擊、跨網站指令碼攻擊,並且阻擋來自惡意端點發出的請求。更多資訊

Container產品更多動態

·DevOps即服務供應商Cloud 66釋出Container Stacks V2版,開始支援Kubernetes更多資訊

·DevOps即服務供應商Cloud 66推出Docker建置工具Habitus 1.0版,可支援Java及Go語言更多資訊

·容器資安廠商Aqua容器安全平臺2.5版釋出,支援多租戶容器資安管理更多資訊

·監控工具Prometheus 2.0 Alpha 3版釋出更多資訊

Container資源

※觀點:為什麼Codeship對新社群版Docker有所期待

※觀點:深入探討雲端原生應用程式防火牆(Cloud Native App Firewall)

※觀點:Kubernetes 1.7版新特色

※觀點:使用容器技術的安全指南

※觀點:微服務的安全性

※觀點:如何開始走向容器化

※觀點:LinuxKit跟Docker資安

※影片:新版Docker社群版功能介紹

※影片:用Docker Compose執行滾動式部署

※官方示範:如何使用新版Docker社群版的多階段建置功能

※How-To:對容器執行除錯

※How-To:利用Codeship Pro上傳映像檔至DockerHub

※How-To:結合Docker跟Drone,打造CI/CD工作流程

※How-To:靠容器平臺Kotena、Fluentd及Docker,管理容器內的Log資料

※How-To:利用Codeship Pro上傳映像檔至DockerHub

※How-To:在正式環境用Docker部署PHP應用程式

※How-To:OpenShift上使用Minishift建置Node.js開發環境


Advertisement

更多 iThome相關內容