臺灣Container Summit今日在臺大集思會議中心舉行,此次高峰會也找來Docker、CoreOS及Mesos等官方專家分享一手經驗,例如來自Docker的陳東洛,目前是Docker 開發分散式系統和叢集解決方案,同時也是調度工具Swarm和Engine-api的管理員,還有CoreOS分散式項目主管李響,在CoreOS負責Kubernetes等分散式系統相關的開發。

過去任職Mesos分散式系統首席工程師的Timothy Chen表示,容器調度工具總共包含三大元件,第一是服務管理(Service management),主要控制服務的規模,根據需求水平擴展(Scale-out)或者收縮(Scale-in)。第二層是排程器(Scheduling),讓使用者不需要手動安排伺服器得運作哪些應用程式,讓系統自動決定應用程式部署的位置。第三層則是資源管理(Resource management),分配應用程式運作需要的硬體資源,例如CPU、記憶體。

《Docker源碼分析》作者孫宏亮,目前任職中國PaaS服務商上海道客網路科技,同時也Docker Swarm核心維護者。他表示,Docker並不是為了安全而生,其價值在於易用,提供標準化環境,以及相當高的性能表現,但是企業運作必須追求安全,「如果無法解決資安問題,企業不會願意使用Docker。」他也笑說,中國IT業界流傳一句話:「資安是IT架構的遮羞布」,一旦架構設計瑕疵影響企業正常運作時,就得付出巨大的代價。

雷亞遊戲技術長鐘志遠揭露為何雷亞遊戲從PaaS平臺,轉向Kubernetes環境的原因。他表示,過去使用PaaS平臺AWS Elastic Beanstalk 的經驗中發現,PaaS的運作對開發團隊像是黑盒子,「我們對PaaS了解甚少,造成許大的負擔。」而轉為使用偏向PaaS性質的Kubernetes時,使用者不需要管理底層VM,只需要管理Container環境,同時所有的基礎的技術層(Technology Stack)都被封裝在Container中時,開發人員也比較容易了解程式的架構。此外,使用Kubernetes也可以確保環境已經過測試後無異常後,才會進入線上環境。

臺灣駭客年會HITCON創辦人,目前任職資安公司vArmour 資深工程師的徐千洋表示,強化Docker Container有三大基本方法。第一是設定使用命名空間(User Namespace),確保服務不透過root權限運作。第二則是利用Linux內的Capabilities功能拆分權限,將特權帳號可以執行的功能細分成不同權限進行控制。最後則是利用AppArmor功能,針對不同程序進行存取控制。


Advertisement

更多 iThome相關內容