圖片來源: 

Docker

重點新聞(03月11日-03月24日)

·容器核心元件變成公共財,Docker和CoreOS雙雙將自家容器Runtime捐給雲端原生運算基金會

在去年Docker將Docker Engine內的核心元件Containerd開源,為容器格式標準化踏出關鍵一步後,近日Docker和CoreOS一同宣布,Containerd和rkt專案都要貢獻給雲端原生運算基金會(CNCF)。Docker技術長Solomon Hykes表示,在過去4年中,他看見Docker為產業帶來前所未見的顛覆、創新,「將Containerd貢獻給CNCF,將為容器生態系帶來下一波的創新動能。」而CoreOS技術長Brandon Philips表示,將rkt、Containerd這些專案貢獻給CNCF,也能確保容器社群繼續合作。

為何Docker特別屬意CNCF,Solomon Hykes解釋,有3大原因。首先,Containerd是Docker的核心元件,已隨Docker部署到數百萬臺機器上,希望透過CNCF組織持續推動容器化風潮。再者,Google早就將Kubernetes貢獻給CNCF,雖然Kubernetes從1.5已經支援Docker,但Solomon Hykes和Kuberntes專案關鍵人物都希望,讓Containerd成為Kubernetes的重要核心runtime,捐給同一個機構有助於整合。另外,CNCF也擁有不少與容器相關的重要開源專案,像是gRPC以及Prometheus。更多資訊

·IBM Bluemix容器服務也開始支援Kubernetes

容器調度的戰局中,Kubernetes目前已經是聲望最大的專案,除了GCP、AWS及Azure三大雲環境都支援,現在連IBM旗下的Bluemix PaaS平臺的容器服務,也宣布開始支援Kubernetes。不過,目前這個服務還是位於Beta版本。

IBM表示,企業在Bluemix除了能使用Docker及Kubernetes,加速應用程式交付外,還可以結合Watson的雲端認知服務。而在使用者在Bluemix上建立Kubernetes叢集後,就可以同時運行無態、有態應用程式。更多資訊

·DC/OS 1.9版釋出,強化大數據分析服務和自動化部署

距離1.8版釋出才5個月,Mesosphere近日又迅速推出了DC/OS 1.9版。Mesosphere表示,新版簡化了大數據平臺的建置,甚至只需點擊幾個按鍵就能部署多種大數據服務平臺。也新增了7個資料服務,可供企業快速部署,包括了Alluxio、Lightbend、DataStax、dataArtisans、Couchbase、Redis Labs、Confluent。

1.9版特別強化了資料服務自動化部署機制,開發者可以只靠一行指令,部署Spark、Cassandra、HDFS、Kafka及Elasticserach等工具,而DC/OS也降低每個服務實例的大小,藉此提升服務實例的密度。另外,這版本中,Mesosphere也開始支援了Kubernetes及Docker Swarm,讓開發者可以將這些大數據服務部署於容器中運行。更多資訊

·Container6大資安迷思

對比Container,不少企業仍抱持傳統VM技術更為安全的想法。過去任職排名財星500大的化學廠商Albemarle資安長, 現在為容器資安廠商Twistlock技術長John Morello表示,他不時聽到有關容器技術安全議題的錯誤認知,「它們像都市傳說般存在,不停地被覆誦。」

第一迷思:容器也能越獄(Jailbreaks)。他認為,越獄聽起來很嚇人,但是現實中卻很少發生,「多數攻擊是鎖定攻擊應用程式,若已入侵應用程式,何必還需越獄呢?」John Morello表示,對企業真正重要的問題在於,了解駭客發起攻擊的時間點,以及系統是否已遭攻擊。

第二迷思:Container得解決多租戶問題,才可以用於正式環境。他解釋:「沒有一家企業真的需要因此而困擾。」只要將應用程式拆分為多個微服務,並且部署在VM中即可解決。

第三迷思:靠應用程式防火牆,就可以保護容器應用。他表示,因為容器應用經常在幾秒內就會切換所在主機,甚至連資料流量(payload)都採加密傳輸的狀況下,「應用程式防火牆可說是無用武之地。」容器安全性高度仰賴開發者的資安意識,得開發出夠安全的微服務架構才行。

第四迷思:端點防護可以保護微服務。John Morello表示,端點雖然很適合保護筆記型電腦、PC以及行動裝置,「但是端點防護並不是為保護微服務而生」,它也無法介入Docker runtime以及容器調度的運作。

第五迷思:在Dockerfiles的FROM指令加上latest參數就能取得最新版本。他解釋,容器漏洞管理並不如表面上簡單,「原始映像檔不一定永遠都會隨著專案更新」,取得最新版映像檔Base Layer,並不代表會將映像檔中每一層都同步更新。

第六迷思:無法分析容器中的惡意行為。John Morello表示,容器行為可以監控。有幾個方法如,容器manifest檔詳細描述了容器的行為,可以用來轉換出資安特徵檔。再者,容器組成會有一定的合理性,例如開發者常會把幾個知名應用系統組成一包容器微服務來執行,容器部署比VM部署更可有基本規則可參考。另外,容器只有在更新程式時才改變,一旦發現Container運作行為變了,「不是組態設定改變,就是遭受攻擊。」更多資訊

·Intel自家容器技術Clear Containers釋出2.1.1新版,支援Docker Swarm及Kubernetes

在2015年Intel為了卡位輕量級作業系統,也推出自家的容器技術Clear Containers,在近日,Intel宣布推出Clear Containers 2.1.1版,同時支援目前市面上的主流容器調度工具,如Kubernetes、Docker Swarm。主要有3個特色:一、加強容器網路功能,支援更複雜的網路組態設定。二、將容器工作流程隔離於命名空間,加強隔離性及安全性。第三是加強了工作流程監控功能。更多資訊

更多產品動態

·Docker將Containerd專案捐給雲端原生計算基金會更多資訊

·AWS版Docker登上AWS市集更多資訊

·資料中心作業DC/OS推出1.9版,加強支援容器技術及大數據服務更多資訊

·Apache Mesos 1.2.0版釋出,強化Mesos容器化功能更多資訊

·紅帽更新Fedora Atomic,加強軟體打包功能更多資訊

·Google App Engine開始支援ASP.NE核心更多資訊

·Google GCP支援PHP 7.1版更多資訊

·紅帽OpenShif支援企業靠New Relic監控應用程式運作更多資訊

·開發板UP board支援Docker容器更多資訊

Container資源

※官方:MapR如何讓大數據Docker Container變得更輕量

※官方:Aqua Security確保Kubernetes部署安全的方式

※觀點:Docker官方開發流程參考架構

※觀點:容器技術安全的六大迷思

※How-To:用DataDog監控Kubernetes

※How-To:用Docker Swarm設立高擴充性系統

※How-To:建立Windows Docker持續整合流程

※How-To:用Docker運作加密Windows網頁

※How-To:操作Docker機密管理

※How-To:替Docker化Elasticsearch建立快照

※How-To:打造樹梅派的64bit Docker OS

※How-To:監控Docker中運作Java應用程式

※How-To:確保容器化MongoDB的運作安全


Advertisement

更多 iThome相關內容