04/13~04/20重點新聞回顧:

Docker企業版正式推出2.0,完整支援跨雲Kubernetes容器調度

儘管創辦人剛離開Docker公司,但Docker仍持續版本更新計畫。Docker最近釋出了Docker企業版的2.0版,主打可以跨OS、跨雲的企業級容器管理平臺,也強調可以透過Kubernetes來管理跨雲容器調度。

Docker去年10月預告,將會再下一個版本支援Kubernetes,2.0等於是穩定支援的Kubernetes的Docker EE版本。在2.0版中,使用者可以透過單一介面,同時來管理Kubernetes和Dokcer自家的Swarm。

另外2.0也提供了更多的基本容器管理配置,來簡化容器叢集的管理工作,例如一個指令就可以快速建立叢集、映像檔配置預設安全性、Log快速存取機制等。另外也能整合企業LDAP和AD服務,來強化對容器叢集和容器應用的權限管控。另外2.0版也強化了L7路由和負載平衡機制。

不過,另一個推出已久的Docker Kubernetes for Windows版本,仍舊是Beta測試版,沒有一併更新。另外去年DockerCon宣布的傳統應用程式容器化(Modernize Traditional Applications,MTA)轉換工具,也還沒有在2.0中亮相。

管理AWS部署有新工具,HyTrust自動安全控管能雙吃VM和容器

去年發生了多此AWS安全配置出錯而外洩資料的資安事件,最近HyTrust推出CloudControl 6.0新版,鎖定AWS服務,可以同時管理容器和VM,來進行自動化安全控管和部署。

HyTrust分別推出了可安裝於Kubernetes和VM中的不同版本,但可用來執行同一套資安政策,包括用於內部環境或AWS上的雲端環境。

CloudControl 6.0容器版提供了元件分析工具,可以來評估容器映像檔的完整性,避免使用遭到污染或暗藏惡意程式的問題映像檔。另外也有一個Runtime時期的監控工具,來確保容器執行過程也能符合企業安全政策。

VMware的DevSecOps工具支援容器,可將資安政策延伸到第三方容器平臺

VMware則在今年RSA安全大會中,宣布自家的VMware AppDefense雲端服務,開始支援容器安全性的檢查。AppDefense增加了新的API,可以用來整合容器調度平臺,讓第三方應用程式,來套用AppDefense提供的安全政策。換句話說,企業原本可以用

AppDefense來建立自家VM的安全政策,現在也可以建立容器的安全政策,而第三方軟體業者,則可透過AppDefense安全API,將安全政策延伸到其他產品上。目前,第一個宣布要支援AppDefense的容器安全API的業者是Aqua Security,預計在明年下半年可以推出這項功能。

AppDefense可以提供一個企業內部應用程式環境的安全狀態地圖,讓企業更容易運用CI/CD工具來建立資安自動化規則(DevSecOps),未來也可以在資安狀態地圖上,呈現出容器化應用的安全狀態。VMware也計畫在今年第二季部署到歐洲資料中心,對歐洲企業提供服務。

Rancher分散儲存平臺Longhorn擴大支援,延伸到Kubernetes容器叢集

剛推出2.0新版的容器軟體業者Rancher最近宣布,開源的分散式容器儲存計畫Longhorn將支援Kubernetes的可用叢集。Rancher可以將同一個叢集中所有節點的本地端儲存空間,整合起來,再分派給不同的容器化應用來使用,等於是一種類似儲存虛擬化(Storage Virtualization)的儲存容器化技術(Storage Containerization)。

Rancher去年啟動這個Longhorn計畫,現在只進展到0.2版。Rancher官方表示,Longhorn可以將一個複雜的儲存控制器分散成大量小型獨立的儲存控制器,目前可以提供到10萬個儲存控制器,給不同的應用程式各自使用,而不是透過單一儲存控制器來提供10萬個儲存空間。

目前已有容器儲存平臺如OpenEBS開始使用Longhorn專案的技術,來設計永久性容器儲存功能。不過,Rancher沒有透露何時才能推出Longhorn正式版,該公司執行長預估,可能要2~3年後。

不需Root權限, Google釋出容器映像檔建立工具Kaniko

最近,Google釋出開源創建容器映像檔工具Kaniko,讓開發者不需要擁有Root權限,也能在Kubernetes叢集環境,用Dockerfile建立容器映像檔。
Google表示,用標準的Dockerfile建立容器映像檔,通常仰賴Docker守護行程的交互存取,但這個動作需要去Root權限才能執行,而可能會使像Kubernetes叢集這類無法輕易或是安全的公開其Docker守護行程的環境難以建立容器映像檔。
為克服這個問題,Google開發了Kaniko,不只能以Dockerfile建立容器映像檔後並將其推送至Registry,而且還不需要特殊權限,Google表示,使用者能在標準Kubernetes叢集、Google Kubernetes Engine或是任何沒有特殊權限的環境執行Kaniko。

RHEL 7.5正式版釋出

紅帽正式發布Red Hat Enterprise Linux 7.5正式版,除了強化安全性與法遵性功能外,還持續整合Windows基礎架構,整合新工具降低企業用戶儲存成本,並且預告將在RHEL 8時棄用Python 2。

RHEL 7.5目標是成為混合雲環境的穩固基礎,無論是在內部部署(On-premise)或是微軟Azure雲端服務,都進一步與微軟Windows的基礎架構整合。RHEL 7.5改進了和Windows Server管理和傳輸的實作,提升與微軟Azure雲端服務資料傳輸的安全性,並增進

Microsoft Active Directory架構的效能。也完整支援開源命令列工具Buildah,可於背景執行完整的Container或是守護行程,不僅加速部署速度,還因為減少攻擊面而提高安全性。

另外,開源法遵檢查工具OpenSCAP與紅帽Ansible Automation在7.5中進一步整合,能直接創建OpenSCAP執行掃瞄作業的Ansible Playbooks自動化範本來重複使用。

OCI釋出容器映像檔規範,盼打通各家容器管理平臺

開放容器倡議組織(Open Container Initiative,OCI)要制定映像檔發布標準,打破各容器管理平臺的互通障礙。OCI啟動發布規範專案,以Docker Registry v2協定為基礎,訂立容器映像檔推送與拉取等行為的發布標準。

容器發布規範在GitHub上的提案,只有發布API的規範,並不包含Docker Registry的程式碼,不過Docker Registry則被當作參照實作,該協定還有其他非開源的實作,包括Google的gcr.io、Amazon ECR、CoreOS Quay、Gitlab registry,JFrog Artifactory registry、華為Dockyard等。

Docker Registry已經是Runtime與映像檔的公認標準,有超過400億個映像檔遵循這個協定發布。

責任編輯/王宏仁

更多Container產品動態

NeuVector推出2.0版,可用L7防火牆來強化Kubernetes安全

德國商Camunda推出Optimize 2.0,可提供微服務效能分析


Advertisement

更多 iThome相關內容