Container周報第101期：大型主機也能執行Docker，GKE容器沙箱正式上線

5/9~5/22非看不可的精選Container新聞

#大型主機 #容器
z/OS大型主機也能執行Docker容器，未來還要支援K8s應用

IBM最近宣布推出了大型主機z/OS所用的容器外掛程式IBM z/OS Cloud Broker，可以讓使用Docker容器技術的應用，在大型主機z/OS作業系統上執行。IBM的策略是，讓大型主機也能部署雲端原生應用，支援Docker容器應用是第一步，IBM Z軟體副總裁Barry Baker更預告，未來還要讓Kubernetes可以在z/OS上執行，也就是Kubernetes for z/OS版本。他透露，這也將是IBM併購紅帽後的優先任務之一，將和紅帽技術團隊聯手實現這個計畫。另一方面，為了讓日後大型主機上部署雲端原生應用時，第三方應用可以容易調用或探索這些應用，IBM自家混合雲服務調用工具Open Service Broker API也開始支援大型主機。

#GKE #CI/CD
GKE下個將開始提供3種發布版本，激進版將率先支援Windows容器應用

Google在歐洲KubeCon大會上宣布，GKE將會提供更多種發布版本，從下個月開始，將提供激進版（rapid）、標準版（regualr）和穩定版（stable）三種，可供使用者分別測試不同版本的Kubernetes環境。其中標準版是主要的版本，目前支援Kubernetes 1.13，而穩定版則是會納入一些測試過可用的新功能，而激進版則將支援下一個版本的Kubernetes，也就是1.14版。因為1.14版新增了對Windows容器的支援，因此GKE將從下個月開始，在激進版中可以開始支援。

#VS Code #DevOps
Visual Studio Code正式推出Kubernetes外掛工具

現在可以在Visual Studio Code開發工具上管理Kubernetes叢集了。微軟在歐洲KubeCon上正式發布了VS Code的Kubernetes工具1.0正式版。開發者可以在VS Code的瀏覽工具模式上，直接檢視K8s叢集，直接展開檢視叢集上的服務、Pod、節點等，也可直接檢視K8s叢集上的Helm套件，甚至可以直接從VS Code專案中，直接用Dockerfile在雲端Kubernetes叢集上建置和啟動容器環境。

#容器安全 #趨勢科技
趨勢Deep Security推出Kubernetes防護，映像檔驗證、執行期防護到控管都強化

趨勢科技資安產品Deep Security最近宣布，強化了容器和Kubernetes平臺防護功能，可以涵蓋容器應用從開發、部署到上線部署和執行階段的全生命周期安全防護。原本趨勢科技產品就可提供容器映像檔掃描，可支援信賴的登錄資料庫（Trusted Registry），可提供登錄前掃瞄 (pre-registry scanning) 以提早發現漏洞與惡意程式，現在進一步增加了法規遵循與組態設定檢查的支援，另外也可以對已經過數位簽署的映像設計，開立映像檢查證明 （Image Assertion）。新版也強化了Docker和Kubernetes容器在執行期的防護，例如可設定IPS入侵防護規則或監測平臺的一致性，另外，還會檢查跨容器和平臺間的橫向與縱向流量，來預防可疑的入侵或破壞行為。最後，還釋出了API，可供資安團隊用來控管容器執行期的防護工作，或用來設計容器防護作業的自動化腳本程式。

#容器沙箱 #GKE
GKE進階版開始提更容器沙箱功能

Google近日宣布，自家GKE服務的進階版，開始支援去年發布的開源gVisor沙箱技術，可以提供沙箱保護的容器（GKE Sandbox），目前是測試版。Google GKE產品經理Yoshi Tamura指出，Google希望透過這樣的沙箱容器，吸引更多企業在Kubernetes上部署容器化應用。Kubernetes原本就採取了多層式管理架構設計，從底層的一個Container，到多個容器組成的Pod，以運算節點來看的Node，多節點可組成Cluster，以及涵蓋最廣的Project層，各自還搭配了不同的資安控管機制，例如Namespace可用來針對Pod和Container進行服務帳號控管。現在，GKE利用gVisor，在Kubernetes服務平臺的POD層上，多加了一層資安隔離層，作為Pod上的第二層防禦機制，可用來減少容器直接與主機互動的需求，來降低主機遭駭的風險。GKE常見應用是開發者用來提供多租戶的SaaS應用服務，同一支應用需組合多的容器來提供前端網站服務和後端資料庫，就可以用GKE Sandbox容離，來隔離不同用戶所使用的同一支應用程式的不同容器環境，或遇到要執行高風險的程式碼時，也可直接在GKE Sandbox容器中執行，避免影響其他容器。

#Azure、#Windows容器
微軟AKS開始支援Windows Server容器

今年4月發布的Kubernetes 1.14版本，加入支援Windows節點與容器，微軟現在進一步宣布在其Kubernetes服務AKS（Azure Kubernetes Service）提供Windows Server容器，讓使用者可以在AKS中部署和管理Windows Server容器，目前這項功能正在預覽階段。
在AKS上支援Windows Server容器代表，使用者能在Linux和Windows上執行應用程式，並使用完全相同的API和工具等支援，管理同一個Kubernetes叢集中的Windows和Linux容器，而這不只讓使用者可以在Azure上建立新型態的Windows Server應用程式，也提供了一條將Windows Server應用程式搬遷到Azure上的途徑。微軟舉例，這樣的能力讓使用者可以將Windows節點池加入現有的虛擬網路中，或是在同一個Kubernetes叢集中，以Linux容器執行反向代理（Reverse Proxy），而在另一個Windows容器中執行IIS應用程式，並且使用相同的監控與部署工作管線。

#Kubernetes管理 #Slack #DevOps
DevOps管理K8s叢集更方便，靠k8sBot在Slack中就能掌握Kubernetes狀態

DevOps工具供應商ManagedKube在GCP市集推出了名為k8sBot的應用程式，使用者只要安裝對應的Slack小工具，就能從Slack監控雲端Kubernetes的狀態，透過k8sBot可以方便地讓所有團隊成員，快速地掌握Kubernetes的執行狀態。
k8sBot不只能提供類Kubectl工具能獲得的資訊，更重要的是k8sBot在Slack上提供簡單的介面，用戶只要使用滑鼠就可以取得pod狀態、日誌，以及故障排除建議，不需要記憶Kubernetes命令或是pod的名稱，ManagedKube提到，k8sBot代理會在使用者的Kubernetes叢集內執行，為使用者收集即時相關資訊，並透過Slack通知使用者。

責任編輯／王宏仁

更多Container動態

• 一千個最受歡迎的Docker容器，2成沒設Root密碼
• 微軟推出新的Visual Studio程式碼拉取請求擴充套件
• 又有一家容器新創Replex推出K8s治理工具
• 甲骨文雲端架構強化Kubernetes支援

＠資料來源：iThome整理，2019年5月