8/1~8/28 精選容器新聞

#版本更新 #K8s #Igress
K8s終於釋出今年第二次更新,Ingress和安全運算模式雙雙進入正式版

K8s官方網站最近宣布終於釋出今年第二次的K8s新版本1.19版。最大特色是用來控管對外連線流量的Ingress機制,終於發布了正式版,而安全運算模式seccomp也同樣成為正式版功能。預計這次改版,一口氣有34項更新,包括10項功能進入穩定階段,15項Beta版和9項新增加的Alpha版功能,例如新增加的Node除錯機制。

原本K8s一年會釋出四次改版,平均每季一次,但是今年受到疫情影響,開發團隊希望參與開發的貢獻者,可以花更多的時間在日常生活,因此延後了發布時程,這次改版距離上一個版本,足足隔了20周,也因此這次改版的幅度很大。
其中第一個重所關心的功能是Ingress成為穩定正式功能。這是一個用來控管K8s叢集對外存取的API,可以用來控制外部對內部微服務的存取路徑和權限,包括來自外部的HTTP或HTTPS加密連線的路由控制,等於這是一個負載平衡機制,可以用來管理K8s叢集內所有節點或應用,對外的網路流量,也是分散調度來自外部存取請求的關鍵API,早在2年前的1.11版就登場,但直到現在終於穩定了,這次也有一點小幅強化,增加了Ingress網路API,可以用來設計存取範本或驗證存取的變動。

K8s安全運算模式seccomp也進入正式版,這是一個利Linux核心來提供的資安機制,可以用來限制一個容器應用所能執行的系統呼叫數量,因此可以做到限制容器應用能力的效果。1.19版中,seccomp也增加了一個功能,可以分別針對單一個Pod叢集或容器,來設定資安政策的seccompProfil檔案,來提高資安控管的精細度。

另外,去年K8s官方找來第三方進行專案稽核,其中有一項件事就是要支援TLS 1.3加密連線,現在也在1.19版中支援了,可以用於Orchestrator調度時改採加密連線的呼叫。另外有一個重要的新功能是Node除錯機制,目前這個功能仍就是Alpha版。Node除錯機制可以在原有主機環境的命名空間中,立即建立和執行一個新的Pod,以便用來除錯找問題。換句話說,一個正在執行中得Pod節點不用關機重開,就能新增一個處在同樣命名空間有同樣存取權限的Pod來除錯。另外,值得注意的是,1.19版也列出了一些老舊不推薦的API功能,這也意味著後續版本將逐漸停止對這些功能的維護。

#CNCF #K3S 
Rancher捐出超輕量級K8s發布版K3S,正式成為CNCF沙盒專案

去年2月登場的輕量級K8s坂本K3S,最近開發者Rancher決定將K3S捐給CNCF基金會,目前處於沙盒階段,這表示CNCF已取得所有權,但專案還需經過一段時間調整,才能釋出成為推廣孵化的對象。K3S是一個專門用來執行1個節點的輕量級K8s版本,大幅移除了複雜的多節點調度和管理元件,來簡化K8s部署的檔案大小,目的是能夠在運算能力較弱的邊緣運算裝置或筆電中建立一個K8s環境。K3S安裝檔的檔案只有40MB,但已經可以提供內建儲存後端,包括支援Etcd3、MySQL和Postgres資料庫。

#Fargate #容器長期儲存
AWS容器無伺服器容器服務Fargate新增檔案儲存功能EFS,可用於長期和有態儲存

最近AWS宣布自家無伺服器容器Fargate服務,增加了新的檔案儲存功能EFS(Elastic File System),可以用來儲存長期使用的資料,不會隨著所用Fargate關閉,就儲存的資料就同步消失,也可用於有態應用,將資料傳遞給下一個應用程式來接手。目前這個功能可以支援到1.17版K8s版,未來幾周才會支援到更新的K8s版本。

#軟體開發 #VS2019 
Visual Studio 2019版開始支援Kubernetes本地端連線開發

最近微軟在官方開發部落格上,發布了VS 2019版 16.7版的一項新功能,可以在本地端主機上,針對一項.NET微服務進行開發修改、測試除錯,但又同步連線到遠端的K8s叢集上的其餘所有應用或服務,等於可以將一套微服務其中一項服務拉到本地端來進行程式碼開發和測試,但又同時可以成為遠端叢集中的其他微服務互動,不用像過去得把這個.NET微服務,部署到叢集中執行才能進行測試。

#Docker #映像檔
匿名無人用的檔案爆量,Docker決定限制免費帳號的映像檔拉取次數

由於Docker平臺上,超過6個月無人存取的映像檔容量高達10 PB,幾乎占了在Docker Hub上的15 PB映像檔中的三分之二,其中更有4.5 PB來自免費帳號。這些映像檔僅被短暫的使用過,包括了來自結合Docker Hub持續整合工作管線的映像檔,使用者通常會遺忘過程產生的映像檔。因此,Docker官方決定開始實施新的政策,將移除免費帳戶中,長時間無人使用的映像檔之外,而且為了解決匿名帳戶映像檔拉取過於浮濫的問題,也將限制免費使用者拉取映像檔的次數。新的映像檔留存政策將會從11月1日開始實行,系統僅會刪除免費帳戶託管的映像檔,付費帳戶、由官方驗證的發布者以及官方發布的映像檔則不在此限。匿名的免費用戶每6小時拉取次數限制為100次,而經驗證的免費用戶,每6小時的拉取次數限制則為200次,付費使用者則不在此限。

#銀行容器實例 #微服務 #行動銀行
兆豐銀新一代行動銀行和網銀全面改用微服務架構和容器

最近,兆豐銀揭露,早在2018年春天,開發新一代行動銀行與網銀時,就積極採用了微服務架構與容器技術來打造。花了一年多時間,兆豐銀去年底上線新一代行動銀行,而與網銀則在今年4月上線。兆豐銀行資訊管理中心副總經理陳國寶提到:「採用容器技術最根本的原因是,讓銀行的反應快,面對爆量需求時,用容器作法,才能橫向擴充。」不過,也不是全部業務都適合用容器技術,他表示,假設無爆發性成長的業務,則不需用到。

#容器安全 #GKE
新版GKE資料平面支援eBPF技術,增加容器可見性與安全性

Google釋出最新使用eBPF(extended BPF)虛擬機器技術,和開源網路安全軟體套件Cilium的資料平面GKE Dataplane v2,現在GKE除了支援即時政策執行之外,還能在最低的效能影響下,將政策操作與Pod、命名空間和政策名稱相關聯,對政策進行故障排除,發現異常網路活動。當封包進到虛擬機器中的時候,安裝在核心的eBPF程式將會決定路由封包的方法,不像使用IPTables,eBPF程式能夠存取包含網路政策資訊的Kubernetes特殊元資料,如此eBPF程式不只能決定要允許或是拒絕封包,還可以回報帶註解的操作報告給使用者空間。

#Arm處理器 #EKS
EKS現可選用AWS自行設計的Graviton2 Arm處理器

AWS宣布EKS服務也可以使用AWS自行設計的專用Graviton 2晶片來執行工作負載。Graviton 2提供256位元DRAM加密,且支援雙SIMD單元,整個提供的效能,比前一代高了7倍,而且浮點數運算效能也提高1倍,還擁有更大的記憶體通道,在人工智慧的支援上,Graviton 2支援int8和fp16精度運算,能夠大幅提升機器學習預測工作負載的計算速度。

#服務網格 #Envoy
微軟宣布捐出自家開發的輕量級服務網格OSM給CNCF

微軟開發了一個輕量級,且可擴充的雲端原生服務網格(Open Service Mesh,OSM),用戶可以一致且安全的方法,管理高動態的微服務環境。OSM解決方案建構在Envoy專案之上,以服務網格介面(Service Mesh Interface,SMI)實作,現在微軟要把OSM貢獻給雲端原生運算基金會(CNCF)。OSM可用來簡化各項服務網格管理工作,像是在常見的部署情境配置流量轉移,或是透過自動mTLS以保護服務間的通訊,也能對服務應用精細的存取控制政策

責任編輯/王宏仁 

更多Container相關動態

  • Atlassian一口氣推出12項DevOps新功能,能整合GitHub、Git等多種雲端程式碼服務庫的追蹤
  • Mirantis收購知名Kubernetes IDE Lens
  • Linux 5.8成為有史以來最大更新版本

GitLab免費使用者帳戶將無法重置多因素驗證
Google推雲端憑證頒發機構服務,支援物聯網與容器等大規模使用情境


Advertisement

更多 iThome相關內容