Container雙周報第30期：Docker和CoreOS雙雙捐出容器核心Runtime

圖片來源:

Docker

重點新聞（03月11日-03月24日）

·容器核心元件變成公共財，Docker和CoreOS雙雙將自家容器Runtime捐給雲端原生運算基金會

在去年Docker將Docker Engine內的核心元件Containerd開源，為容器格式標準化踏出關鍵一步後，近日Docker和CoreOS一同宣布，Containerd和rkt專案都要貢獻給雲端原生運算基金會（CNCF）。Docker技術長Solomon Hykes表示，在過去4年中，他看見Docker為產業帶來前所未見的顛覆、創新，「將Containerd貢獻給CNCF，將為容器生態系帶來下一波的創新動能。」而CoreOS技術長Brandon Philips表示，將rkt、Containerd這些專案貢獻給CNCF，也能確保容器社群繼續合作。

為何Docker特別屬意CNCF，Solomon Hykes解釋，有3大原因。首先，Containerd是Docker的核心元件，已隨Docker部署到數百萬臺機器上，希望透過CNCF組織持續推動容器化風潮。再者，Google早就將Kubernetes貢獻給CNCF，雖然Kubernetes從1.5已經支援Docker，但Solomon Hykes和Kuberntes專案關鍵人物都希望，讓Containerd成為Kubernetes的重要核心runtime，捐給同一個機構有助於整合。另外，CNCF也擁有不少與容器相關的重要開源專案，像是gRPC以及Prometheus。更多資訊

·IBM Bluemix容器服務也開始支援Kubernetes

容器調度的戰局中，Kubernetes目前已經是聲望最大的專案，除了GCP、AWS及Azure三大雲環境都支援，現在連IBM旗下的Bluemix PaaS平臺的容器服務，也宣布開始支援Kubernetes。不過，目前這個服務還是位於Beta版本。

IBM表示，企業在Bluemix除了能使用Docker及Kubernetes，加速應用程式交付外，還可以結合Watson的雲端認知服務。而在使用者在Bluemix上建立Kubernetes叢集後，就可以同時運行無態、有態應用程式。更多資訊

·DC/OS 1.9版釋出，強化大數據分析服務和自動化部署

距離1.8版釋出才5個月，Mesosphere近日又迅速推出了DC/OS 1.9版。Mesosphere表示，新版簡化了大數據平臺的建置，甚至只需點擊幾個按鍵就能部署多種大數據服務平臺。也新增了7個資料服務，可供企業快速部署，包括了Alluxio、Lightbend、DataStax、dataArtisans、Couchbase、Redis Labs、Confluent。

1.9版特別強化了資料服務自動化部署機制，開發者可以只靠一行指令，部署Spark、Cassandra、HDFS、Kafka及Elasticserach等工具，而DC/OS也降低每個服務實例的大小，藉此提升服務實例的密度。另外，這版本中，Mesosphere也開始支援了Kubernetes及Docker Swarm，讓開發者可以將這些大數據服務部署於容器中運行。更多資訊

·Container6大資安迷思

對比Container，不少企業仍抱持傳統VM技術更為安全的想法。過去任職排名財星500大的化學廠商Albemarle資安長，現在為容器資安廠商Twistlock技術長John Morello表示，他不時聽到有關容器技術安全議題的錯誤認知，「它們像都市傳說般存在，不停地被覆誦。」

第一迷思：容器也能越獄（Jailbreaks）。他認為，越獄聽起來很嚇人，但是現實中卻很少發生，「多數攻擊是鎖定攻擊應用程式，若已入侵應用程式，何必還需越獄呢？」John Morello表示，對企業真正重要的問題在於，了解駭客發起攻擊的時間點，以及系統是否已遭攻擊。

第二迷思：Container得解決多租戶問題，才可以用於正式環境。他解釋：「沒有一家企業真的需要因此而困擾。」只要將應用程式拆分為多個微服務，並且部署在VM中即可解決。

第三迷思：靠應用程式防火牆，就可以保護容器應用。他表示，因為容器應用經常在幾秒內就會切換所在主機，甚至連資料流量（payload）都採加密傳輸的狀況下，「應用程式防火牆可說是無用武之地。」容器安全性高度仰賴開發者的資安意識，得開發出夠安全的微服務架構才行。

第四迷思：端點防護可以保護微服務。John Morello表示，端點雖然很適合保護筆記型電腦、PC以及行動裝置，「但是端點防護並不是為保護微服務而生」，它也無法介入Docker runtime以及容器調度的運作。

第五迷思：在Dockerfiles的FROM指令加上latest參數就能取得最新版本。他解釋，容器漏洞管理並不如表面上簡單，「原始映像檔不一定永遠都會隨著專案更新」，取得最新版映像檔Base Layer，並不代表會將映像檔中每一層都同步更新。

第六迷思：無法分析容器中的惡意行為。John Morello表示，容器行為可以監控。有幾個方法如，容器manifest檔詳細描述了容器的行為，可以用來轉換出資安特徵檔。再者，容器組成會有一定的合理性，例如開發者常會把幾個知名應用系統組成一包容器微服務來執行，容器部署比VM部署更可有基本規則可參考。另外，容器只有在更新程式時才改變，一旦發現Container運作行為變了，「不是組態設定改變，就是遭受攻擊。」更多資訊

·Intel自家容器技術Clear Containers釋出2.1.1新版，支援Docker Swarm及Kubernetes

在2015年Intel為了卡位輕量級作業系統，也推出自家的容器技術Clear Containers，在近日，Intel宣布推出Clear Containers 2.1.1版，同時支援目前市面上的主流容器調度工具，如Kubernetes、Docker Swarm。主要有3個特色：一、加強容器網路功能，支援更複雜的網路組態設定。二、將容器工作流程隔離於命名空間，加強隔離性及安全性。第三是加強了工作流程監控功能。更多資訊

更多產品動態

·Docker將Containerd專案捐給雲端原生計算基金會更多資訊

·AWS版Docker登上AWS市集更多資訊

·資料中心作業DC/OS推出1.9版，加強支援容器技術及大數據服務更多資訊

·Apache Mesos 1.2.0版釋出，強化Mesos容器化功能更多資訊

·紅帽更新Fedora Atomic，加強軟體打包功能更多資訊

·Google App Engine開始支援ASP.NE核心更多資訊

·Google GCP支援PHP 7.1版更多資訊

·紅帽OpenShif支援企業靠New Relic監控應用程式運作更多資訊

·開發板UP board支援Docker容器更多資訊

Container資源

※官方：MapR如何讓大數據Docker Container變得更輕量