Container周報第114期：更多銀行擁抱容器和微服務，彰銀從分行端末系統擁抱K8s，華南則用微服務改造銀行中臺

10/17~10/24精選容器新聞

#彰化銀行 #核心系統改造
彰化銀行不只展開核心系統大升級，還準備擁抱K8s

最近彰化銀行資訊處處長陳顯龍透露，百年歷史的彰化銀行，最近正在思考銀行架構的大改造，不只要展開銀行核心系統大升級，為了更快速反應市場變化，陳顯龍還計畫，引進最夯的微服務架構、容器技術、商用Kubernetes產品等，來優化現有的系統。他希望改用「服務」來取代過去以業務為導向的功能模組，打造一套可以彈性組合和擴充的新一代分行端末系統。陳顯龍早在多年前就推動過一波彰銀IT集中化架構的改造，可以做到全球全行一日結帳。相比自己過去熟悉的VM、SOA架構，他認為，容器和微服務架構的核心概念其實也很類似，開始導入這些技術時，銀行IT團隊仍然大概可以知道該如何進行。但是，「沒有踩進去，就無法知道前置作業得準備到什麼程度才夠，做過一次就知道。」他坦言：「第一次不見得能做好，就算這次失敗，下次就可以調校得更棒。」所以，趁著核心系統升級之際，他打算先從分行端末系統開始擁抱容器技術和微服務，讓IT團隊練手。

#華南銀行 #微服務 #銀行中臺
華南銀行展開銀行中臺系統大改造，準備擁抱微服務架構

華南銀行近年也全力推動數位轉型，華南銀行營運管理事業群副總經理許柏林指出，數位金融的時代來了，各家銀行也都逐漸走向這種可以因應不同需求的新架構。尤其，「前端需求越來越多元，不同時間點的需求也不同，銀行需要一套更容易調度資源的新架構。」因此，華南銀行在幾個月前，也展開了銀行中臺系統的大改造。目前華南計畫擁抱微服務架構和容器技術，許柏林比喻，過去的應用系統是大型單體應用，要跨大服務容量，得複製全套系統來建立新主機才行，但是改用微服務架構後，可以針對其中一項功能性服務來進行擴充。例如遇到大型活動，需要大量轉帳交易時，就可以直接擴充負責轉帳交易的那一組微服務，來滿足臨時暴增的需求。不過，華南銀行還需要一段時間，才能完成這個中臺架構大改造。

#容器安全 #雙因素驗證
Docker Hub現支援TOTP雙因素驗證

現在Docker Hub開始支援雙因素驗證，官方採用了比SMS更強的基於時間的一次性密碼（Time-Based One-Time Password，TOTP）身分驗證，使用者可以在帳戶設定的安全選項中啟用，而在啟用雙因素驗證後，Docker CLI將要求使用個人存取令牌而非密碼登入。目前雙因素驗證功能仍在Beta測試階段，在不久之後將會正式發布，之後官方計畫增加其他身分驗證控制，包括對WebAuthn的支援，讓用戶可以使用支援WebAuthn的安全金鑰和瀏覽器執行雙因素驗證，之後也會提供強制組織使用雙因素驗證的控制選項，讓組織管理員可以強制要求所有成員使用雙因素驗證，並對無法使用的人提供額外的支援方法。

#微服務 #應用程式開發
微軟開源微服務應用開發套件Dapr專案

微軟近日發表了新的開源專案Dapr，它的全名為分散式應用程式執行環境（Distributed Application Runtime），目的在於協助開發人員更容易建置微服務應用程式。Dapr是由一套建置區塊所組成，可透過標準的HTTP或gRPC APIs來存取，每個區塊都是獨立的，可在應用程式中選用全部或其中幾個，同時微軟也歡迎開源社群貢獻更多的區塊與元件。目前的Dapr專案處於alpha階段，因此僅提供最常用的建置區塊，像是服務調用、狀態管理、服務之間的出版與訂閱通訊、事件驅動的資源綁定、虛擬模型，以及服務之間的分散式追蹤。開發人員已可藉由GitHub存取Dapr程式碼與範例，微軟亦替Dapr建立了專屬網站以供開發人員交流。

#挖礦綁架 #軟體供應鏈風險 #Docker
Docker Hub上映像檔被發現存在挖礦綁架蠕蟲

資安公司Palo Alto Networks威脅情報小組Unit 42發現一種新型的Graboid挖礦綁架蠕蟲，目前已知這個蠕蟲已經感染了超過2,000臺不安全的Docker主機，用於挖掘Monero加密貨幣，研究人員提醒，雖然這個挖礦綁架蠕蟲沒有複雜技術或是程序，但是由於他有能力從C2（Command and Control）伺服器下載新腳本，因此可以簡單地轉換成勒索軟體或是任何惡意軟體，企業應提高保護自家Docker主機的能力。研究團隊分析了蠕蟲使用的主機列表，其中包含2,034臺易受攻擊的主機，57.4％的IP來自中國，而13％位於美國，在Graboid使用的15臺C2伺服器中，主機列表中列了其中的14臺，這表示攻擊者會控制易受感染主機的Docker守護行程，在上面安裝網頁伺服器容器，並將惡意載體放在上面。

#AMP #OpenJS #網站開發
Google決定放手，讓前端框架AMP專案加入OpenJS基金會

Google發起的網頁前端框架AMP專案，最近宣布將申請加入OpenJS基金會的孵育計畫，未來將成為OpenJS管理的計畫，不再由Google維護。Linux基金會旗下的OpenJS基金會是由Node.js基金會與JS基金會合併而成，主要以推動網頁開發技術為主的中立組織。不過，Google自己也是OpenJS基金會的成員，也可以繼續餐與AMP專案的維護，只是不再是主導者。去年底，AMP社群擔心這項專案與Google綁太緊，反而失去了擴大發展的機會，所以，Google決定放手，讓AMP專案改採開放治理模式，交給OpenJS基金會管理。未來將由OpenJS基金會的跨專案委員會負責。另外，AMP加入後，也需符合OpenJS今機會的準則，對所有廠商平等對待，不能有差別待遇。另外，目前AMP的runtime仍放置於Google環境中，未來將透過其他OpenJS基金會的管道來提供，類似jQury CND服務來釋出，不會只有Google一個來源。

#Kubeflow #機器學習
Ubuntu釋出19.10版，更容易用Kubeflow來建立機器學習計算用的K8s叢集了

開發者愛用的作業系統Ubuntu釋出了19.10版，這是一個短期支援的版本，不過，新增了不少開發者期待的功能。其中最受矚目的一項是過去得自行安裝的機器學習部署工具Kubeflow，現在直接成了Ubuntu內建的輕量型K8s套件MicroK8s的外掛之一，這意味著開發者可以快速透過MicroK8s來建立一個機器學習專用的大型K8s叢集，以執行各種Tensorflow任務。另外，這個版本也採用了LZ4壓縮技術，來加快開機速度，並實驗性地提供ZFS檔案格式的支援，這是源自Solaris作業系統的檔案格式，擅長用來建立一個大型邏輯磁碟管理，能整合數十臺實體硬碟的容量。

#服務網格 #OpenShift
紅帽OpenShift小改版，內建服務網格功能正式上線

熱門的商用K8s管理平臺紅帽OpenShift最近推出了4.2新版，強化了與無伺服器技術的整合，主要有四大新功能。第一項是OpenShfit內建服務網格功能正式推出，可以成為K8s維運器之一，來快速部署新的服務網格。其次，OpenShift現在可以在本地端建立執行環境了，開發者可使用紅帽CodeReady容器映像檔，快速在自己的筆電上，建立一個OpenShift環境，進行各種測試或開發，不需像過去得使用雲端OpenShift環境來測試了。第三個新特色是開始支援無伺服器開發框架Knative，這是由Google主導的開放無伺服器運算框架，目前OpenShift可提供預覽版支援。最後一項新特色是支援K8s原生的CI/CD工具Tekton，這是一個可以快速建立CI/CD流程，來串接K8s資源和開發環境的工具。

責任編輯／王宏仁

更多Container相關動態

• SUSE決定退出OpenStack雲市場，改聚焦應用交付產品
• 微軟和Firefox聯手推出網頁開發用的新除錯工具
• Perl 6正式改名為Raku了
• Python則釋出了3.8版

＠資料來源：iThome整理，2019年8月