8/1~8/31 精選容器新聞

Docker、漲價
大型企業使用Docker桌面版要開始收費了!小企業和私人用途維持免費

最近Docker公司宣布了新的產品訂閱策略,將產品訂閱分為四級,免費個人、付費專業版(Pro)、付費團隊版(Team)和付費的企業版(Business)原有Docker免費版訂閱改名為Docker個人版,新增的訂閱制度就是企業版訂閱方案,會多提供了強化。新訂閱制度影響最大的產品是Docker桌面版,現在不再全面免費。現在,凡是企業規模人數超過了250人,或是營收超過1千萬美元的大型企業,就得改購買付費授,不過,會增加更多管理、資安和擴充性的功能。只有中小企業、私人使用或教育使用,或是非營利開源專案可以使用免費授權。Docker訂閱制付費版採每人每月計價,以企業版為例是每月每席21美元。

FinOps、K8s
K8s讓雲端維運費用複雜化,新省錢哲學FinOps作法崛起

國外最近也興起了一股雲端省錢術的討論,甚至有個專有名詞FinOps來形容,雲端維運投資的管理術。一方面是企業上雲比重越來越高,再加上多數雲端服務常按用量計價,各種複雜的雲端計費方式讓人眼花撩亂,再加上容器和K8s技術的盛行,讓雲端運算資源使用量的估算面臨新的技術性挑戰。尤其當K8s用量一多,企業多半會使用自動擴充機制,隨時按照用量增減這支Ap所用的Pod節點數量,如何攤提雲端虛擬機器的租用費用,精算出這一支AP所應負擔的費用成本,就是一大挑戰。

FinOps就是一群想要共同鑽研雲端維運財務問題,來降低維運成本的企業,後來也有不少雲端業者加入,所發展出來的一套學問,可說就是一門全新的雲端省錢術。後來還出現了專門推廣FinOps組織,Linux基金會在旗下成立了一個子機構FinOps基金會,來推廣相關的FinOps作法、知識。

去年底,FinOps基金會和CNCF組織更聯手發表了一份K8s雲端財務管理白皮書,介紹各種雲端K8s的維運作法。甚至還發展出了一套雲端省錢術的訓練課程和認證,已培養出超過2千5百位的雲端財務管理師。這個基金會的成員不少是大型科技業者,如Google、VMware、或是國際知名顧問公司如Deloitte、Accenture。在北美,已有近4成企業意識到FinOps的重要性,開始設立FinOps專責團隊,但在亞洲只有7.75%的企業設立這類團隊。不過,隨著後疫新常態,企業越來越倚重各種雲端服務,雲端省錢術勢必在臺灣也將成為一門新顯學。

K8s安全,CISA
美國國安局背書的K8s強化指南

K8s超級熱門,不只大企業,許多美國政府機關也很愛用,如何確保 K8s 環境的安全也成了顯學,最近美國國安局與網路安全暨基礎架構安全署(CISA)發表了一份50頁的報告,《Kubernetes強化指南》,要告訴企業怎麼強化 Kubernetes 的安全。CISA是負責讓美國聯邦政府機構,有能力對抗各種網路攻擊的一專責單位會提供資安工具,IR資安事故應變服務,提供評估機制,讓美國.gov網站評估自身的安全能力過去,美國大選公平性,或像這次COVID-19供應鏈的資安防護,都由這個單位負責。這份報告也可說是美國聯邦政府機構必看的K8s安全強化指南。

報告中指出,Kubernetes最常被攻擊的三大原因分別是竊取資料、竊取運算資源,以及服務阻斷。例如駭客最常覬覦的是Kubernetes環境中的資料,也會在入侵後,企圖利用Kubernetes的底層運算架構,來執行諸如開挖加密貨幣等惡意行為。
為了強化K8s安全,報告提出了5大類強化作法,從POD叢集安全、網路分離和強化建議、授權和驗證機制、Log稽核機制,以及最後一項是應用程式安全和升級。

舉例來說,Pod安全建議重點包括了,要使用非Root帳號來使用容器執行AP、盡可能使用不可改變的檔案系統immutable來執行容器,也要掃描各種弱點和配置錯誤。另外,必須使用Pod資安政策來建立最小使用權限的安全,例如避免超級容器(權限過高或管理權限),還要定期阻擋不必要的容器功能或服務,避免曝光關鍵資訊。特別注意的是,最好是禁止容器改用root帳號或升級到這個等級的權限,並且要用各種安全性更高的應用程式環境。

雖然這份指南看起來大多是基礎的安全強化措施,而沒有太多奇特的建議作法,但是這些也都是關鍵,只要落實這些基礎就能達到一定強度的K8s安全性。

微服務,gRPC
Google更新gRPC無代理服務,讓微服務通訊更安全

Google更新gRPC無代理服務,解決微服務間通訊的安全痛點,開發者透過Traffic Director控制平面,就夠簡單配置gRPC服務,以TLS/mTLS建立服務之間的安全通訊。gRPC在現今的微服務架構中,扮演重要的角色,當大型單體應用程式分解成較小的微服務時,單體應用程式元件之間的程序內呼叫,便需要轉變成微服務之間的網路呼叫,而gRPC讓這件事變簡單。在去年的時候,Google更新gRPC無代理服務,讓用戶可以讓gRPC客戶端能夠處理和實作流量管理和負載平衡策略,並且還正式支援Traffic Director作為控制平面。最新版本的gRPC讓開發者可以配置政策,以加密服務到服務的通訊。Google新提出的解決方案,克服了服務之間的安全性痛點,包括在客戶端和伺服器上管理和安裝證書,或是從可信的CA綁定身份和發布證書,甚至是輪替證書等。

Go語言,編譯器
效能小幅提升5%,Go 1.17再次優化編譯器

Go團隊發布了最新版本1.17,這個版本改進了編譯器,在傳遞函式參數和結果,使用了新的方法,而這項改進使得Go程式的效能得以提高約5%,amd64平臺的二進位檔案大小減少2%,官方提到,未來版本還會支援更多的平臺。另外,Go 1.17還增加對Windows上64位元Arm架構的支援,因此Go程式可以在更多的裝置上原生運作。

這個新版本使用了修整過後的模組圖(Module Graphs),在Go 1.17或是更高的版本,開發者於go.mod檔案中指定模組,則模組圖將會僅包含其他Go 1.17模組的直接相依項目,而非完整的遞移相依(Transitive Dependency)項目,這將有助於避免下載或是讀取go.mod檔案,取用不相關的相依項目,可有效節省日常開發時間。

#微軟作業系統 #Azure
微軟新一代伺服器作業系統Windows Server 2022開始出貨了,先提供大量授權用戶

微軟今年3月公開預覽Windows Server 2022。最近使用者發現Server 2022已經透過大量授權合約(Volume Licensing)的服務中心釋出給用戶。連同Windows 11的ISO檔,微軟也於上周釋出了Server 2022的ISO檔,供用戶下載測試180天。Windows Server 2022提供標準、資料中心及資料中心:Azure版本。Windows Server 2022是以Server 2019為基礎,並強化多層次安全,Azure混合雲管理及應用程式開發平臺。

#K8s #etcd
Kubernetes釋出今年第二次改版,多項新功能進入穩定版

Kubernetes 1.22是今年的第2個更新版本,這個版本有許多新功能進入穩定階段,包括伺服器端應用(Server-side Apply,SSA)、外部憑證提供程式,以及開源分散式儲存etcd升級至3.5.0版本,另外,創建臨時容器的API,也在Kubernetes 1.22有所變化。一大重點在於SSA成為正式版本,SSA讓用戶和控制器可以使用宣告式配置來管理資源,像是創建或修改物件,在經過幾個版本的測試之後,這個功能已經正式釋出。Kubernetes 1.22將原本採用Kubectl應用(Kubectl Apply)的客戶端實作,替換成為伺服器端實作,並允許Kubectl以外的工具和客戶端使用。

責任編輯:王宏仁

更多容器新聞 

  • 針對電信與政府網路、開發應用,4.8新版OpenShift提供更多支援
  • Visual Studio在Windows Store上架

熱門新聞

Advertisement