Container快報第159期：K8s終於完成150萬程式碼大瘦身，Docker十一月大漲價，IBM買Kubecost加強自家FinOps產品線追監控成本

2024/8/1～9/20 精選容器新聞：

#漲價 #11月生效
Docker統一各產品線訂閱方案同時大漲價，最多漲80%，11月中生效

最近Docker公司宣布旗下產品訂閱方案有重大調整，多項產品整合到單一訂閱方案中，也因此調整價格，部分功能還將引入按用量計價的定價模式，企業得更精打細算。包括Docker Desktop、Docker Hub、Docker Build Cloud、Docker Scout及Testcontainers Cloud等工具都將整合到單一訂閱方案中。另外，也新增了多項功能，包括強化軟體供應鏈安全的Docker Scout持續漏洞分析，結合原生ARM和AMD雲端建置工具的Docker Build Cloud，最多加快建置速度達39倍，另外，Testcontainers Cloud也新增自動化測試功能。

Docker Pro年度方案的每月價格從5美元提高到9美元，漲幅80%，Docker Team年度方案則從每位使用者每月9美元，漲價至15美元，漲幅達66.67％，而Docker Business價格維持不變。目前仍有免費Docker個人版，但取消了免費的Team版本。上次漲價是2022年10月，當時Docker Team方案上漲約28.57％，Business方案上漲約14.29％，不到兩年，Docker公司再次大漲價。隨著新價格方案公布，Docker Hub儀表板也新增下載量圖表，讓企業可以了解下載了多少資料量。

#程式碼大瘦身 #DRA #GPU
K8s釋出1.31版，終於完成150萬行程式碼瘦身大工程，新增DRA 動態資源分配能彈性調度GPU支援AI訓練

K8s問世十年，早期許多關鍵程式碼的儲存路徑，分散在五大雲端供應源，包括Google雲、AWS、Azure、OpenStack和vScphere，也內建到許多內建元件中，因此，早在K8s第七版時，K8s專案成員就開始積極的想要將這些涉及特定廠商的路徑從K8s核心程式碼中移除，轉移到外部，來提高核心程式碼對廠商的相依性。

但這是一個涉及150萬行程式碼的超大工程，經過了24個版本（以每年四版來推算，至少花了6年），終於在1.31版（代號，轉移了最後一部分的程式碼，也為此延伸出了四大子系統，雲端控制器管理員、API伺服器網路代理、kubelet憑證供應商外掛、儲存外掛搬遷到CSI。K8s核心程式碼移除了150萬行程式碼之後，二進位檔因此大幅瘦身了40%。從1.31版開始，K8s核心終於成為一個完全廠商中立的平臺，也更容易與各種不同的雲端供應商整合。除了上述四大子系統之外，K8s雲端供應商工作小組實現這個里程碑之後，下一個目標是優化K8s對混合環境的支援，包括跨私雲和公雲的叢集運作，讓異質環境整合更簡化，另外要建立一個可以涵蓋更多雲端供應商的測試框架。

除了大瘦身之外，1.31版有一項重要的新特色是新增了Dynamic Resource Allocaiton（動態資源分配，簡稱DRA）的API，1.31版是第一個支援這項功能的版本。可以透過API來請求和共享跨不同Pod叢集中的容器，而且是一個通用資源的調度工具，可以調度各種常見硬體資源，包括了GPU或是各種網路加速硬體。可以使用DRA來調度GPU資源，甚至快速因應不同工作負載需求來分配所用的硬體GPU支援，有助於因應AI模型訓練，如大型LLM訓練運算需要的算力調度，提供更多也更彈性的工作負載調度安排。

#GenAI開發 #Tanzu
雲原生開發平臺Tanzu推出10新版，內建Spring AI開發框架要搶GenAI開發需求

最近，博通發表了雲原生開發框架Vmware Tanzu的第10版，最大特色是新增了一套AI解決方案，包括GenAI應用開發框架Spring AI的支援，提供Java API來存取多種LLM模型。也推出了一款Java打造的AI中介軟體，可串接上百款開源或商用LLM，也能控管對這些模型的存取。AI中介軟體其中一項特色是提供了虛擬金鑰功能，可以建立一套通用的角色權限控管，按角色、團隊來限定他們所能使用的LLM模型。這套AI解決方案也提供了一項模型與App評估功能，可用來量測和觀察GenAI應用和模型的行為，來評估成效和準確度。

#容器管理VM #OpenStack
紅帽正式推出OpenShift上的OpenStack服務，可直接管理原生OpenStack服務的Pod叢集

以VM工作負載管理為主的OpenStack，這幾年持續往容器管理架構靠攏，除了內建容器管理能之外，紅帽容器管理平臺OpenShift 去年發表了OpenStack服務的叢集管理功能預覽版，在今年8月底正式推出。這項功能可以在容器管理環境中，提供OpenStack工作負載，可供企業以實體機器部署的OpenStack服務，轉移到容器環境中，不用改變原有OpenStak運算節點。轉移到OpenShift後，可以用來提高OpenStack節點的擴充性，也能將OpenShift的可觀察性機制，整合到OpenStack節點中，來強化混合容器和虛擬機器混合架構的透明度。

#容器安全 #服務網格
服務網格專案Linkerd釋2.16新版，新增IPv6支援和零信任稽核模式，可紀錄但不阻擋低風險的存取行為

距離前一版發布才半年，服務網格專案Linkerd很快又釋出2.16新版，這個版本也有不少新功能。包括新增了IPv6的支援，可以支援單用IPv6或混用IPv4/IPv6的K8s叢集。另外，Linkerd的零信任授權政策機制，也新增了稽核模式（Audit mode），來強化對於服務網格間網路流量的控管。Linkerd的SideCar設計，原本就可以採取預設拒絕的微分區控管政策，來建立零信任模式的控管邊界，來強化K8s叢集間的網路安全。新增加的稽核模式，可以對違反零信任政策的行為，採取留下Log紀錄但不禁止的做法，可以讓零信任架構多了一種「低風險行為追蹤」的控管選擇。2.16版也增加了更多路由矩陣監測能力，例如可以紀錄每一趟路由的成功率，嚴懲。  

#OSX映像檔 #Docker
蘋果以違反著作權，要求75萬人用的Docker-OSX映像檔下架

8月底，蘋果以侵犯著作權為由，要求Docker公司下架了Docker Hub賬號下的Docker-OSX儲存庫。這個儲存庫是由代號Sick.Codes的開發人員建立的macOS VM容器，可以讓開發者利用Docker在Windows或Linux平臺上執行macOS，用以測試應用，但不用購買macOS授權，也有安全研究人員用這方法來研究macOS的漏洞。這個儲存庫在GitHub上的專案，超過75萬人下載，獲得4萬多顆星。不過，在8月底，蘋果以違反《數位千禧年版權法案》（Digital Millenium Copyright Act，DMCA）為由要求下移除。Docker出示了代表蘋果的律師事務所的電子郵件，指出蘋果對macOS的安裝器和安裝擁有獨家權利，Docker-OSX的映像檔則是在未經授權下重製蘋果內容，因此而下載。

#容器成本追蹤 #FinOPs
IBM宣布併購K8s成本控管平臺Kubecost，強化FinOps套裝的容器成本管理能力

瞄準企業K8s維運成本控管需求，IBM最近宣布併購了K8s成本即時監控平臺商kubecost，整合到IBM的FinOps套裝產品中，來搭配跨雲成本控管功能，也能用AI自動優化雲端效能。隨著企業越來越依賴K8s，相關維運成本的控管也成了新的挑戰，Kubecost可以提供容器層級的成本管理，可以從叢集外部，及時瞭解K8s叢集的CPU、記憶體、儲存用量、網路用量的運作成本。也可以針對AP或團隊設定預算、使用模式和告警條件，在預算用完前通知開發和維運團隊。併購後，Kubecost可以將IBM的FinOps成本管理延伸到K8s環境中，提供單一Pod叢集，命名空間或是單一工作負載的成本透明度，作為後續優化調整之用。創立於2019年的Kubecost，目前有超過1萬2千家企業與組織採用。核心所用的K8s成本監控機制則以OpenCost專案開源釋出。

圖片來源：Docker,Kubecost,紅帽

更多新聞：

• AWS打造的新一代K8s自動擴充工具Karpenter發布了1.0版，主打超快啟動，可擴充支援多規格
• Red Hat修補OpenShift兩項重大層級的漏洞CVE-2024-45496、CVE-2024-7387，這是可供執行任意命令或提高權限的漏洞。
• Docker Desktop在9月中修補兩項高風險層級的漏洞CVE-2024-8695、CVE-2024-8696，這是可能遭駭客遠端執行任意程式碼的漏洞。

責任編輯：王宏仁