今年第一個(gè)Kubernetes 1.10新版出爐,內建開(kāi)發(fā)者會(huì )愛(ài)的容器除錯機制
火熱的容器管理平臺Kubernetes釋出了今年第一次改版Kubernetes 1.10。第一個(gè)特色是,要作為Kubernetes標準儲存介面的CSI(Container Storage Interface)的Volume外掛程式,也從Kubernetes獨立出來(lái),以便第三方儲存廠(chǎng)商運用或整合到第三方儲存產(chǎn)品中。本地端儲存功能也進(jìn)入Beta版本。
其次,則是開(kāi)始支援外部憑證來(lái)源(Alpha版),也意味著(zhù)可以整合到云端供應商的IAM服務(wù)或是和自建的憑證系統整合,如AD。這也是將Kubernetes叢集納入企業(yè)整體安全管理的關(guān)鍵機制。第三個(gè)重點(diǎn)功能是在安裝時(shí)就切換啟用CoreDNS,可以成為Kubernetes的服務(wù)Discovery功能。目前是Beta版。
另外,TLS bootstrap功能也進(jìn)入穩定版,這個(gè)功能可以讓K8s叢集中的Kubelet自動(dòng)建立TLS安全憑證,來(lái)強化容器存取的安全性,進(jìn)入穩定版後,就可以在更關(guān)鍵的環(huán)境或正式環(huán)境中使用了。
開(kāi)發(fā)人員會(huì )愛(ài)的新功能則是容器除錯機制,除錯是開(kāi)發(fā)容器化應用時(shí)的麻煩事,過(guò)去得自行建立容器來(lái)安裝容器除錯工具,現在直接在Kubernetes中內建,可以提供相關(guān)的除錯Shell工具,debug也將成為新的指令之一。不過(guò),目前仍是Alpha版,要等到下一個(gè)1.11版,除錯機制才會(huì )進(jìn)入穩定版本。
其他小更新如強化了對Windows容器的支援,也實(shí)驗性地能支援Hyper-V環(huán)境部署。現在也可以建立Pod的安全政策,更細致地管理Pod和容器的存取。
CNCF揭露中國容器市場(chǎng)大調查
近日,CNCF基金會(huì )公布了一份中國容器市場(chǎng)發(fā)展的最新調查結果。目前,有6%的回答者,部署了超過(guò)5千個(gè)容器,6成用戶(hù)部署了50~250個(gè)容器。中國容器用戶(hù)大多用於開(kāi)發(fā),只有32%作答者已經(jīng)在正式環(huán)境使用容器技術(shù)。
而不意外地,Kubernetes是中國開(kāi)發(fā)者管理容器的第一選,有35%作答者采用,但使用微軟Azure Container Service來(lái)管理容器叢集的比例也高達19%,排名第二。Docker Swarm用戶(hù)也有16%。在容器導入困難上,中國用戶(hù)認為,使用和部署上的復雜度是最大挑戰,不同於,歐美用戶(hù)則將安全視為部署容器的最大難題。
另外,這次調查也盤(pán)點(diǎn)了中國云端供應商的普及程度,中國云端平臺市占仍以阿里云排名第一(55%),AWS以30%占比排名第二,而以28%些微落後而排名第三的反而是OpenStack類(lèi)云端服務(wù),微軟Azure只有12%,而Google云端平臺也只有6%的占比。
CNCF開(kāi)源釋出跨云CI平臺,要讓Kubernetes更容易支援混合云
CNCF基金會(huì )在開(kāi)放網(wǎng)路大會(huì )上,揭露了一個(gè)強化Kubernetes的跨云CI(持續整合)平臺。CNCF人員還展示了,如何利用這CI平臺,來(lái)自動(dòng)分散一套部署在Kubernetes上的ONAP系統,來(lái)擴大ONAP這套開(kāi)源網(wǎng)路服務(wù)的負載能力。
CNCF執行總監Dan Kohn強調,這套免費的跨云CI平臺,可以用來(lái)加速Kubernetes叢集在混合云架構的運用。長(cháng)期目標上,他指出,CNCF希望能將任何網(wǎng)路服務(wù)都部署到Kubernetes上,因此需要先發(fā)展出這類(lèi)跨云部署機制。
這個(gè)跨云CI平臺還提供了一個(gè)儀表板功能、測試系統、狀態(tài)Repository伺服器。Gitab是這套跨云CI平臺的主要貢獻者,而HashiCorp也支援了配置管理工具的開(kāi)發(fā)。目前采Apache 2.0授權釋出。
常見(jiàn)強化Kubernetes安全的8種作法
TechBeacon科技作者近日整理了8種常見(jiàn)的Kubernetes安全強化作法。例如第一項就是來(lái)自Google Cloud產(chǎn)品經(jīng)理Maya Kaczorowski的建議:完全關(guān)閉Kubernetes的網(wǎng)頁(yè)使用者介面。理由是,這個(gè)網(wǎng)頁(yè)管理介面使用了一個(gè)擁有高度特權的帳號,像是在Google的Kubernetes Engine服務(wù)中,早從1.7版就關(guān)閉了這項功能,來(lái)降低風(fēng)險。
其他7項安全強化作法,如鎖住管理服務(wù)、確保憑證所在處的封閉性、使用可信任的內容(如可信任的映像檔來(lái)源)、更新後重新建立映像檔、永遠不要用root權限執行容器、善用Linux容器專(zhuān)屬安全機制、加密Kubernetes etcd等。
云端DevOps平臺Cloudbees也能支援OpenShift,提供進(jìn)階CI/CD服務(wù)
企業(yè)級DevOps服務(wù)平臺Cloudbees最近宣布,自家企業(yè)版Jenkins將可支援Red Hat OpenShift容器管理平臺,另外也可透過(guò)Jenkins X計畫(huà)來(lái)支援Kubernetes,以減少需部署的VM數量。
Cloudbees執行長(cháng)Sascha Labourey估計,Cloudbees版Jenkins支援OpenShift後,可以協(xié)助企業(yè)串連DevOps流程,尤其是持續派送流程(Continuous Delivery)可以橫跨內部私有云和公有云間來(lái)串接。Cloudbees企業(yè)訂閱服務(wù),可提供7天X24小時(shí)的企業(yè)級Jenkins專(zhuān)家支援。
GitLab的持續整合與交付工具將支援GitHub
企業(yè)程式碼代管服務(wù)GitLab近日改版,當中最重要的一項改變是讓持續整合(Continuous Integration,CI)與持續交付(Continuous Delivery,CD)也支援諸如GitHub或BitBucket等外部程式碼儲存庫,且可免費使用到明年3月。
持續整合指的是將專(zhuān)案的變更同步到專(zhuān)案的主干上,持續交付則是將程式碼轉為可用軟體的過(guò)程,這些原本就是GitLab的強項,而GitHub則是采用第三方的服務(wù)。
此一宣布意味著(zhù)GitLab用戶(hù)可在該站建立一個(gè)連結到GitHub程式碼儲存庫的CI/CD專(zhuān)案,當把程式碼發(fā)布到GitHub時(shí),GitLab即會(huì )自動(dòng)執行CI/CD,并將結果傳回GitHub。
開(kāi)源授權管理新幫手,GitHub釋出開(kāi)源套件相依檢查工具Licensed
GitHub開(kāi)源自家用來(lái)檢查套件相依的工具Licensed,以幫助開(kāi)源社群能用同樣的方式,簡(jiǎn)化授權程序。
Licensed能用在任何的Git倉儲庫,對多個(gè)專(zhuān)案多語(yǔ)言類(lèi)型和套件管理器,查詢(xún)、快取以及檢查相依關(guān)系的授權許可元資料(Metadata)。
不少套件的授權許可要求後續專(zhuān)案發(fā)布相依關(guān)系文件,GitHub指出,使用Licensed可以加速這件事,自動(dòng)化建立與發(fā)布授權許可,并且為專(zhuān)案提供詳細的開(kāi)源資源列表。當然,Licensed也能用來(lái)檢查專(zhuān)案與套件的任何相依關(guān)系,并自動(dòng)產(chǎn)生報告,警告使用者應該注意或是違反授權許可的部分。
