➤ Kubernetes 1.7 正式釋出:強化安全性,新增有狀態應用程式更新和擴充套件性
6 月 29 日,Kubernetes 1.7 正式釋出, 這是一個具有里程碑意義的版本, 它增加了安全性、儲存和擴充套件性功能, 這樣能在最苛刻的企業環境中廣泛使用 Kubernetes。
新版本中的安全增強包括加密機密、用於 pod-to-pod 通訊的網路策略、節點授權以限制 kubelet 訪問和客戶端/伺服器 tls 證書輪換。
對於那些在 Kubernetes 上執行擴充套件資料庫的人來說, 新版本有一個主要功能, 即將自動更新新增到 StatefulSets, 並增強 DaemonSets 的更新。且 alpha 支援本地儲存和快速擴充套件 StatefulSets 的突發模式。
此外, 對於高階使用者, 新版本中的 API 整合允許使用者提供的 apiservers 在執行時與 Kubernetes API 的其餘部分一起進行服務。其他亮點還有:對可擴充套件的許可控制器、可插入的雲提供程式和容器執行時介面的支援。
➤ Docker 17.06 Swarm Mode:現在內建的 MacVLAN 和節點本地網路支持
Docker 17.06.0-ce-RC5 近日可用於測試。它在這個新的即將推出的版本中帶來了許多新功能。
我最喜歡的包括對 Windows 上的 Secrets 支援,允許在容器內指定一個祕密位置,將 docker system df 命令中的 -format 選項新增到 docker stack deploy 中,新增了對部署首選項的支援,為 GCP 日誌記錄驅動程式新增了監視的資源型別後設資料,但是其中一個值得注意的和期待已久的功能包括使用諸如 macvlan,ipvlan,bridge 和 host 等節點本地網路支援群模式服務。
在新的 17.06 新版本下,Docker 為 Swarm 的本地範圍網路提供支援。這包括任何本地範圍網路驅動程式。一些示例是橋接器,主機和 macvlan,儘管任何本地範圍網路驅動程式,內建或外掛都可以與 Swarm 一起工作。以前只支援覆蓋範圍網路,例如 overlay。對於所有 Docker 網路愛好者來說,這是一個好訊息。
➤ 六個提示,減少 Docker 映象大小
Tip 1 — 使用較小的基礎映象
Tip 2 — 不要安裝 Debug 工具比如 vim/curl
Tip 3 — 儘可能的減少層數
使用
FROM debian RUN apt-get install -y <packageA> <packageB>
替換
FROM debian RUN apt-get install -y <packageA> RUN apt-get install -y <packageB>
Tip 4
使用 - no-install-recommends on apt-get install 新增 – no-install-recommendsto apt-get install -y 可以通過避免安裝不是技術上依賴的軟體包,但建議與軟體包一起安裝來大大減少大小。
Tip 5 增加 rm -rf /var/lib/apt/lists/* 在 apt-get installs 的同層
Tip 6
使用 FromLatest.io https://www.fromlatest.io/#/
➤ 選擇 Alpine 作為基礎映象的三大原因
- 最重要的原因之一是映象大小足夠小
- Alpine 更快
- Alpine 更加安全:映象小得多的另一個特徵是要被攻擊的可能要小得多。 當您的系統中沒有很多軟體包和庫時,出錯的機率會變小。幾年前,有一個影響甚廣的 Bash 攻擊,讓攻擊者控制你的機器,收到名為“ ShellShock ”的擾亂。 Alpine 對這種攻擊是免疫的,因為預設情況下沒有安裝 Bash。
➤ Moby Summit 2017年6月回顧
2017 年 6 月 19 日,Moby 社群的 90 名成員聚集在舊金山的 Docker 總部舉行了第二屆 Moby 峰會。 這是社群在宣佈 Moby 專案的兩個月後,討論 Moby 專案進展和未來發展的一個機會。
在 Solomon Hykes 的介紹下開始了這次活動,我們重新設計了網站:Moby 專案網站現在有一個部落格,一個活動日曆,一個專案列表,以及一個包含各種社群資源連結的社群頁面。
然後,每個團隊更新了他們的進度:Linuxkit,containerd,InfraKit,SwarmKit 和 LibNetwork,以及三個新的 Moby 特別興趣組,Linuxkit 安全性,安全掃描和公證和協調安全。會議記錄視訊可在連線中檢視。
參考連結
-
http://blog.kubernetes.io/2017/06/kubernetes-1.7-security-hardening-stateful-application-extensibility-updates.html
-
Docker 17.06 Swarm Mode: Now with built-in MacVLAN & Node-Local Networks support
-
https://hackernoon.com/tips-to-reduce-docker-image-sizes-876095da3b34
-
https://diveintodocker.com/blog/the-3-biggest-wins-when-using-alpine-as-a-base-docker-image
-
作者介紹
夏巖:DaoCloud 技術顧問,偽の全棧工程師 && 語言愛好者。
楊雪穎 Misha:DaoCloud 技術顧問,能文能擼碼の通用型選手,兼 Labs 吉祥物。