Container双周报第33期：Docker推出容器套件LinuxKit及客制化容器专案Moby

重点新闻（04月22日-05月05日）

·Docker推出容器套件LinuxKit及客制化容器专案Moby

Docker释出了两个重要专案，分别是Linux容器套件LinuxKit与客制化容器专案Moby Project，以扩大容器的应用及生态体系。

LinuxKit为一工具套件，可用来打造以容器为基础的Linux子系统，该系统内的所有服务都是由容器组成，不管是系统元件或是应用程序，因此也方便置换及移除。目的是让Linux容器功能能够相容于所有的平台，从物联网装置（IoT）、服务器、裸机环境等。

负责维护Docker引擎的Justin Cormack指出，LinuxKit能创造出一个以容器打造、也替容器设计的便携式操作系统，并兼具安全及精简元件。以容器为基础的LinuxKit容量最小只有35MB，开机时间也很短。Justin Cormack引用了美国国家标准技术研究所（NIST）对容器应用的安全准则—以容器专用的操作系统代替通用操作系统，将能减少来自外部攻击的机会，因此，以LinuxKit设计的Linux操作系统只包含执行该平台的必要元件，所有元件皆是由容器组成，方便移除与置换，还适用于各种不同的环境，包含桌面、服务器、IoT、主机、裸机或虚拟系统等。

至于Moby则是一个创造容器共享生态体系的大型协作专案，以用来满足各种应用对容器的需求，Docker提供了元件库、可客制化容器系统的组装框架，还有一个基于Docker容器平台的参考设计Moby Origin。

Docker创办人暨技术长Solomon Hykes认为，今年容器将成为主流，将散布服务器、资料中心、云端、桌面、IoT与行动等运算装置，或金融、医疗保健、政府、旅游与制造业上，而且在不同的应用上都可看到容器的踪迹。而Moby专案即是专为想要自行打造容器系统的建置商所设计，定位为开放的容器研发实验室，以供各界开发新的元件，共同促进未来的容器技术。参与Moby专案的成员可以取用Docker元件，也可选择第三方元件，以创造客制化的容器系统。更多资讯

·甲骨文也开始拥抱容器技术，核心产品数据库、中介软件跟Java都在Docker Store亮相

在HPE开始用Docker打包自家IT维运管理工具后，甲骨文在DockerCon上也宣布，自家的Oracle数据库、Oracle Linux、Java以及中介软件都登上Docker Store，在此也看见，容器技术真的开始迈向企业正式环境。

“甲骨文也开始迈向Docker化了”，甲骨文产品开发部门副总裁Mark Cavage表示，现在只要经过甲骨文认证核可的Docker应用程序，“我们都视其为第一优先，给予运作在Docker容器中的应用程序支援。”

再者，目前登上Docker Store的甲骨文应用程序，则包含了Oracle数据库、Oracle Linux、Oracle Instant Client、Oracle WebLogic Server、Oracle Java 8以及Oracle Linux，使用者可以用Docker run、Docker Pull等指令下载这些应用程序。Mark Cavage更表示：“只要用于开发、测试目的，甲骨文都会免费提供这些应用程序。”

而甲骨文为何也要开始拥抱Docker呢？Mark Cavage观察，现在无论是企业、政府组织或是新创公司，“开发者都是握有决策权的人”，在开发者大量使用Docker技术的风潮下，Docker逐渐也成为软件部署、建置开发测试环境的标准，“也因此我们决定将让甲骨文变得更Docker化。”更多资讯及更多影片

·Rancher首席执行官看2017 DockerCon：加速企业采用新布局

DockerCon刚落幕不久，Rancher首席执行官梁胜也分享他在今年大会上所观察到的趋势，“企业确实已经在正式环境中导入容器技术了”，他认为，今年DockerCon所发表的新专案，也都将加速企业使用容器的步调。

在大会中，Docker总共发布了两个重要专案。首先是客制化容器套件Moby，让开发者可以利用函式库，参考相关系统蓝图，打造专属自己的容器系统，“Docker这一步，就像促成RHEL跟Fedora两个操作系统分割一样。”梁胜表示。

再者是Linux容器套件LinuxKit，此专案是以Docker引擎的元件Containerd为核心。梁胜表示，利用Linuxkit，开发者可以针对不同的容器技术，开发相异的Linux子系统，“开发者可以利用它，结合客制化Linux及独特规格的硬件。”更多资讯

·容器资安平台Twistlock 2.0正式版释出，弃Node.js改用Go加强效能

容器资安平台Twistlock 2.0在近日释出，原先在1.6版本中，Twistlock就在其中新增了一个重要功能Runtime Radar，让系统能动态产生容器间互动的拓朴图。而Twistlock技术长John Morello表示，2.0版又更加强化此功能。由于容器部署过程中，应用程序存在的寿命短，而IP地址也不固定，“如果在容器环境部署过程中，仍模仿传统工具使用IP进行定位，实在不合理。”他表示，在Twistlock 2.0版中，Runtime Radar以容器应用的角度，“使用服务，或是Pods，而非主机或固定IP等资料，藉以定位每个容器，建立起彼此间互动的模型。”

除了加强核心的Runtime Radar功能外，Twistlock 2.0版也新增了更多功能。像是原本在1.7版中，企业用户可以透过Kubernetes背景程式部署Twistlock Defender保护容器，现在Twislock则扩大支援至OpenShift、Docker Swarm、DC/OS，以及AWS容器服务。

“在新版本中，Twistlock中一个最大的改变是用户所看不见的”，John Morello表示，原本使用Node.js开发的Twistlock，现在后端系统已经全部改为使用Go开发。

John Morello表示，对于小型企业用户，也许感受不Node.js及Go的差异，但是对于使用规模高达数百台容器主机、数千个映像档的企业，“Node.js效能的限制就相当明显了。”Twistlock也比较了Node.js与Go效能的差异，像是在读取资料集的反应时间上，Node.js需要花上650至1,000毫秒（ms），而使用Go只需60至80毫秒就能完成任务。更多资讯

·Docker专案维护者解读Moby专案的影响

今年DockerCon大会发布重点就是释出Moby及LinuxKit这两大专案，而身为Docker专案共同维护者的Rancher旗下Rancher首席架构师Darren Shepherd，也出来说明Moby专案对于容器生态系的影响。

Darren Shepherd表示，一开始Docker公司与专案Docker两者建立密不可分的关系，起初虽对Docker专案的发展是件好事，“但是到了近日，Docker公司也开始很难决定其产品的走向”，也因此，专案核心维护者们讨论后也同意，应该将Docker专案应该与母公司Docker进行切割。而透过Moby专案，将Docker专案变成完全元件化的架构，“这也为Docker专案大多数程式码提供了一个新家，而非Docker产品本身。”更多资讯

Container产品更多动态

·容器平台Kontena释出1.2版，推出实验性容器持久储存功能更多资讯

·容器监控工具Falco 0.6.0版释出，独立Kernel模组加速版本更新更多资讯

·Platform 9与SDN虚拟化厂商OpenContrail合作，加强容器网络安全性更多资讯

·开源操作系统ResinOS 2.0版推出，支援本地端设备建置Docker容器更多资讯

·基础架构资安业者Cavirin推出Docker资安评估工具，扫描映像档、Kernel漏洞更多资讯

·中国网络教学公司沪江将分散式任务调度专案Juice开源更多资讯

Container资源

※教学：在Windows、Linux或Mac环境使用Docker

※How-To：用监控工具Sysdig监控Docker Swarm

※How-To：结合Rancher部署Kubernetes

※How-To：在Azure容器服务上运作Docker Swarm

※How-To：结合轻量级操作系统Clear Container隔离容器