Container双周报第32期：Azure容器储存库正式上线最新消息

图片来源:

微软

重点新闻（04月08日-04月21日）

·Azure容器储存库正式上线

在去年11月微软推出Azure容器储存库预览版，让开发者可在Azure环境自建容器储存库，储存私人Docker容器映像档，而近日Azure容器储存库终于迈入了正式版本，其中的一大特色就是它可通吃Windows容器映像档、Linux容器映像档，同时支援微软提供的微服务平台Azure Fabric Service，或是主打行动、网页端应用程序的Azure App Service。

微软也整合Azure容器储存库与Azure容器服务相容的容器调度工具，包含Docker Swarm、Kubernetes以及DC/OS。

Azure容器储存库在正式版中，推出了巢状储存库功能（Nested Repositories），微软表示，企业中不同开发团队根据，开发产品的区隔，各自也使用不同的容器映像档，不过同时也会共用某些映像档，因此才推出此功能，借此满足同组织内相异开发团队的需求。

此外，微软表示，许多企业用户反应，希望提高容器储存库的透明度。因此在此版本中，使用者可以在Azure Portal登入后，就可以浏览容器储存库内映像档的标签以及Manifest等资讯。同时，利用此功能，开发者也可以浏览巢状储存库的内容。

最后Azure容器储存库也加强资安权限控管，使用者在登入容器储存库时，必须要输入两组密码，才能存取容器映像档。更多资讯

·HPE开始用容器技术打包IT维运管理工具

老牌IT厂商HPE发布产品开始采用Docker技术，利用容器工具打包IT维运管理工具（IT Operation Management，ITOM），这也反映出容器技术开始成为企业级产品的发布形式之一，也可说，容器在企业中越来越普及了。HPE表示，企业可以在私有云、公有云环境导入ITOM，加强混合云管理、资料中心自动化，还有IT服务管理自动化。

HPE表示，ITOM总共有4个特色。首先，ITOM可以支援混合云、多云环境的管理工作，而这个新容器版本的ITOM，也相容容器应用程序的部署。再者，ITOM也可以加强资料中心自动化，例如让资源调度、系统更新、系统建置自动化。

再者，ITOM也简化IT服务管理的程序，例如HPE针对容器应用程序，提供了分析导向服务管理（Analytics-driven service management）、组态设定管理。最后，ITOM也可以与企业现有的管理工具整合，让维运团队可以针对容器应用程序、容器基础架构，执行监控或故障排除。更多资讯

·轻量容器操作系统RancherOS正式版推出

在2015年2月问世的近日轻量级操作系统RancherOS，近日终于推出正式版。最初释出时，档案大小仅17MB，到了1.0版时的ISO档则成长至54MB，但仍远小于主流商用OS。

RancherOS此款操作系统的理念，目的就是以运作Docker容器而生，因此也删减了许多不需要的函式库、服务，使得它的大小，比起Nano Sever、CoreOS等容器操作系统都还小。同时，由于组成元件精简，也增强了它的安全性。

新版增加了自动组态设定功能，透过Cloud-init脚本，从不同资料来源搜寻组态设定。另外，RancherOS也开始支援更多种执行环境，包含AWS EC2、Digital Ocean、裸机、GCE、KVM、OpenStack，或是单机虚拟环境Vagrant、VirtualBox等。更多资讯

·趋势揭露Docker容器常见攻击手法

在常见Docker部署流程中，开发者从储存库下载容器映像档供开之用后，更新程式再上传到储存库，接着容器映像档会被发布到容器主机上执行。

但趋势科技研究开发部资深技术经理李劲颐表示，光是这常见的使用流程中，就拥有许多潜在弱点，让不法人士有机可趁。例如，公开的映像档储存库上可能有恶意映像档，如果不慎让这些映像档发布到容器主机上执行，攻击者就可以对容器主机或储存库服务器发动攻击，或是容器间沟通也很容易遭到窃听、拦截，甚至骇客可以直接攻击存在漏洞的容器，借此取得完整系统权限。

他表示，目前公开容器节点总共有两种攻击方式。第一种攻击手法中，首先骇客得要取得开放Docker主机的控制权，建立一个特权容器。进一步，利用这个容器，攻击容器主机或是主机中的容器。

第二种攻击手段则是瞄准存在资安漏洞的容器。李劲颐表示，即使该容器并未开放网络存取权限，骇客仍可以透过容器网络与管理界面连线，借此取得容器主机的权限。因此李劲颐建议，开发者可以利用外部工具，确认组态设定的正确性。

此外公开储存库也是骇客的瞄准目标，攻击者可以上传遭感染的映像档，“一旦它被部署到正式环境，攻击者就可以透过这个容器，攻击容器网络或是容器主机。”为了加强容器储存库的安全性，他建议开发者必须开启TLS认证。更多资讯

·微软并购Kubernetes容器调度工具开发商Deis

随着Kubernetes已成为当今最主流的调度容器工具，今年2月，微软Azure容器服务也开始正式支援Kubernetes，而近日更并购了Kubernetes容器调度工具开发商Deis。

Deis主要开发的则是Kubernetes相关的开源工具，协助开发者建置、管理以Kubernetes为基础的应用程序。微软执行副总裁Scott Guthrie表示，透过并购Deis，让微软企业用户更方便利用微软既有的容器产品，包括Linux容器、Windows Server容器、Hyper-V容器及Azure Container服务。更多资讯

·腾讯将自家微服务工具Tars开源

近日腾讯将自家微服务工具Tars开源，腾讯内部总共有超过100个产品都整合了Tars，更部署在1.6万台服务器上使用，支援的操作系统为Linux。腾讯表示，Tars是一个远端程序呼叫（RPC）开发框架，让开发者可以在C++、Java环境开发微服务架构的分散式应用程序。

腾讯表示，Tars底层架构引进了界面描述语言（Interface Description Language），可以用来统一不同类型需求的网络通讯协定，“让开发者不需要担心网络协定是否能跨平台使用。”

中间层则是封装了开发者常用的函式库、远端程序呼叫、开发框架，减轻开发者的工作负担。更多资讯

Container产品更多动态

·Rancher与Docker合作，在Rancher平台嵌入Docker企业版更多资讯

·红帽CentOS Atomic Host开始支援Kubernetes 1.5.2版更多资讯

·红帽OpenShift开始支援开发工具Jupyter更多资讯

·DC/OS支援容器储存库管理工具Nexus更多资讯

Container资源

※投影片：欧洲核子研究组织怎么用Docker Swarm

※How-To：用Docker建立程序即服务（Function as a Service，FaaS）