Container周报第60期：Docker正式支援Java10，红帽OpenShft也推3.9新版最新消息

04/06~04/12重点新闻回顾：

Docker正式支援Java 10

甲骨文刚在3月下旬，释出了提供长期支援的Java 10正式版，并预告未来每隔6个月就会改版一次，预计今年9月会释出Java 11。最近Docker也宣布，正式支援Java 10。

从去年，甲骨文开始将自家产品，如数据库、MySQL、Weblogic服务器等企业级产品放上Docker Store之后，甲骨文就积极与Docker合作，要将自家产品和中介平台，推向容器世界。所以，这次Java 10才推出不到一个月，Docker公司就正式宣布支援，包括Windows和Mac上的Docker都支援。

现在Java 10的JVM可以透过容器主机上的cgroups来控管权限，来管理容器化应用的内存和CPU使用情况。Docker提醒，支援Java 10后，Docker企业版可以自动识别但也会强制限制JVM的内存上限，来确保容器化Java应用的稳定。Docker企业版会在容器配置中自动建立内存上限以及设定CPU使用条件。更多内容

红帽容器管理平台OpenShift正式释出3.9新版

红帽力拱的容器管理平台OpenShift近日发布了3.9正式版，最大特色是可以透过装置外挂工具，来提高容器丛集的Workload处理能力，包括可以使用外部的GPU、网络设备或FPGA芯片等。企业不需要重新修改Kubernetes应用的程式码，只需透过外挂工具的配置设定，就可以使用这些外部设备来提高丛集的负载能力。不过，目前这项功能仍是技术预览版。

另外一个3.9版的新功能是支援本地端储存，同样也是技术预览版。3.9也更新了Ansible部署范本，包括PostgreSQL、MariaDB和MySQL的Ansible Playbook范本都有更新，可协助企业建立跨多个容器应用的数据库架构来保存资料。

红帽也同步发布了自家的容器原生储存3.9版，可以透过Kubernetes红帽Gluster储存系统来提供OpenShift平台的永久储存机制，以供容器化应用存取。更多内容

Docker化应用有多少？5年350万个，2018年Docker使用率出炉

历经5年发展，Docker公司揭露了今年最新的Docker年度数据报告，从2013年3月PyCon大会上，Docker首度亮相之后，至今在Docker上的容器映像档下载次数已经超过了370亿次，容器化的应用有高达350万个，目前在LinkedIn网站上的Docker相关职缺也有15,000个。全球活跃的Docker使用者社群已有200多个，包括台湾也有。全球使用企业版Docker EE的企业顾客目前则约有450家。

而过去一年，Docker功能的进展不多，主要有拥抱Kubernetes，在Docker产品中可以和Swarm并用。其次最重要的新功能是增加了RBAC角色存取控管机制，这也是企业最想要的安全机制。另外Docker也推出了传统应用现在化计划MTA，提供一个企业将老旧应用容器化的建议作法。

Rancher 2.0主要功能完成，K8s引擎RKE登场

即将在4月底正式推出的Rancher 2.0，近日先释出了最主要的新功能RKE（Rancher Kubernetes Engine ）。这是一个轻量级的Kubernetes执行程式，可以让Rancher支援Kubernetes丛集的管理。另外，透过RKE，使用者可以将Rancher主机安装在K8s丛集中，来强化Rancher服务器的HA架构。
RKE另一个特色是，可以让Rancher管理主要公有云上的Kubernetes丛集，包括Google的GKE、微软的AKS和AWS上的EKS，目的是让开发者透过单一界面来管理Kubernetes多云架构，尤其是支援单一身份验证和统一的RBAC管控，可以透过同一套角色和身份控管机制，来管理多云架构上K8s丛集的权限和账号。在界面上，Racher 2.0也将提供一个新的Workload UI，让开发者更容易管理Kubernetes运算工作。更多内容

Debian与Ubuntu相继修补Beep套件的权限扩张漏洞

Debian与Ubuntu两大Linux版本近日相继释出更新，以修补所内建Beep套件的权限扩张漏洞。
Beep套件的功能很简单，就是让操作系统在必要的时候发出哔哔声，且完全透过命令列控制。安全研究人员发现，在设定setuid权限后，Beep套件就会产生竞争条件，进而允许本地权限扩张，可让骇客取得系统的最高权限，探查、开启或窜改系统上的任何档案，从旧版到最新的1.3.4版本都受到波及，该漏洞编号为CVE-2018-0492，亦被称为Holey Beep漏洞。
根据估计，全球有1.86%装置安装了Beep套件，因此可能有超过1300万用户受到此一漏洞的影响。此外，相关的攻击程式不但已于网络上流传，也有人在YouTube上张贴了攻击步骤。更多内容

K8s网络专案Calico释出3.1新版，强化K8s的IPv6支援

用来建立Kubernetes网络架构的Calico专案，最近释出了3.1新版，最大特色是强化了Kubernetes丛集的IPv6支援，现在可以在IPv6模式下使用Kubernetes API datastore，快速将IPv6的网络政策，套用到Kubernetes主机和Kubernetes pod丛集上。另外3.1版也增加一种新的资源类型GlobalNetworkSet，可以用标记（Label）来管理大量，甚至数千个无类别区隔路由（CIDR），以便建立全球性的网络政策。另外3.1版也重新支援OpenStack。更多内容

如何在容器中执行GUI应用？关键是X Server共享目录

容器化应用虽然很多，但多数容器化应用都是只靠CLI命令列就能执行的后端应用，如何在打包一个GUI界面的应用到容器中，仍不是一件容易的事。印度一家大数据公司Admatic首席执行官Saravanan Sundaramoorthy，最近公开了他们的秘诀。
Admatic先将系统主机上的XServer的目录，指派成一个Docker映像档的共享资料夹，让容器内的应用，可以存取到主机上的DISPLAY环境设定，接着再执行容器应用，并同步启用主机网络驱动程式，如此就完成了GUI应用需要的环境配置，可以使用Dockerfile来建立一个GUI应用的映像档了。像Admatic最常做的是将，Android Studio放到容器中来执行，以便用来开发和测试Android App。更多内容

责任编辑／王宏仁