Container周报第79期：Kubernetes也有超融合架构，涵盖原生储存、运算和网络的整合式平台现身最新消息

08/15~08/21精选容器新闻

#Robin #超融合K8s
Kubernetes也有超融合架构，涵盖原生储存、运算和网络的整合式平台现身

容器基础新创Robin System近日宣布，推出第一个超融合架构Kubernetes平台（hyper-converged Kubernetes），可以提供Kubernetes应用所需的运算、储存和网络架构功能，集中到单一平台上提供应用程序生命周期管理平台，尤其还推出了大数据、数据库、AI/ML应用的自助式App商店，让企业可以快速自建这类应用在K8s环境中。Robin官方表示，上述几类应用的自动扩充、转移、快照、升级或系统更新，都能提供一键执行的功能，让企业快速管理和部署。另外也可以一键控管不同应用的网络品质，来确保SLA设定。Robin这套K8s超融合平台也支援混合云架构，支援三大主流公有云，AWS、Azure和GCP，也可部署于企业内部的服务器上，不论虚拟机器或实体主机皆支援。

#Docker #DTR
波士顿顾问分析团队用Docker建立AI/ML分析模型软件派送链

波士顿顾问公司旗下资料科学团队BCG Gamma日前公布了自家如何快速大量派送AI和机器学习模型给顾客的软件供应链作法，目前这套安全持续派送系统已经在6月正式上线运作。BCG Gamma主要业务是协助企业顾客设计和训恋机器学习分析模型或应用，但要如何尽快将经常翻新改版的新版ML模型或应用，交付给顾客，由30名工程师组成了一个GammaX专案，将资料科学家和资料工程师开发出来的ML应用或模型，打包成Docker映像档，再利用Docker Trusted Registry（DTR）搭配Circle CI服务，来建立一个控管Docker映像档的持续派送服务，来控管这些映像档的存取权限，让位于自家企业内网外的服务对象其开发人员，能快速且自动取得最新版的ML模型和应用Docker应用档。

#HPE #混合云
HPE混合云管理平台现在也能管理VMware环境中的容器

近日HPE宣布，自家混合云平台OneSphere开始可以支援部署在VMware私有云环境中的Kubernetes实例。HPE云端工程和产品总监Harsh Singh解释，短期内，VMware仍就是企业在内部部署Kubernetes的常用环境。企业可以直接在现成VMware环境中，启用虚拟机器，透过OneSphere目录界面，或透过API，就能快速部署一个企业级Kubernetes丛集，来做为内部容器服务平台（Container-as-a-Service）之用。除了Kubernetes，OneSphere也支援Docker Swarm和Mesosphere作为替代容器调度平台。除了VMware，OneSphere目前也支援在AWS公有云上的VMware环境中部署Kubernetes丛集。

#Docker #社群不满
桌面版只限软件商店才能下载，Docker新作法引起开发者不满

近日Docker又传出新公关危机，现在该公司不再提供URL连接下载桌面版Docker，开发者必须先登入Docker Store，才能下载。此举引起开发者高度不满，现在该消息在知名论坛Hacker News上也讨论得沸沸扬扬。
开发者反映，下载Mac、Windows版Docker前，必须先登入Docker Store，但过去可直接透过URL连结下载，不需要多这道麻烦的手续，期望Docker公司恢复先前的做法。尽管Docker公司维护者立即回复解释，此举是为了改善使用者体验，但仍旧引起许多开发者的批评，部分开发者表示，即便甲骨文，该公司也提供不用登入就能下载的管道，让使用者可以取得社群版MySQL。

#二进制授权 #Kubernetes
Google释出K8s引擎二进制授权，强制映像档经完整CI/CD才能部署

为了强化Kubernetes引擎的安全性，Google引入了二进制授权，让使用者可以确保只有受信任的工作负载才可以部署到Kubernetes引擎中。二进制授权是一个整合到Kubernetes引擎部署API的安全性功能，提供使用者策略性的控制手段，让只有或完整签章或是授权的映像档在环境中运作。二进制授权使用标准加密PGP签章，而这将允许使用者轻易的整合CI/CD工具链，包括建置、测试与漏洞搜寻等各阶段。另外，二进制授权也支援使用名称模式的白名单映像档，使用者可以透过路径指定特定的程式码储存库，或是一系列允许部署的映像档。

#FIPS 104-2 #Docker
Docker加强支援美国联邦资讯处理标准FIPS 140-2，要让高度监管产业也能用

近日Docker宣布扩大自家产品对美国联邦资讯处理标准FIPS 140-2的支援，除了去年已将加密功能原生整合Docker Engine外，Docker企业版中其他的元件，也都要符合FIPS 140-2标准，包含私有容器数据库、容器中控中心，以及Kubernetes调度系统。此举目的是为了让企业用户或高度监管产业，也能导入容器技术。因为不只军事机构，美国政府机构及政府承包商，也都得符合美国联邦资讯处理标准的规范。今年释出的Docker企业版18.03版，为该公司第一个符合FIPS 140-2标准的产品，已提送给美国国家标准与技术研究院（NIST），进行CMVP加密模组计划的验证。Docker公司预估，四道验证，目前已通过前三关，预计再过几个月，Docker引擎就会通过全部认证。

#容器安全 #Aqua
Aqua推出更多容器安全工具，开源释出K8s渗透测试工具Kube-hunter

容器安全新创Aqua今年陆续强化容器安全产品，推出映像档扫描工具MicroScanner，以及让该工具串接Jenkins流程的机制。最近又开源释出一款容器资安工具Kube-hunter，锁定了Kubernetes容器基础架构环境，可以执行渗透测试任务，加强自家容器环境的安全性。Kube-hunter总共有被动、主动此两种模式。该工具预设为被动模式，可以用来探测企业用户Kubernetes环境内潜在的存取弱点。在主动模式中，Kube-hunter执行的任务范围，包含检查Kubernetes SSL凭证中的电子邮件位址、扫描Kubernetes既有通讯埠是否有开放端点，以及Azure Kubernetes丛集部署是否有按照正确组态设定等。

#容器专案管理、#VS 2017
VS 2017小改版，强化ASP.NET专案的容器管理机制

微软IDE开发工具Visual Studio 2017最近释出15.8正式版。新版除了支援多重插入编辑来提高撰写程式码的方便性，也强化了效能分析工具，新增了.NET物件分配追踪工具（.NET Object Allocation Tracking Tool），能对目标应用程序的每个.NET物件分配进行堆叠追踪收集。另外，新版也加强了ASP.NET单一容器专案的开发管理机制，让开发者用Visual Studio来布建和除错Docker容器应用，可以补强Docker Compose工具的不足。

责任编辑／王宏仁

更多Container动态：