Container周报第102期：Docker出现中级危险新漏洞，也大秀19.03预览版可免Root权限执行

5/23~5/29一定要看的Container新闻

#Docker #免Root权限
Docker释出19.03预览版，最大特色是免Root权限也能执行containerD了

Docker最近发布了19.03版的预览版本，可以让开发者抢先试用。新版有4大特色，包括新增了快速情境切换机制（Fast Context Switching），可快速切换不同的丛集配置档，来部署新的Docker环境。第二特色是免Root执行功能，Docker可以在非root使用者账号下执行，如此可以执行一些不需要root权限的应用，降低系统安全的风险。第三特色则是sysctl工具开始支援Swarm服务，另外也增加对Windows周边装置的支援。

#容器安全 #Docker
Docker揭露最新容器漏洞，攻击者能透过容器将恶意程式植入Linux主机

容器安全是现在最热门的资安议题之一，Docker公司最近又揭露了一个容器上的TOCTOU（time of check to time of use）弱点的新漏洞CVE-2018-15664，攻击者可将任意程式码植入系统。攻击者能透过Docker copy指令，来修改容器中的Symbolic links，用内藏恶意程式的伪装档案，覆盖掉原本在Linux主机上的档案，甚至可以写入需要root权限的目录下，进而入侵系统。Docker容器变成了攻击者的入侵跳板。这个漏洞影响所有的Docker版本，在CVSS 3.0版的风险评分是5.8，属于中度风险的漏洞。

#K8s托管 #K8s应用市集
云端服务DigitalOcean正式推出K8s托管服务，未来还要推1键部署的K8s市集

公有云业者DigitalOcean最近在CNCF大会第一天宣布，去年发表的Kuernetes托管服务终于正式上线了。目前提供三种Kubernetes丛集，标准版、通用目的版和CPU优化版，最后一种则是结合了CPU、内存和SSD硬盘来提供优化配置。另外，DigitalOcean也宣布，近期还将推出K8s应用市集，利用Helm封装格式，来提供1键部署的能力。

#持续整合派送 #CircleCI
CircleCI的K8s持续派送平台终于可以支援Helm，也扩大支援四大容器平台EKS、GKE、AKS和红帽OpenShift

DevOps工具商CircleCI最近大举增加可支援的平台和云端供应商，其中，最重要的是终于可以支援Kubernetes的Helm，可以自动部署Kubernetes丛集。另外这次改版也可以串接AWS的EKS、Google的GKE、微软的KS和红帽的OpenShiff，等于涵盖了主流四大容器平台或服务。另外也可以和VMware的Code Stream整合来派送程式码，也可用来串接PKS这款可部署于企业内部的K8s平台。其他新增的支援还包括了跨多种环境部署K8s丛集的Kublr工具，以及Nirmata的Kubernetes API。

#KaaS #BYOD
Mirantis云端KaaS服务也有BYOD功能，企业自带任何K8s版本也可技术支援

近年从OpenStack转攻容器基础架构软件的Mirantis，最近在CNCF上发表了自家KaaS软件企业版的新功能BYOD（Bring Your Own Distro），企业可以改用自己想要的Kuernetes发布版本，而特别之处是Mirantis将会对这些企业自带的K8s提供技术支援。企业原本就可以自行安装开源平台软件，但厂商多半不支援这些自行安装的版本。目前这个BYOD技术支援包括了Container排程工具、Container Runtime、Key-Value数据库、Proxy和负载平衡工具、Container SDN等类型的开源软件。

#DevOps #Terraform
基础架构即程式码工具Terraform大改语法，释出最新0.12版本

HashiCorp发布了最新的基础架构即程式码工具Terraform 0.12，这个版本对语言进行了大幅度的修改，官方希望增加配置的可读性，并提高可重用模组的可用性，增加的功能包含新的表示式语法、通用类型系统（Generalized Type System）以及迭代建构（Iteration Constructs）等，Terraform 0.12新加入的通用类型系统，能让模组之间传递物件更加方便。新版也允许表达式在任何情况下直接使用，不需要再使用字串内插补点语法。官方提醒，这个版本进行诸多修改，与先前版本不相容。另外，PaaS、SaaS以及AWS、GCP、Azure等IaaS供应商，尚未提供相容于Terraform 0.12的服务。

#K8s #Operators
GCP市集发布多个Operators简化K8s应用程序管理工作

Google在GCP市集发布了一系列新的Kubernetes Operators，提供特定应用程序的最佳实践封装以及端到端的解决方案，新的Operators包括Java Operator，可以用来配置Kubernetes丛集上的JVM应用程序，而Airflow Operator，则可以简化Apache Airflow的安装和管理工作。Kubernetes Operators是一个可以用来封装、部署和管理Kubernetes应用程序的方法，就像是管理这些应用程序Runtime一样。Google提到，Operators得以使用应用程序CRD（Custom Resources Definition）以及客制化控制器，应用Kubernetes的可扩展性，进一步扩展了Kubernetes API的功能，让用户能以Operators自动化更多的工作，支援各种工作负载以及生命周期管理等。Google也提供了Spark Operator以及Airflow Operator，无论是要大规模处理串流资料，还是要对复杂的工作流程，进行程式化排程管理，这两个Operator可以简化应用程序安装与管理。

#CNCF #Telemetry
遥测资料解决方案OpenTelemetry现成为CNCF沙盒专案

遥测资料解决方案OpenCensus和OpenTracing两专案决定合并成为OpenTelemetry，并纳入CNCF（Cloud Native Computing Foundation）中成为沙盒专案之一。OpenTelemetry成立的目的，是要为原生云端应用程序，提供强健可移植的遥测功能，作为OpenCensus和OpenTracing两专案的替代方案。CNCF提到，最慢在2019年底前，OpenCensus和OpenTracing两专案会进入只读模式不再更新，使得OpenTelemetry成为唯一选择，提供简化与标准化的遥测开发解决方案。

 

责任编辑／王宏仁

更多Container动态

• CNCF宣布K8s管理者认证CKS现在可以认证三年了
• Visual Studio 2019 16.1正式版释出，启动与建置速度大跃进

＠资料来源：iThome整理，2019年5月