Container双周报第55期：Kubernetes成了CNCF第一个毕业专案即将发布1.10新版本

力推各种云端原生技术的CNCF基金会，将旗下专案按成熟度区分成三个阶段，现在终于出现了第一个毕业的专业，也就是当红的容器调度平台Kubernetes。

根据CNCF网站上资料，企业或社群可将专案捐给CNCF基金会来育成，基金会也成立了一个委员会（TOC）每12个月定期衡量旗下开源专案的发展成熟度。专案程式码得採用ASL 2.0授权或类似授权释出，并将相关商标转移给CNCF。CNCF才会接手育成这专案（第一阶段：接受期）。目前多数捐给CNCF基金会的专案，多处于孵化期（第二阶段：育成期），由基金会来协助推动这些专案的发展，但若开源专案相关的社群机制和发展机制够成熟，CNCF就会放手让专案自主发展，也就成了毕业专案（最后阶段：毕业专案）。

毕业条件主要有，核心维护者至少要来自两个不同的组织或企业，避免一家独大，其次是要建立一个核心基础架构的维护团队，并符合CNC的社群行为规範。另外也要有清楚的程式码贡献办法和审查机制。程式码也必须至少有一个公开储存版本。
CNCF委员会认为，Kubernetes已经符合了这些条件，足以成为自行发展的成熟专案，因此，将其列入CNCF第一个毕业专案。

去年快速释出四次改版的Kubernetes，也即将在3月21日释出今年的第一个的新版本Kubernetes 1.10版。1.10版将会支援更多线上正式环境需要的容器丛集管理机制，尤其是资安相关的功能。

例如，1.10版最大特色是Kubelet TLS Bootstrap功能终于支援正式环境，可以让在一个新的Kubelet中，自动建立资安凭证，而不用像过去得手动设定，来减少凭证设定的繁琐工作。

其次，Pod资安政策现在也可以套用到这个Pod自己所属的API群组，目前还处于Beta版本，这个功能可以用来避免私有Pod能轻易取得未授权的行为，例如可以限制只有特定命名空间中的Pod才能写入档案或读取机敏区域。另外一个实用的新功能是，现在可以管控节点对API的呼叫次数，目前是Beta测试阶段。如此避免某些节点上的服务，出现爆量请求时，不会连带塞爆了共用的API，进而影响了这些API对其他节点的服务能力。

在网路功能上（Beta阶段），现在可以控制单一Pod的DNS，而不用侷限于整个丛集的DNS设定。1.9版就释出的API Aggregation功能，在1.0也进入了稳定期，透过这个机制，开发者可以更容易打造第三方API来串接Kubernetes丛集，以便扩充现有Kubernetes的功能。

储存机制也有不少改进，现在可以在丛集本地端提供持久储存空间PersistentVolumes，而不用像过去得建立网路储存空间。这个功能目前也是Beta测试阶段。

微软计画经理Craig Wilhite最近透露，使用者希望提升Hyper-V上Linux虚拟机器体验，以与Windows虚拟机器感受相当，因此微软决定为此投注资源，更紧密的整合Linux。微软找上了在Linux上实作远端桌面协定（Remote Desktop Protocol，RDP）的开源软体公司XRDP，并且与Canonical合作，为即将到来的Ubuntu 18.04提供增强的虚拟机器功能。

Craig Wilhite强调，使用者未来只须要点击3个按钮，就能执行一个Linux虚拟机器。强化后Linux虚拟机器，提供更顺畅的滑鼠使用体验、整合剪贴簿、调整视窗大小和驱动重定向，这些虽然不是很大的功能改进，却是很实际改善使用者体验的功能。
强化Linux虚拟机器使用者体验的功能，其达成的作法与在Windows增强的工作阶段模式（Enhanced Session Mode）相同，是仰赖XRDP在Linux实作的RDP协定与Hyper-V接口相连，主机与客户端以类似TCP的方式沟通，只不过是透过称为VMBus的优化传输层，并且经过修改让XRDP也可以使用。Canonical预计4月底在Ubuntu18.04版本正式提供。

Chromium开发人员在今年1月揭露了Project Crostini，指称该专案将让Chrome OS能够执行Linux虚拟机器（Linux VM），且已释出开发者版本，接着于2月宣布更新Chrome OS装置政策，透露出在Chrome装置上执行Linux程式的时日应该不远了。
在Chrome OS上，通常是要先安装Crouton工具才能执行Linux，但必须切换到开发者模式，因而牺牲了该平台的安全功能。

专门报导Chrome消息的Chrome Unboxed则公布了Project Crostini的画面，显示该专案等于是Chrome OS上的Linux终端，只要安装了终端程式，Chromebook用户就能执行Linux程式与使用命令列工具。

容器管理平台Mesosphere即将时出DC/OS 1.10版本，计画将全面拥抱同为容器丛集管理平台的竞争对手Kubernetes。

去年9月先释出Beta测试版的1.10版，除了稳定性和安全性的优化之外，Mesosphere共同创办人暨技术长Tobias Knaup最近预告也将全面支援Kubernetes，他解释，但不会取代Mesosphere自家的Marathon，而是会以独立主机服务的形式，在DC/OS中执行Kubernetes。

DC/OS也提供了快速安装和升级Kubernetes的公职，只要单一点击，就可以直接安装，并且预设会採用高可用性配置来建立每一个Kubernetes丛集。Tobias Knaup，我们还是希望能尽量简化维运工作的负担。

知名Hadoop分析工具之一的MapR，最近在Strata Data大会上宣布，要提供进行容器整合机制，推出MapR Data Fabric的Kubernetes支援，可以让MapR的Converged Data Platform大数据分析平台可以提供容器上可用的永久储存空间，也可供用来部署一个Stateful类型的容器应用。

MapR Data Fabric现在可以原生整合到Kubernetes的储存空间，来提供永久储存空间，可用来存资料库、档案或串流资料等。

CNCF基金会发表Serverless白皮书，开始聚焦新架构

4大容器管理工具引发论战，Rancher、Nomad、K8s和Mesosphere你用哪一个？

Atos发表红帽OpenShift上的容器服务管理工具，可支援多云部署架构

Tesla容器丛集配置不当遭骇事件引发更多后续效应，社群热切讨论K8S仪表版的设计

Dockercon年度大会议程揭晓，今年专门聚焦用户正式导入经验

Kali Linux登上Windows Store，但还不完全相容于Windows Defender

Netflix分享自家容器导入经验，不靠K8s而是自建Titus容器丛集管理平台