Container周报第101期：大型主机也能执行DockerGKE容器沙箱正式上线

图片来源:

IBM

5/9~5/22非看不可的精选Container新闻#大型主机 #容器
z/OS大型主机也能执行Docker容器，未来还要支援K8s应用

IBM最近宣布推出了大型主机z/OS所用的容器外挂程式IBM z/OS Cloud Broker，可以让使用Docker容器技术的应用，在大型主机z/OS作业系统上执行。IBM的策略是，让大型主机也能部署云端原生应用，支援Docker容器应用是第一步，IBM Z软体副总裁Barry Baker更预告，未来还要让Kubernetes可以在z/OS上执行，也就是Kubernetes for z/OS版本。他透露，这也将是IBM併购红帽后的优先任务之一，将和红帽技术团队联手实现这个计画。另一方面，为了让日后大型主机上部署云端原生应用时，第三方应用可以容易调用或探索这些应用，IBM自家混合云服务调用工具Open Service Broker API也开始支援大型主机。

#GKE #CI/CD
GKE下个将开始提供3种发布版本，激进版将率先支援Windows容器应用

Google在欧洲KubeCon大会上宣布，GKE将会提供更多种发布版本，从下个月开始，将提供激进版（rapid）、标準版（regualr）和稳定版（stable）三种，可供使用者分别测试不同版本的Kubernetes环境。其中标準版是主要的版本，目前支援Kubernetes 1.13，而稳定版则是会纳入一些测试过可用的新功能，而激进版则将支援下一个版本的Kubernetes，也就是1.14版。因为1.14版新增了对Windows容器的支援，因此GKE将从下个月开始，在激进版中可以开始支援。

#VS Code #DevOps
Visual Studio Code正式推出Kubernetes外挂工具

现在可以在Visual Studio Code开发工具上管理Kubernetes丛集了。微软在欧洲KubeCon上正式发布了VS Code的Kubernetes工具1.0正式版。开发者可以在VS Code的浏览工具模式上，直接检视K8s丛集，直接展开检视丛集上的服务、Pod、节点等，也可直接检视K8s丛集上的Helm套件，甚至可以直接从VS Code专案中，直接用Dockerfile在云端Kubernetes丛集上建置和启动容器环境。

#容器安全 #趋势科技
趋势Deep Security推出Kubernetes防护，映像档验证、执行期防护到控管都强化

趋势科技资安产品Deep Security最近宣布，强化了容器和Kubernetes平台防护功能，可以涵盖容器应用从开发、部署到上线部署和执行阶段的全生命周期安全防护。原本趋势科技产品就可提供容器映像档扫描，可支援信赖的登录资料库（Trusted Registry），可提供登录前扫瞄 (pre-registry scanning) 以提早发现漏洞与恶意程式，现在进一步增加了法规遵循与组态设定检查的支援，另外也可以对已经过数位签署的映像设计，开立映像检查证明 （Image Assertion）。新版也强化了Docker和Kubernetes容器在执行期的防护，例如可设定IPS入侵防护规则或监测平台的一致性，另外，还会检查跨容器和平台间的横向与纵向流量，来预防可疑的入侵或破坏行为。最后，还释出了API，可供资安团队用来控管容器执行期的防护工作，或用来设计容器防护作业的自动化脚本程式。

#容器沙箱 #GKE
GKE进阶版开始提更容器沙箱功能

Google近日宣布，自家GKE服务的进阶版，开始支援去年发布的开源gVisor沙箱技术，可以提供沙箱保护的容器（GKE Sandbox），目前是测试版。Google GKE产品经理Yoshi Tamura指出，Google希望透过这样的沙箱容器，吸引更多企业在Kubernetes上部署容器化应用。Kubernetes原本就採取了多层式管理架构设计，从底层的一个Container，到多个容器组成的Pod，以运算节点来看的Node，多节点可组成Cluster，以及涵盖最广的Project层，各自还搭配了不同的资安控管机制，例如Namespace可用来针对Pod和Container进行服务帐号控管。现在，GKE利用gVisor，在Kubernetes服务平台的POD层上，多加了一层资安隔离层，作为Pod上的第二层防御机制，可用来减少容器直接与主机互动的需求，来降低主机遭骇的风险。GKE常见应用是开发者用来提供多租户的SaaS应用服务，同一支应用需组合多的容器来提供前端网站服务和后端资料库，就可以用GKE Sandbox容离，来隔离不同用户所使用的同一支应用程式的不同容器环境，或遇到要执行高风险的程式码时，也可直接在GKE Sandbox容器中执行，避免影响其他容器。

#Azure、#Windows容器
微软AKS开始支援Windows Server容器

今年4月发布的Kubernetes 1.14版本，加入支援Windows节点与容器，微软现在进一步宣布在其Kubernetes服务AKS（Azure Kubernetes Service）提供Windows Server容器，让使用者可以在AKS中部署和管理Windows Server容器，目前这项功能正在预览阶段。
在AKS上支援Windows Server容器代表，使用者能在Linux和Windows上执行应用程式，并使用完全相同的API和工具等支援，管理同一个Kubernetes丛集中的Windows和Linux容器，而这不只让使用者可以在Azure上建立新型态的Windows Server应用程式，也提供了一条将Windows Server应用程式搬迁到Azure上的途径。微软举例，这样的能力让使用者可以将Windows节点池加入现有的虚拟网路中，或是在同一个Kubernetes丛集中，以Linux容器执行反向代理（Reverse Proxy），而在另一个Windows容器中执行IIS应用程式，并且使用相同的监控与部署工作管线。

#Kubernetes管理 #Slack #DevOps
DevOps管理K8s丛集更方便，靠k8sBot在Slack中就能掌握Kubernetes状态

DevOps工具供应商ManagedKube在GCP市集推出了名为k8sBot的应用程式，使用者只要安装对应的Slack小工具，就能从Slack监控云端Kubernetes的状态，透过k8sBot可以方便地让所有团队成员，快速地掌握Kubernetes的执行状态。
k8sBot不只能提供类Kubectl工具能获得的资讯，更重要的是k8sBot在Slack上提供简单的介面，用户只要使用滑鼠就可以取得pod状态、日誌，以及故障排除建议，不需要记忆Kubernetes命令或是pod的名称，ManagedKube提到，k8sBot代理会在使用者的Kubernetes丛集内执行，为使用者收集即时相关资讯，并透过Slack通知使用者。

 

责任编辑／王宏仁

更多Container动态

一千个最受欢迎的Docker容器，2成没设Root密码微软推出新的Visual Studio程式码拉取请求扩充套件又有一家容器新创Replex推出K8s治理工具甲骨文云端架构强化Kubernetes支援

＠资料来源：iThome整理，2019年5月