Docker Swarm or Kubernetes ? Docker 集羣技術的楚漢爭霸!｜航海日誌 Vol.18

DaoCloud 夏巖&楊雪穎編譯  道客船長

➤ Kubernetes 1.7 正式發佈：強化安全性，添加有狀態應用程序更新和擴展性

6 月 29 日，Kubernetes 1.7 正式發佈, 這是一個具備里程碑意義的版本, 它增長了安全性、存儲和擴展性功能, 這樣能在最苛刻的企業環境中普遍使用 Kubernetes。

新版本中的安全加強包括加密機密、用於 pod-to-pod 通訊的網絡策略、節點受權以限制 kubelet 訪問和客戶端/服務器 tls 證書輪換。

對於那些在 Kubernetes 上運行擴展數據庫的人來講, 新版本有一個主要功能, 即將自動更新添加到 StatefulSets, 並加強 DaemonSets 的更新。且 alpha 支持本地存儲和快速擴展 StatefulSets 的突發模式。

此外, 對於高級用戶, 新版本中的 API 集成容許用戶提供的 apiservers 在運行時與 Kubernetes API 的其他部分一塊兒進行服務。其餘亮點還有：對可擴展的許可控制器、可插入的雲提供程序和容器運行時接口的支持。

➤ Docker 17.06 Swarm Mode：如今內置的 MacVLAN 和節點本地網絡支持

​

Docker 17.06.0-ce-RC5 近日可用於測試。它在這個新的即將推出的版本中帶來了許多新功能。

我最喜歡的包括對 Windows 上的 Secrets 支持，容許在容器內指定一個祕密位置，將 docker system df 命令中的 -format 選項添加到 docker stack deploy 中，添加了對部署首選項的支持，爲 GCP 日誌記錄驅動程序添加了監視的資源類型元數據，可是其中一個值得注意的和期待已久的功能包括使用諸如 macvlan，ipvlan，bridge 和 host 等節點本地網絡支持羣模式服務。

在新的 17.06 新版本下，Docker 爲 Swarm 的本地範圍網絡提供支持。這包括任何本地範圍網絡驅動程序。一些示例是橋接器，主機和 macvlan，儘管任何本地範圍網絡驅動程序，內置或插件均可以與 Swarm 一塊兒工做。之前只支持覆蓋範圍網絡，例如 overlay。對於全部 Docker 網絡愛好者來講，這是一個好消息。

➤ 六個提示，減小 Docker 鏡像大小

Tip 1  — 使用較小的基礎鏡像

Tip 2 — 不要安裝 Debug 工具好比 vim/curl

Tip 3  — 儘量的減小層數

使用

FROM debian RUN apt-get install -y <packageA> <packageB>

替換

FROM debian RUN apt-get install -y <packageA> RUN apt-get install -y <packageB>

Tip 4

使用 - no-install-recommends on apt-get install 添加 - no-install-recommendsto apt-get install -y 能夠經過避免安裝不是技術上依賴的軟件包，但建議與軟件包一塊兒安裝來大大減小大小。

Tip 5 增長 rm -rf /var/lib/apt/lists/* 在 apt-get installs 的同層

Tip 6

使用 FromLatest.io https://www.fromlatest.io/#/

➤ 選擇 Alpine 做爲基礎鏡像的三大緣由

• 最重要的緣由之一是鏡像大小足夠小
  
• Alpine 更快
  
• Alpine 更加安全：鏡像小得多的另外一個特徵是要被攻擊的可能要小得多。 當您的系統中沒有不少軟件包和庫時，出錯的概率會變小。幾年前，有一個影響甚廣的 Bash 攻擊，讓攻擊者控制你的機器，收到名爲「 ShellShock 」的擾亂。 Alpine 對這種攻擊是免疫的，由於默認狀況下沒有安裝 Bash。
  

➤ Moby Summit 2017年6月回顧

2017 年 6 月 19 日，Moby 社區的 90 名成員彙集在舊金山的 Docker 總部舉行了第二屆 Moby 峯會。 這是社區在宣佈 Moby 項目的兩個月後，討論 Moby 項目進展和將來發展的一個機會。

在 Solomon Hykes 的介紹下開始了此次活動，咱們從新設計了網站：Moby 項目網站如今有一個博客，一個活動日曆，一個項目列表，以及一個包含各類社區資源連接的社區頁面。

而後，每一個團隊更新了他們的進度：Linuxkit，containerd，InfraKit，SwarmKit 和 LibNetwork，以及三個新的 Moby 特別興趣組，Linuxkit 安全性，安全掃描和公證和協調安全。會議記錄視頻可在鏈接中查看。

參考連接

• http://blog.kubernetes.io/2017/06/kubernetes-1.7-security-hardening-stateful-application-extensibility-updates.html
  

• http://collabnix.com/docker-17-06-swarm-mode-now-with-macvlan-support

• https://hackernoon.com/tips-to-reduce-docker-image-sizes-876095da3b34

• https://diveintodocker.com/blog/the-3-biggest-wins-when-using-alpine-as-a-base-docker-image

• https://blog.docker.com/2017/06/moby-summit-june-2017-recap

做者介紹

夏巖：DaoCloud 技術顧問，僞の全棧工程師 && 語言愛好者。

楊雪穎 Misha：DaoCloud 技術顧問，能文能擼碼の通用型選手，兼 Labs 吉祥物。