Docker Swarm or Kubernetes ? Docker 集群技术的楚汉争霸!｜航海日志 Vol.18

DaoCloud 夏岩&杨雪颖编译  道客船长

➤ Kubernetes 1.7 正式发布：强化安全性，添加有状态应用程序更新和扩展性

6 月 29 日，Kubernetes 1.7 正式发布, 这是一个具备里程碑意义的版本, 它增长了安全性、存储和扩展性功能, 这样能在最苛刻的企业环境中普遍使用 Kubernetes。

新版本中的安全加强包括加密机密、用于 pod-to-pod 通讯的网络策略、节点受权以限制 kubelet 访问和客户端/服务器 tls 证书轮换。

对于那些在 Kubernetes 上运行扩展数据库的人来讲, 新版本有一个主要功能, 即将自动更新添加到 StatefulSets, 并加强 DaemonSets 的更新。且 alpha 支持本地存储和快速扩展 StatefulSets 的突发模式。

此外, 对于高级用户, 新版本中的 API 集成容许用户提供的 apiservers 在运行时与 Kubernetes API 的其他部分一块儿进行服务。其余亮点还有：对可扩展的许可控制器、可插入的云提供程序和容器运行时接口的支持。

➤ Docker 17.06 Swarm Mode：如今内置的 MacVLAN 和节点本地网络支持

​

Docker 17.06.0-ce-RC5 近日可用于测试。它在这个新的即将推出的版本中带来了许多新功能。

我最喜欢的包括对 Windows 上的 Secrets 支持，容许在容器内指定一个秘密位置，将 docker system df 命令中的 -format 选项添加到 docker stack deploy 中，添加了对部署首选项的支持，为 GCP 日志记录驱动程序添加了监视的资源类型元数据，可是其中一个值得注意的和期待已久的功能包括使用诸如 macvlan，ipvlan，bridge 和 host 等节点本地网络支持群模式服务。

在新的 17.06 新版本下，Docker 为 Swarm 的本地范围网络提供支持。这包括任何本地范围网络驱动程序。一些示例是桥接器，主机和 macvlan，尽管任何本地范围网络驱动程序，内置或插件均可以与 Swarm 一块儿工做。之前只支持覆盖范围网络，例如 overlay。对于全部 Docker 网络爱好者来讲，这是一个好消息。

➤ 六个提示，减小 Docker 镜像大小

Tip 1  — 使用较小的基础镜像

Tip 2 — 不要安装 Debug 工具好比 vim/curl

Tip 3  — 尽量的减小层数

使用

FROM debian RUN apt-get install -y <packageA> <packageB>

替换

FROM debian RUN apt-get install -y <packageA> RUN apt-get install -y <packageB>

Tip 4

使用 - no-install-recommends on apt-get install 添加 - no-install-recommendsto apt-get install -y 能够经过避免安装不是技术上依赖的软件包，但建议与软件包一块儿安装来大大减小大小。

Tip 5 增长 rm -rf /var/lib/apt/lists/* 在 apt-get installs 的同层

Tip 6

使用 FromLatest.io https://www.fromlatest.io/#/

➤ 选择 Alpine 做为基础镜像的三大缘由

• 最重要的缘由之一是镜像大小足够小
  
• Alpine 更快
  
• Alpine 更加安全：镜像小得多的另外一个特征是要被攻击的可能要小得多。 当您的系统中没有不少软件包和库时，出错的概率会变小。几年前，有一个影响甚广的 Bash 攻击，让攻击者控制你的机器，收到名为“ ShellShock ”的扰乱。 Alpine 对这种攻击是免疫的，由于默认状况下没有安装 Bash。
  

➤ Moby Summit 2017年6月回顾

2017 年 6 月 19 日，Moby 社区的 90 名成员汇集在旧金山的 Docker 总部举行了第二届 Moby 峰会。 这是社区在宣布 Moby 项目的两个月后，讨论 Moby 项目进展和将来发展的一个机会。

在 Solomon Hykes 的介绍下开始了此次活动，咱们从新设计了网站：Moby 项目网站如今有一个博客，一个活动日历，一个项目列表，以及一个包含各类社区资源连接的社区页面。

而后，每一个团队更新了他们的进度：Linuxkit，containerd，InfraKit，SwarmKit 和 LibNetwork，以及三个新的 Moby 特别兴趣组，Linuxkit 安全性，安全扫描和公证和协调安全。会议记录视频可在链接中查看。

参考连接

• http://blog.kubernetes.io/2017/06/kubernetes-1.7-security-hardening-stateful-application-extensibility-updates.html
  

• http://collabnix.com/docker-17-06-swarm-mode-now-with-macvlan-support

• https://hackernoon.com/tips-to-reduce-docker-image-sizes-876095da3b34

• https://diveintodocker.com/blog/the-3-biggest-wins-when-using-alpine-as-a-base-docker-image

• https://blog.docker.com/2017/06/moby-summit-june-2017-recap

做者介绍

夏岩：DaoCloud 技术顾问，伪の全栈工程师 && 语言爱好者。

杨雪颖 Misha：DaoCloud 技术顾问，能文能撸码の通用型选手，兼 Labs 吉祥物。