2024/9/21~10/25 精选容器新闻:
#K8s Summit #第一手K8s实战 #云原生永续
多家金融、高科技和服务业分享第一手K8s实战和踩雷经验,云原生永续议题也在台发酵
iThome主办的K8s Summit,十月底一连两天在台北举行,超过8百人报名,第一天主题演讲由凯基证券亚太区资讯长黄荣林开场,分享凯基证券正在进行的核心转型历程,这项转型计划称为天空计划,要用K8s和微服务架构来重新打造证券核心,取代原本用了40年,以大型专有系统如AS400,使用COBOL、RPG等老旧程式语言开发的证券核心系统。
参与了最新K8s碳排追踪专案Kepler的IBM东京实验室的科学家Marcelo Amaral也在第二天主题演讲中分享最新的云原生永续和K8s能耗追踪技术,例如专案团队正在强化eBPF探测技术的强化,也开始训练VM能源模型,也持续重构和验证专案程式品质。CNCF技术委员会成员Katie Gamanji和推广大使太田航平则分享了K8s未来三大新进展,尤其强调WebAssembly对云原生发展的重要性,可以提供一个独立的环境,不受限于任何开发语言、作业系统和CPU,提供了一个安全、轻便而且可以在任何地方执行的技术。
更有金控、银行、证券、支付、高科技制造业、广告服务业、人力银行、房仲业者分享自家K8s实战经验,从核心架构改造、架构搬迁、云端费用控管、大规模部署、K8s维运和故障排除、安全和金钥控管、灾难复原,甚至如何用来打资料工作流程等。
#WebAssembly #eBPF
CNCF成员来台揭露K8s三大重要发展,包括WebAssembly、eBPF和IT永续新工具
CNCF技术委员会成员Katie Gamanji和推广大使太田航平在K8s Summit研讨会中分享了K8s未来三大新进展。第一项是WebAssembly。为何这项技术对云原生的发展,非常重要?太田航平解释,WebAssembly可以提供一个独立的环境,不受限于任何开发语言、作业系统和CPU。WebAssembly是一个二进位档案,可以用不同的开发语言编译成这种格式的档案,再部署到浏览器或非浏览器的环境中执行。「WebAssembly提供了一个安全、轻便而且可以在任何地方执行的环境。」
第二个重要新发展是eBPF,这项技术于本只是用来过滤网路封包,但现在的应用越来越多元,太田航平指出,eBPF有三大应用场景,资安监控,网路路由和过滤,以及可观察性中的矩阵数据搜集,都各有不少知名的开源专案。这三类应用都是云原生环境运作需要的核心能力。例如像New Relic的Pixie可观察性工具,就是用eBPF技术来取得K8s运作的矩阵数据。
最后一项发展方向是永续性。「如何让技术部门可以观察,纪录和评估他们自己的碳排放,在云原生环境中,需要新的工具来解决这个课题。」Katie Gamanji指出。目前有两项重要工具,Kepler专案可以用来追踪K8s的能耗,另一个是碳察觉KEDA工具,可以依据碳排量数据变化来调度的自动扩充机制。例如可以设计系统使用「碳排密度」指标来调整规模,在配置档中定义不同碳排密度事件的层级,当密度高时,自动降低应用系统的副本数量,来达到减少碳排的效果。
#云原生省钱 #K8s省钱 #SRE
阿物科技SRE分享云端省钱术,揭露20%节费的关键策略
来自嘉义的台湾行销科技业者阿物科技,主力开发团队在南台湾总部,却能服务全台,甚至是日本到全球的上万家企业,就是善用了公云基础架构,来提供各种行销自动化的服务。
不过,如何更有效管理上云的费用却是一大挑战,阿物科技SRE经理谢明宏在几今年K8s Summit上也分享了阿物科技能够节省20%云端费用的关键,就是靠云端节费地图(CLoud Cosy Optimization Map)。
他在这张节费地图中,盘点5种云端成本的来源,像是云算资源、稳路资源、储存资源、软体授权和订阅费用等常见项目,也纳入容易忽略的人为失误的成本。并归纳出6大节费核心策略,从资源成本优化、储存成本优化、网路成本优化到善用价格便宜的Spot VM(现货虚拟机器) ,另外还包括了成本监控和拥抱FinOps/DevOps文化等六项。
谢明宏更分别针对云原生环境与K8s环境,各自如何落实这六项节费核心策略,一一说明更多细节。
例如,K8s可以透过Pod资源请求与限制的设置,以及调整Cluster Autoscaler来优化资源成本,或是进行Ingress流量优化和调整丛集设计,可以优化网路成本。在开发与测试环境或针对非核心服务善用Spot虚拟机器,甚至混用现货虚拟机器和按需提供的虚拟机器,也有利于成本控管。而在云原生环境的节费实作上,例如透过VM规模调整、自动化开关机、CUR/RI购买都能优化资源的成本,进行资料生命周期管理或优化资料库也能改善储存成本等。
谢明宏也分享了阿物科技如何在不同情境中,运用云端节费地图中节费策略的实作案例,像是在电商网站站内搜寻使用Spot虚拟机器的经验,或是导入IaC、GItOps来降低SRE团队维运成本等。
他建议企业要善用架构和工具来降低维运成本,也利用架构设计提高服务可用性,并借助节费地图来降低云端成本,同时考量三者来兼顾高可用性又能节省成本。他更大方公开了云端节费地图的心智图,供大家按图参考,来设计符合自家企业云原生环境和K8s维运的云端节费地图。
#AI训练框架 #微服务
瞄准AI模型训练需求,GKE开始提供Nvidia微服务框架NIM
最近Google云宣布,开是在GKE上提供Nvidia的AI框架NIM,这是一个可以用来训练大型语言模型的微服务框架,以微服务架构的形式,提供了一整套的大型语言训练元件,可以让企业使用现成的元件,就可以自行打造出自己的训练平台,来简化大型语言模型训练的复杂度。像是台大与产学合作打造的Porject TAME繁中LLM模型,就使用了NIM来建立训练基础架构。NIM框架也针对不少现有模型提供了最佳化版本,企业可以在GKE控制台上直接使用NIM微服务来部署模型,例如几个点击就可以部署出LLama 3.1版700亿参数的NIM最佳化版的模型。另外,也更容易用GKE来协调部署搭载Nvidia GPU的GKE丛集来执行NIM版模型。
#容器工具 #Linux容器管理
AWS容器工具Finch终于支援Linux,可跨三大作业系统管理容器
日前,AWS宣布自家容器工具Finch开始支援Linux。这款开源的命令列工具,可以供开发者在多个作业系统中建构并执行Linux容器,提供跨平台一致的体验,现在无论在macOS、Windows还是Linux上,都能使用相同的工具和工作流程,另外,这次改版还加入对Docker API的支援,方便开发者延续现有Docker容器工作流程。
新版最大重点是,可以直接在Linux上建置和执行容器映像档,而不再需要虚拟化技术,可以原生支援的容器技术包括Docker和containerd可直接使用Linux核心功能。新版Finch与Finch Daemon整合,还提供了Docker API的部分功能,让习惯Docker工作流程的开发者,能够使用熟悉的命令和工具来管理容器。
不过,这个做法与Finch在macOS和Windows上的运作方式不同,在这两个作业系统中,则是使用中继元件Lima提供虚拟化技术,透过macOS的QEMU或Virtualization Framework模拟Linux所需要的核心功能,而Windows则使用WSL2(Windows Subsystem for Linux 2)来提供类似的虚拟化支援,让Windows用户也可以执行Linux容器。
#Helm Chart #GitOps
快速扫描Python和Java程式码,StackGen能生成Helm Chart封装档加速部署
最近StackGen(前身是appCD释出了自动生成部署档,来强化对 Argo CD的整合支援,利用静态分析技术,可以自动分析Python和Java程式码的意图,元件相依性,来剖析API介面、服务配置、网路配置或其他必要变数的设置,用AI自动生成Terraform部署程式码,或是Helm Charts封装档。根据StrackGen宣称,可以将软体部署过程从数天,缩短到数分钟。
#基础架构程式码化 #Terraform
基础架构自动化工具大更新,HashiCorp多项工具改版,要简化大规模扩张的复杂度
IaC知名自动化软体工具厂HashiCorp最近一口气更新多项基础设施生命周期管理产品,从Terraform、Packer、Nomad到Waypoint,要来简化大规模基础设施管理流程,尤其新功能聚焦减少使用者手动操作的繁琐,改进使用者在不同基础设施阶段的操作,让建构、部署和持续管理基础设施能够更简洁方便。
例如,HCP Packer提供映像档管理功能,新增的CI/CD工作管线后设资料管理能够追踪每个映像档的生成过程,确保用户使用的映像档皆经过验证且符合规范,这是大型企业管理开源基础架构环境时常见的需求。HCP Packer加入了储存桶层级的RBAC(Role-Based Access Control),进一步加强对映像档的存取控制,确保不同角色的用户只能存取必要的部分。
另外在Terraform基础设施部署工具上,则增加了HCP Terraform Stacks,可将多个Terraform模组整合成单一操作,避免基础设施部署繁琐的手动相依管理。大规模Kubernetes部署时,HCP Terraform Stacks新增的推延变更(Deferred Change)功能,可以让用户应对未知的变化来避免部署中断。
分散式负载调度工具Nomad新增加GPU支援,能够灵活配置高效能运算资源,而应用部署执行管理工具Waypoin新功能则提供自动化应用部署流程,让平台营运团队可以利用标准化模版和附加元件,简化内部开发流程提升基础设施和应用开发之间的协作效率。
#部署容器化应用 #DHH
RoR之父打造的容器化Web应用部署工具Kamal大改版,2.0新版不只支援大量主机部署,也能快速将多套AP部署到一台主机
专案管理平台业者37signals在2023年大举下云,一年可以省下2百万美元上云费用的关键,正是RoR之父打造的一套大规模的容器化Web应用部署工具Kamal,主要利用Docker来部署和管理Web应用。Kamal在2024年初时推出1.3版,不只可以在裸机上部署Web应用,也可以用来部署云端环境中的Web应用,这是一款可以通吃本地端和云端的通用部署工具。
这套让37signals下云的关键工具在10月释出了Kamal 2新版,原本1.0版主要针对跨大量主机搭配外部负载平衡器来部署同一套应用,支援数百万人等大规模的用户。新推出的2.0版则有另一个大升级,可以将多个Web应用,快速部署到单一台伺服器,来提高伺服器的AP密度,并且可以用Let’s Encrypt来实作自动HTTPS,还大幅简化了部署管理最烦人的秘密管理。
Kamal 2.0预设部署在Rails 8.0,但不只可用于Rails应用,也可以部署到任何语言或框架开发的Web应用。DHH强调,不需要用到像Kubernetes如此复杂的工具,用Kamal 2也能快速将容器化应用部署到云端或地端的各种基础架构环境,从便宜VPC,云端虚拟机器丛集到本地端的硬体都可以使用,来降低部署和后续维运的复杂度。
#K8s资安 #映像档工具
小心K8s映像档制作工具发现重大漏洞,恐曝露虚拟机器root权限,官方先释出缓解工具
最近Kubernetes资安回应团队公布了一项映像档建置工具(Image Builder)漏洞CVE-2024-9486、CVE-2024-9594,攻击者有可能借此得到虚拟机器(VM)的root权限,而这些漏洞发生的原因,源于映像档建置过程中,使用了预设的帐密资料。较为严重的是CVE-2024-9486漏洞,CVSS评分达到6.3分,这是当用Proxmox提供者(provider)建置而成的虚拟机器映像,无法停用当中的预设帐号,若用这些映像档建置节点,后续有心人士可透过这些预设帐密进行存取,借此取得root权限,CVSS风险评分达到9.8。
这些漏洞影响0.1.37版以前的Kubernetes Image Builder,开发团队发布0.1.38版缓解上述弱点。Kubernetes资安回应团队呼吁用户,应透过这些已解决上述问题的工具,重建具有潜在风险的映像档。
更多新闻:
Docker新价格方案将于11月中上路,Hub用量限制则于明年2月生效,企业得开始准备
资安业者Group-IB提醒,新兴勒索软体Cicada3301锁定多平台攻击,包括VMware ESXi环境。
责任编辑:王宏仁