Container周报第141期:250人以上大企业注意，Docker桌面版要开始收费了最新消息

8/1~8/31 精选容器新闻

Docker、涨价
大型企业使用Docker桌面版要开始收费了！小企业和私人用途维持免费

最近Docker公司宣布了新的产品订阅策略，将产品订阅分为四级，免费个人、付费专业版（Pro）、付费团队版（Team）和付费的企业版（Business）原有Docker免费版订阅改名为Docker个人版，新增的订阅制度就是企业版订阅方案，会多提供了强化。新订阅制度影响最大的产品是Docker桌面版，现在不再全面免费。现在，凡是企业规模人数超过了250人，或是营收超过1千万美元的大型企业，就得改购买付费授，不过，会增加更多管理、资安和扩充性的功能。只有中小企业、私人使用或教育使用，或是非营利开源专案可以使用免费授权。Docker订阅制付费版采每人每月计价，以企业版为例是每月每席21美元。

FinOps、K8s
K8s让云端维运费用复杂化，新省钱哲学FinOps作法崛起

国外最近也兴起了一股云端省钱术的讨论，甚至有个专有名词FinOps来形容，云端维运投资的管理术。一方面是企业上云比重越来越高，再加上多数云端服务常按用量计价，各种复杂的云端计费方式让人眼花撩乱，再加上容器和K8s技术的盛行，让云端运算资源使用量的估算面临新的技术性挑战。尤其当K8s用量一多，企业多半会使用自动扩充机制，随时按照用量增减这支Ap所用的Pod节点数量，如何摊提云端虚拟机器的租用费用，精算出这一支AP所应负担的费用成本，就是一大挑战。

FinOps就是一群想要共同钻研云端维运财务问题，来降低维运成本的企业，后来也有不少云端业者加入，所发展出来的一套学问，可说就是一门全新的云端省钱术。后来还出现了专门推广FinOps组织，Linux基金会在旗下成立了一个子机构FinOps基金会，来推广相关的FinOps作法、知识。

去年底，FinOps基金会和CNCF组织更联手发表了一份K8s云端财务管理白皮书，介绍各种云端K8s的维运作法。甚至还发展出了一套云端省钱术的训练课程和认证，已培养出超过2千5百位的云端财务管理师。这个基金会的成员不少是大型科技业者，如Google、VMware、或是国际知名顾问公司如Deloitte、Accenture。在北美，已有近4成企业意识到FinOps的重要性，开始设立FinOps专责团队，但在亚洲只有7.75%的企业设立这类团队。不过，随着后疫新常态，企业越来越倚重各种云端服务，云端省钱术势必在台湾也将成为一门新显学。

K8s安全,CISA
美国国安局背书的K8s强化指南

K8s超级热门，不只大企业，许多美国-机关也很爱用，如何确保 K8s 环境的安全也成了显学，最近美国国安局与网络安全暨基础架构安全署（CISA）发表了一份50页的报告，《Kubernetes强化指南》，要告诉企业怎么强化 Kubernetes 的安全。CISA是负责让美国联邦-机构，有能力对抗各种网络攻击的一专责单位会提供资安工具，IR资安事故应变服务，提供评估机制，让美国.gov网站评估自身的安全能力过去，美国大选公平性，或像这次COVID-19供应链的资安防护，都由这个单位负责。这份报告也可说是美国联邦-机构必看的K8s安全强化指南。

报告中指出，Kubernetes最常被攻击的三大原因分别是窃取资料、窃取运算资源，以及服务阻断。例如骇客最常觊觎的是Kubernetes环境中的资料，也会在入侵后，企图利用Kubernetes的底层运算架构，来执行诸如开挖加密货币等恶意行为。
为了强化K8s安全，报告提出了5大类强化作法，从POD丛集安全、网络分离和强化建议、授权和验证机制、Log稽核机制，以及最后一项是应用程序安全和升级。

举例来说，Pod安全建议重点包括了，要使用非Root账号来使用容器执行AP、尽可能使用不可改变的档案系统immutable来执行容器，也要扫描各种弱点和配置错误。另外，必须使用Pod资安政策来建立最小使用权限的安全，例如避免超级容器（权限过高或管理权限），还要定期阻挡不必要的容器功能或服务，避免曝光关键资讯。特别注意的是，最好是禁止容器改用root账号或升级到这个等级的权限，并且要用各种安全性更高的应用程序环境。

虽然这份指南看起来大多是基础的安全强化措施，而没有太多奇特的建议作法，但是这些也都是关键，只要落实这些基础就能达到一定强度的K8s安全性。

微服务,gRPC
Google更新gRPC无代理服务，让微服务通讯更安全

Google更新gRPC无代理服务，解决微服务间通讯的安全痛点，开发者透过Traffic Director控制平面，就够简单配置gRPC服务，以TLS/mTLS建立服务之间的安全通讯。gRPC在现今的微服务架构中，扮演重要的角色，当大型单体应用程序分解成较小的微服务时，单体应用程序元件之间的程序内呼叫，便需要转变成微服务之间的网络呼叫，而gRPC让这件事变简单。在去年的时候，Google更新gRPC无代理服务，让用户可以让gRPC客户端能够处理和实作流量管理和负载平衡策略，并且还正式支援Traffic Director作为控制平面。最新版本的gRPC让开发者可以配置政策，以加密服务到服务的通讯。Google新提出的解决方案，克服了服务之间的安全性痛点，包括在客户端和服务器上管理和安装证书，或是从可信的CA绑定身份和发布证书，甚至是轮替证书等。

Go语言,编译器
效能小幅提升5%，Go 1.17再次优化编译器

Go团队发布了最新版本1.17，这个版本改进了编译器，在传递函式参数和结果，使用了新的方法，而这项改进使得Go程式的效能得以提高约5％，amd64平台的二进制档案大小减少2％，官方提到，未来版本还会支援更多的平台。另外，Go 1.17还增加对Windows上64位元Arm架构的支援，因此Go程式可以在更多的装置上原生运作。

这个新版本使用了修整过后的模组图（Module Graphs），在Go 1.17或是更高的版本，开发者于go.mod档案中指定模组，则模组图将会仅包含其他Go 1.17模组的直接相依项目，而非完整的递移相依（Transitive Dependency）项目，这将有助于避免下载或是读取go.mod档案，取用不相关的相依项目，可有效节省日常开发时间。

#微软操作系统 #Azure
微软新一代服务器操作系统Windows Server 2022开始出货了，先提供大量授权用户

微软今年3月公开预览Windows Server 2022。最近使用者发现Server 2022已经透过大量授权合约（Volume Licensing）的服务中心释出给用户。连同Windows 11的ISO档，微软也于上周释出了Server 2022的ISO档，供用户下载测试180天。Windows Server 2022提供标准、资料中心及资料中心：Azure版本。Windows Server 2022是以Server 2019为基础，并强化多层次安全，Azure混合云管理及应用程序开发平台。

#K8s #etcd
Kubernetes释出今年第二次改版，多项新功能进入稳定版

Kubernetes 1.22是今年的第2个更新版本，这个版本有许多新功能进入稳定阶段，包括服务器端应用（Server-side Apply，SSA）、外部凭证提供程式，以及开源分散式储存etcd升级至3.5.0版本，另外，创建临时容器的API，也在Kubernetes 1.22有所变化。一大重点在于SSA成为正式版本，SSA让用户和控制器可以使用宣告式配置来管理资源，像是创建或修改物件，在经过几个版本的测试之后，这个功能已经正式释出。Kubernetes 1.22将原本采用Kubectl应用（Kubectl Apply）的客户端实作，替换成为服务器端实作，并允许Kubectl以外的工具和客户端使用。

责任编辑：王宏仁

更多容器新闻