关于docker:K8S-生态周报-年终大放送Docker-v2010

37次阅读

共计 2272 个字符,预计需要花费 6 分钟才能阅读完成。

「K8S 生态周报」内容次要蕴含我所接触到的 K8S 生态相干的每周值得举荐的一些信息。欢送订阅知乎专栏「k8s 生态」。

Docker v20.10 次要个性一览

在之前的 K8S 生态周报 | Docker v20.10.0-beta1 公布 一文中,我曾为你介绍过 Docker v20.10.0-beta1 公布相干的信息,然而并没有具体介绍 Docker v20.10 版本的具体性能个性等细节。

Docker v20.10 版本,变动十分的大。提供了 CGroup v2 的反对,加强了 rootless 模式的反对,双栈日志,更灵便的内置 DNS 等,我在这个版本中也破费了很多工夫。

具体的变更,我会在 v20.10 正式公布后再进行介绍。欢送大家进行测试和反馈,目前曾经收到了一些反馈的倡议。咱们会尽快修改并公布下个版本。

正如我过后承诺的那样,作为 2020 年最初一篇周报,我来在本篇周报中具体介绍下 Docker v20.10 版本。

装置

Docker v20.10 公布于 2020 年 12 月 8 日,是自 Docker v19.03(2019 年 7 月)后公布的首个大版本。你能够间接通过以下命令来自动化的装置 Docker v20.10。

➜  ~ curl -fsSL https://get.docker.com |sh

cgroup v2 反对

Docker v19.03 是没有 cgroup v2 反对的,但自从 Fedora 31 开始,这成为了 Fedora 上的默认 cgroup 版本。在 Docker v20.10 公布之前,Fedora 31 及以上用户,须要将零碎的 cgroup 设置为 v1 能力失常运行 Docker。

其实这外面波及到了大量的批改,包含 runc,containerd 直到 Docker 都增加了 cgroup v2 的反对,此性能能力真正给用户应用。

在此过程中,我也发现了 runc v1.0-rc91 中暗藏的 bug,会导致 Docker 无奈失常通过减少 --privileged 参数以特权模式运行容器。起初对 runc 进行了批改,公布了 runc v1.0-rc92,至此才使得 Docker 中的 cgroup v2 个性得以顺利完成。

对于此处更具体的内容,我在《K8S 生态周报 | runc v1.0-rc92 公布》中已做了具体介绍,感兴趣的小伙伴能够看看。

rootless mode GA

Docker 有个始终被人诟病的点,就在于 docker daemon 必须是以 root 权限来启动,这样才能够应用它的全副个性。这也就意味着,但凡能够操作 docker daemon 的用户,也就有机会获取操作系统的 root 权限。

咱们在 Docker v19.03 版本中提供了实验性的 rootless mode 的反对,容许用户无需 root 权限即可运行 docker daemon。这大大晋升了零碎的安全性。但过后还处于试验阶段,有局部性能缺失。

我想趁此次 Docker v20.10 公布,正式为你介绍下 Docker 的 rootless mode,并且,它曾经达到 GA 从实验性毕业了,并且也提供了很多性能。

rootless mode 是在用户名称空间中运行 docker daemon 和容器,齐全不须要 root 权限。

你能够通过以下命令装置 Docker rootless 模式:

➜  ~ curl -fsSL https://get.docker.com/rootless | sh

或者间接通过 Docker 官网的 RPM/DEB 包进行装置。装置完之后,通过 systemctl 治理 Docker 服务即可。

➜  ~ systemctl --user start docker

更多对于 rootless mode 的具体用法及最佳实际,请参考 Docker 官网文档:以非 root 用户运行 docker daemon

Dockerfile: RUN –mount=type=(ssh|secret|cache) 等个性达到 GA

Docker v18.06 开始实验性的增加了 RUN --mount=type=cache 该个性可用于在构建过程中,保留包管理器的缓存文件。

之后在 v18.09 中又减少了 RUN --mount=type=sshRUN --mount=type=secret 用于在构建过程中,传递密钥或者用户凭证等私密信息,以避免透露等。这些高级个性,在我之前的文章《进阶:Dockerfile 高阶使用指南及镜像优化》曾具体介绍过。

这些个性十分有用,根本涵盖了你构建镜像时对于安全性方面的绝大多数的需要。大家如果感兴趣,欢送随时与我交换,后续我也可能会再写相干的文章进行介绍。

其余

  • 此次还优化了内置 DNS 相干的逻辑,能够提供更好的性能;
  • docker build 可反对间接 ssh 近程构建公有仓库的镜像了;

更多对于此版本的变更,能够参考其 ReleaseNote

Rook v1.5.4 公布

对于此版本有两个分外须要留神的信息:

  • #6849 最新版的 Ceph 不反对应用分区的 OSD 了。就我集体教训,我倒是根本没有把 OSD 装到过某个分区中,个别都间接应用整块盘;
  • #6769 Ceph-CSI 默认更新到了 v3.2.0;

更多对于此版本的信息,请参考其 ReleaseNote。

etcd 从 CNCF 正式毕业

etcd 想必大家不会生疏,我在「K8S 生态周报」中也曾多次介绍它,这里就不再赘述了。

感兴趣的小伙伴可查看官网布告:CNCF 发表 etcd 正式毕业

再次祝贺 etcd !

题外话

往年是 2020 年阳历的最初一天了, 感激大家的关注和反对!

接下来,我将会公布一份“2020 年 K8S 生态演进报告”与你分享在 2020 年 K8S 生态相干不容谬误的信息,以及 2021 年 K8S 生态相干的瞻望及倒退方向,敬请期待!


欢送订阅我的文章公众号【MoeLove】

正文完
 0