臺灣Container Summit 2016首日開跑，Docker、CoreOS及Mesos官方專家

william77

高峰會也找來Docker、CoreOS及Mesos等官方專家分享一手經驗，例如來自Docker的陳東洛，目前是Docker 開發分散式系統和叢集解決方案，同時也是調度工具Swarm和Engine-api的管理員，還有CoreOS分散式項目主管李響，在CoreOS負責Kubernetes等分散式系統相關的開發。

臺灣Container Summit今日在臺大集思會議中心舉行，此次高峰會也找來Docker、CoreOS及Mesos等官方專家分享一手經驗，例如來自Docker的陳東洛，目前是Docker 開發分散式系統和叢集解決方案，同時也是調度工具Swarm和Engine-api的管理員，還有CoreOS分散式項目主管李響，在CoreOS負責Kubernetes等分散式系統相關的開發。

過去任職Mesos分散式系統首席工程師的Timothy Chen表示，容器調度工具總共包含三大元件，第一是服務管理（Service management），主要控制服務的規模，根據需求水平擴展（Scale-out）或者收縮（Scale-in）。第二層是排程器（Scheduling），讓使用者不需要手動安排伺服器得運作哪些應用程式，讓系統自動決定應用程式部署的位置。第三層則是資源管理（Resource management），分配應用程式運作需要的硬體資源，例如CPU、記憶體。

《Docker源碼分析》作者孫宏亮，目前任職中國PaaS服務商上海道客網路科技，同時也Docker Swarm核心維護者。他表示，Docker並不是為了安全而生，其價值在於易用，提供標準化環境，以及相當高的性能表現，但是企業運作必須追求安全，「如果無法解決資安問題，企業不會願意使用Docker。」他也笑說，中國IT業界流傳一句話：「資安是IT架構的遮羞布」，一旦架構設計瑕疵影響企業正常運作時，就得付出巨大的代價。

雷亞遊戲技術長鐘志遠揭露為何雷亞遊戲從PaaS平臺，轉向Kubernetes環境的原因。他表示，過去使用PaaS平臺AWS Elastic Beanstalk 的經驗中發現，PaaS的運作對開發團隊像是黑盒子，「我們對PaaS了解甚少，造成許大的負擔。」而轉為使用偏向PaaS性質的Kubernetes時，使用者不需要管理底層VM，只需要管理Container環境，同時所有的基礎的技術層（Technology Stack）都被封裝在Container中時，開發人員也比較容易了解程式的架構。此外，使用Kubernetes也可以確保環境已經過測試後無異常後，才會進入線上環境。

臺灣駭客年會HITCON創辦人，目前任職資安公司vArmour 資深工程師的徐千洋表示，強化Docker Container有三大基本方法。第一是設定使用命名空間（User Namespace），確保服務不透過root權限運作。第二則是利用Linux內的Capabilities功能拆分權限，將特權帳號可以執行的功能細分成不同權限進行控制。最後則是利用AppArmor功能，針對不同程序進行存取控制。