RancherOS

开源平台 全球部署 Rancher Labs始终致力于打造创新的开源软件，帮助企业利用容器技术加快软件开发周期，改善IT操作流程。下一代旗舰产品Rancher 2.0更是解决业界遗留已久的Kubernetes原生UI易用性不佳以及学习曲线陡峭的问题，提供创造性的多K8S集群管理功能，为企业在生产中落地Docker与Kubernetes、构建新一代CaaS提供更加便捷的途径。 Rancher自发布至今已经有 超过8000万次的下载量 ，全球活动部署数量已 超过15000个节点 ，在全球拥有数百家大中型政府及企业客户，用户广泛分布于 互联网行业、金融行业（银行、保险、证券）、传统制造业、政府部门和运营商等 。 建设合作伙伴生态体系 日益增长的市场热情和用户需求，需要更强有力的生态体系支撑。为了助力更多企业完成容器技术的落地，帮助客户构建更有竞争力的解决方案——无论是容器化应用与服务还是建立完整的私有容器云服务，Rancher Labs一直在积极致力于合作伙伴生态体系的建设，大量DevOps咨询公司、系统集成商和服务提供商均对Rancher合作伙伴体系展现出浓厚的兴趣并积极参与其中，与Rancher Labs一起助力更多企业客户完成容器落地。 2018年2月，Rancher Labs中国区合作伙伴培训项目将在北京、上海、深圳三地联动举行。首站北京站已于2月1日启动，为期两天

RancherOS是Rancher Labs设计的小巧、专用的容器操作系统。本文详细介绍了如何使用CloudBoot简单批量安装RancherOS。 作者简介 赵安家，山东顺能网络全栈研发工程师。前端后端通吃，DevOps、安全、培训都有涉猎，负责了公司从单体服务迁移至微服务的项目。 介绍 CloudBoot CloudBoot是云霁科技科技开源的一款简单易用的装机系统，类似Cobbler ，但是功能更强大，更易用。（详情可参阅参考资料的链接） RancherOS RancherOS是Rancher Labs开源的一款容器操作系统，类似coreOS，RancherOS是Rancher Labs设计的小巧、专用的容器操作系统，可用安装到服务器本地硬盘中，也可以部署到公有云上，或者配合DockerMachine使用。与Ubuntu和CentOS不同，RancherOS使用cloud-config.yml配置文件来管理机器的配置信息，包括系统启动时的服务、网络相关的配置信息、存储配置、容器配置等等，都可以放到配置文件中进行管理。 安装cloudboot 可参阅CloudBoot一键部署 ： http://idcos.github.io/osinstall-doc/environment/%E4%B8%80%E9%94%AE%E9%83%A8%E7%BD%B2.html

一言不合就发新版本。 年关将至，寒意习习，落叶萧萧下，阳光日日稀。RancherOS团队历时两个来月的开发，正式发布RancherOS v1.5.0版本。 在此期间同为Container Linux阵营的CoreOS已经从红帽再入IBM，潮流之变，业界态势，让我们无不更加努力去争得一席之地。 无论是商业用户的积累，还是业界变化带来的社区用户增长，都在催促我们不断革新，应该说1.5.0版本是用户的需求推着我们走出来的。 重大特性更新 本版本的新特征众多，无法一次性全部说明，以下只表述一些用户关注度比较高的特性。个别特性详细说明，我们会不断推出文章一一展开。 启动性能提升 一直以来RancherOS的initrd一直采用xz格式压缩，随着RancherOS的体积不断增大，xz压缩越来越影响系统启动速度。虽然xz格式能够带来比较小的initrd和ISO， 但是我们也需要兼顾启动速度。v1.5.0版本的initrd已经采用了gzip格式，文件体积有所增大，但是启动速度有了质的飞跃。 同时我们也优化了system-docker的镜像加载和cloud-init的启动，对启动速度进行了深度优化。 LUKS磁盘加密支持 支持LUKS，允许用户对跟磁盘分区进行加密，在一些特殊场景下增强了RancherOS的安全性。运行效果参考下图： WiFi和4G支持 Intel正在micro PC领域不断发力

Running RancherOS using Docker Machine Before we get started, you’ll need to make sure that you have docker machine installed. Download it directly from the docker machine releases . The version must be at least v0.3.0-rc1 or greater. Note: If you create a RancherOS instance using docker-machine , you will not be able to upgrade your version of RancherOS. Downloading RancherOS Get the latest rancheros.iso artifact from the RancherOS releases . As of v0.4.0, the rancheros.iso can be used for docker-machine . Prior to v0.4.0, you must select the machine-rancheros.iso . Using Docker Machine You

Rancher的最新版本增加了对几个常见编排引擎的支持。 除了Cattle之外新加支持三个Docker社区中使用最广泛的编排引擎，包括Swarm（Docker Native Orchestration）、Kubernetes和Mesos，它们将为用户提供了更多的功能及可用的编排选项。虽然Docker现在已经发展成为容器化领域的事实标准，但在细分的docker编排引擎市场中目前并没有明确的赢家。在本文中，我们将讨论三个编排引擎系统的功能和特性，并给出它们可能适用的场景用例的建议。 Docker Native Orchestration目前是相对来说项目较新，但它成长速度很快并不断的加入新功能。由于它是Docker官方本身推出的，因此有良好的工具和社区支持，是许多开发人员的默认选择。 Kubernetes是当今最广泛使用的容器编排系统之一，并且得到了Google的支持。 最后Mesos与Mesosphere（或Marathon，其开放源代码版本）支持分层、分类的服务管理方法，许多管理功能可基于独立的插件和应用程序。 因为架构的灵活性这使得它更容易深度定制化部署。当然，这也意味着需要更多的整合工作量。而Kubernetes的常见案例则更偏向于如何构建集群和交付完整统一的综合系统 。 Docker Native Orchestration 基本结构 Docker Engine 1.12

runc是一个根据OCI（Open Container Initiative）标准创建并运行容器的CLI工具，目前Docker引擎内部也是基于runc构建的。 2019年2月11日，研究人员通过oss-security邮件列表（ https://www.openwall.com/lists/oss-security/2019/02/11/2 ）披露了runc容器逃逸漏洞的详情，根据OpenWall的规定EXP会在7天后也就是2019年2月18日公开。 此漏洞允许以root身份运行的容器以特权用户身份在主机上执行任意代码。实际上，这意味着容器可能会破坏Docker主机（覆盖Runc CLI），而所需要的只是能够使用root来运行容器。攻击者可以使用受感染的Docker镜像或对未受感染的正在运行的容器运行exec命令。针对此问题的已知缓解措施包括： 使用只读主机文件系统运行 运行用户命名空间 不在容器中运行root 正确配置的AppArmor / SELinux策略（当前的默认策略不够） Rancher团队第一时间响应 收到披露邮件后，RancherOS团队立刻尝试编写了攻击脚本，在一个普通容器中运行一个非常简单的脚本就完成了对主机的攻击，将主机上的runc替换成了其他程序。 漏洞披露后，Docker在第一时间发布了18.09.2，用户可升级到此版本以修复该漏洞。Rancher

概述 在过去的一段时间里容器已经大量的使用到了IT软件生产的各个环节当中：从软件开发，持续集成，持续部署，测试环境到生产环境。 除了Docker官方的Docker Swarm, Docker Machine以及Docker Compose以外，开源软件社区还涌现了一系列的与容器相关的工具，涵盖了从容器编排，调度，监控，日志等等各个方面的需求。 本文将从针对软件研发流程，基于容器解决软件的持续交付问题，以及团队协作问题。 在持续集成中使用容器 构建环境统一管理 在传统模式下使用持续集成工具诸如Jenkins，在部署企业持续持续集成平台的第一个问题就是多样化的构建构建环境需求，而通常的做法是将构建Agent（服务器或者虚拟机）分配给团队由团队自己管理构建服务器的环境配置信息，安装相应的构建依赖等。 在持续集成中使用docker docker run --rm -v `pwd`:/workspace -v /tmp/.m2/repository:/root/.m2/repository --workdir /workspace maven:3-jdk-8 /bin/sh -c 'mvn clean package' 如上所示，我们可以非常方便的通过容器来完成软件包的构建，其中有几个点需要注意的是： --rm 命令可以确保当命令执行完成后能够自动清理构建时产生的容器

概述 接着上一篇的内容，我们有讲到“持续交付是文化，自动化是基石，垮职能团队协作是根本”，本文将以软文的形式介绍持续交付平台WiseBuild结合Rancher容器管理平台我们是如何进行跨职能团队协作的。 文末有彩蛋！文末有彩蛋！文末有彩蛋！ 基础设施自动化 使用Rancher理由很简单，Rancher是目前市面上唯一一个能满足开箱即用的容器管理平台，同时能够支持多种编排引擎，如Rancher自己的Cattle，Google的K8S,以及Docker官方的Swarm作为容器编排引擎。同时Rancher提供的Catalog应用商店能够帮助研发团队自主创建所需要的服务实例。 基于Rancher提供的Environment我们分别为开发，测试，以及运维创建了独立的环境。确保不同职能人员之间对于环境的隔离性需求。 持续交付流水线 建立持续交付流水线的核心问题是如何定义企业的软件交付价值流动。 正如上文所说，创建持续交付流水线的本质就是定义软件的交付的价值流动，反应正式的软件交付流程。价值的流动则涉及到团队中各个职能的成员的高度协同。 基于容器的持续交付实践当中以镜像作为在不同职能人员之间的价值传递物。 开发流水线 开发人员：频繁提交持续集成，通过持续的编译，打包，测试，镜像构建，自动化验收测试等环节产生可测试的候选镜像列表(如：0.1-dev)。 以源码仓库为起点，开发人员频繁提交