我们很高兴地宣布发布HashiCorp nomad0.7。Nomad是HashiCorp的轻量级和灵活的集群调度程序，旨在轻松集成到您现有的工作流中。Nomad可以运行微服务和批处理工作负载，并对Docker和非容器化应用程序提供一流的支持。立即下载Nomad0.7开源版的亮点包括：存取控制系统Web用户界面Nomad0.7也是NomadEnterprise的首映版。Nomad-Enterprise扩展了Nomad的开源版本，提供了与协作、操作和治理相关的特性。0.7版本中的Nomad Enterprise功能包括：名称空间资源配额哨兵政策»存取控制系统nomad0.7引入了一个访问控制列表（ACL）系统，可用于限制对数据和api的访问。ACL系统是基于功能的，依赖于与策略相关联的令牌来确定应该在运行时应用哪些规则。Nomad的ACL系统类似于HashiCorp consur和HashiCorp Vault使用的访问控制系统。以下各节详细介绍了ACL系统的主要组件：»政策ACL策略是一组命名规则，指定应授予与策略关联的任何令牌的功能集。可以为以下顶级策略规则定义功能：命名空间-按命名空间列出的作业相关操作代理API中的代理实用程序操作节点级目录操作operator-API中的集群级操作配额-配额规范相关操作HashiCorp配置语言（HCL）用于指定规则。»能力功能表示将由策略授权的显式操作集。这包括提交作业、读取日志、查询节点等。下面的示例策略演示了使用细粒度功能和粗粒度策略配置（"读"、"写"和"拒绝"）：#允许对默认命名空间的只读访问命名空间"default"{#相当于"policy="read"'能力=列出作业，"读取作业"]}#允许写入"foo"命名空间命名空间"foo"{#相当于"capabilities=list jobs"，"read job"，"submit job"，"read logs"，"read fs"]'policy="写入"}代理人{policy="读取"}节点{policy="读取"}»代币ACL令牌用于对请求进行身份验证，并确定调用者是否被授权执行操作。每个ACL令牌都有一个用于标识令牌的公共访问器ID和一个用于向Nomad发出请求的秘密ID。»多区域配置Nomad支持多数据中心和多区域配置。ACL策略在创建时从权威区域复制到所有联合区域。这使得策略可以集中管理，并且可以在每个区域的本地强制执行，以降低延迟。ACL令牌可以选择性地复制到辅助区域，以便根据需要启用安全的跨区域请求。有关ACL的全面概述，请参见指南。»Web用户界面nomad0.7添加了一个webui，使用户能够轻松地调查和监视作业、分配、部署、客户端和服务器。webui嵌入在Nomad二进制文件中，并从与httpapi相同的地址和端口（在/UI下）提供服务。webui可以与nomadacl系统结合使用，以适当地限制对作业、节点和其他细节的访问。下面是几个屏幕截图，展示了NomadWebUI的外观。"作业"页面包含群集中所有作业的可搜索表：作业详细信息页面列出作业的任务组以及作业分配的状态。此页面还包含用于作业定义、以前版本和部署的选项卡："客户端"页面有一个可搜索的表，其中包含群集中的所有客户端：nomadwebui还包括与浏览和监视作业部署、检查单个客户端和服务器以及检查任务组和分配相关的页面和功能。有关详细的演练或访问，请参阅《Web UI指南》演示.nomadproject.io使用Web UI进行试驾。»命名空间（企业）nomad0.7通过名称空间引入了对多租户的支持。名称空间允许许多团队和项目共享一个集群，并保证作业名称不会冲突。管理员可以使用ACL系统来限制对命名空间的访问，并使用资源配额来限制每个命名空间的资源消耗。与ACL策略类似，命名空间是全局复制的，并由单个权威区域管理。下面是一个工作流示例。namespace apply命令将创建一个新的命名空间：$nomad namespace apply-描述"web服务器的QA实例"web QA成功应用命名空间"web qa"！以下ACL策略授权跨多个命名空间进行读写访问：#允许对生产命名空间的只读访问命名空间"web prod"{policy="读取"}#允许写入QA命名空间命名空间"web qa"{policy="写入"}要在特定命名空间中运行作业，只需使用namespace参数对作业进行注释：作业"rails www"{#在QA命名空间中运行namespace="web qa"#QAing时只在一个数据中心运行数据中心=美国西部1"]...}包含namespace参数以在给定命名空间的上下文中运行CLI命令：$nomad作业状态-名称空间=web qaID类型优先级状态提交日期rails www服务50运行时间：2017年9月17日19:17:46 UTC有关详细信息，请参见《名称空间指南》。»资源配额（企业）nomad0.7增加了对资源配额的支持。资源配额为操作员提供了一种方法来限制跨名称空间的CPU和内存消耗，以保证没有一个租户可以控制使用。当配额附加到命名空间时，为所有现有和未来作业保留的资源都将计入已定义的限制。如果需要跨名称空间子集进行更高级别的计算，则也可以将单个配额附加到多个命名空间。与ACL策略和命名空间一样，资源配额是全局复制的，并由单个权威区域管理。当资源配额用完时，Nomad将对传入的工作进行排队，以便在资源可用时进行计划，这可能是因为作业已完成或配额已增加。这种行为提供了更高的服务质量（QoS），而不强制客户端在Nomad上实现自己的队列。资源配额限制是在每个区域的基础上定义的。下面的配额定义将全局区域的CPU消耗限制为2500，内存消耗限制为1000：name="web qa配额"description="限制web qa命名空间"#为全局区域创建限制。附加限制可能#为了限制其他区域而被指定。限制{region="全球"区域限制{cpu=2500内存=1000}}以下命令将创建新配额：$nomad配额应用web qa-配额.hcl成功应用配额规范"web qa quota"！要将配额应用于web qa命名空间，请使用：$nomad namespace apply-配额web qa配额web qa成功应用命名空间"web qa"！quota status CLI命令返回配额的当前记帐：$nomad quota status web qa quota名称=web qa配额Description=限制web qa命名空间限制=1配额限制区域CPU使用率内存使用率全球500/2500 256/1000可以使用ACL系统限制对资源配额的访问：#允许对配额的只读访问。定额{policy="读取"}有关详细信息，请参阅《资源配额指南》。»哨兵政策（企业）nomad0.7与HashiCorp Sentinel集成，支持对作业提交和作业更新执行细粒度策略。Sentinel是一个嵌入式的策略即代码框架，它支持选择性地使用外部信息进行细粒度的策略决策。此集成扩展了Nomad acl的功能，这些功能仅限于跨Nomad名称空间和api的粗粒度功能授权。Sentinel使团队能够使用诸如版本控制、迭代、测试和自动化之类的构造来"将策略作为代码"来管理，这些构造是当今应用程序代码和基础结构代码管理的特征。Sentinel策略是用Sentinel语言指定的，该语言已针对易用性和性能进行了优化。Nomad目前只支持作业提交的Sentinel策略强制执行。JSON作业规范中表示的所有字段都隐式可用。以下Sentinel策略将限制作业仅允许Docker工作负载：允许的驱动程序=docker"]主=规则{全部job.task_组作为tg{全部tg.任务作为允许的驱动程序中的t{t.driver}}}此策略将作业限制为8 GB内存资源：函数和任务（tg）{计数=0为tg.任务当t{count+=t时。资源.内存否则0}返回计数}函数和作业（作业）{计数=0为job.task_组作为tg{如果tg.计数