Docker Gordon GA:容器全流程 AI 代理正式上線
Docker Blog · 2026-05-19
Docker 於 2026 年 5 月 19 日宣布 Gordon 正式進入 GA(General Availability)階段,這是內建於 Docker Desktop 4.74+ 的 AI 代理,也可透過 docker ai CLI 指令取用。Gordon 以「批准即執行」(approval-first)為核心設計原則,在每個動作執行前明確顯示將要執行的指令,由使用者確認後才實際操作。
主要功能
Gordon 的工作範疇覆蓋 Docker 完整工作流程:
- 容器除錯:讀取日誌、追蹤錯誤、提出並可選自動執行修復方案
- Dockerfile 生成:分析應用程式結構,自動生成 Dockerfile 與 docker-compose 檔案
- 環境建置:一指令啟動完整技術堆疊(如 Postgres + Redis + 應用服務)
- 映像最佳化:建議多段建置、層序重排、基礎映像選型
- 操作說明:在真實環境的上下文中解釋 Docker 概念
存取點與工具能力
Gordon 在 Docker Desktop 側邊欄有專屬面板,可脫出為浮動視窗;在容器發生故障時也會主動出現在問題現場(context-aware)。Gordon 的工具存取範圍包含 Shell 指令執行、檔案系統操作、完整 Docker CLI、Docker 官方文件查詢與網路存取。
安全模型
Gordon 採取保守的安全設計:每個指令在執行前必須取得用戶批准,session 結束時權限自動重置。Docker 聲稱不儲存使用者程式碼或個人資料,AI 提供商也不保留對話內容。基礎設施通過 SOC 2 Type 2 與 ISO 27001 認證。可選的 auto-approve 模式供信任工作流使用,但預設關閉。
定價
基本功能隨所有 Docker 帳號免費提供(每幾小時重置使用量);Gordon Plus 每月 $20,提供兩倍容量;更高層級方案最多可達基本容量的 20 倍。
以 Kyverno 自動化 Confidential Containers(CoCo)基礎設施部署
CNCF Blog · 2026-05-19
Confidential Containers(CoCo)是 CNCF 的一個沙箱專案,其核心假設是 Kubernetes 控制平面本身不可信任——Pod 規格必須透過遠端認證(remote attestation)驗證後才能在機密計算環境中執行。Nirmata 維護者 Shuting Zhao 在此文中說明如何用 Kyverno 自動注入 CoCo 所需的複雜 Pod 配置,降低開發者的設定負擔。
CoCo 的部署複雜度
一個 CoCo Pod 需要手動配置多個元件:
- runtimeClass:指定機密運算執行環境(如
kata-qemu-snp) - initdata:包含認證伺服器位址與容器映像政策的啟動配置
- Sealed Secrets(選用):應用程式憑證,只在成功認證後釋放
- 認證與 mTLS 元件(選用):安全驗證通道
任何欄位的格式錯誤或遺漏都會導致 Pod 無法調度,而錯誤訊息通常不明確。
Kyverno 的解決方案
Kyverno 作為 Kubernetes 的 Policy Engine,在 Admission 流程中介入 Pod 建立:
- Mutating policy:自動注入
runtimeClass、initdata、sealed secret 掛載等必要欄位 - Validating policy:在 Pod 進入排程前驗證配置完整性,提前攔截錯誤
平台團隊只需維護 Kyverno policy 一份,應用程式團隊可以提交普通 Pod manifest,由 Kyverno 自動補齊 CoCo 基礎設施細節。實際安全驗證仍由遠端認證與執行環境 policy 負責,Kyverno 處理的是操作方便性而非信任模型。