基于 Apache APISIX 与 RocketMQ 构建云原生一体化架构 杜恒 ASF Member，Apache RocketMQ PMC 成员 Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information 面向失败 松散耦合 基础设施解耦 极致弹性 多场景适应 低成本 高 SLA X 客户价值： X 多场景 云原生时代的挑战 云原生四要素 云原生时代的 RocketMQ admin 富客户端 轻量级 SD K API兼容 计算 云存储 VPC 网络 Kubernetes Name Server Name Server Name Server 计算集群 可观测 remoting o m e t h i n g Ab o u t 全新 POP 消费模型 服务端负载均衡  消除 Consumer 与 Queue 的 Binding 关 系，一个 Queue 可以由多个消费者消费  无 rebalance ，降低消费延迟概率  集群中某些消费端假死不影响整体消费进度  客户端更加轻量，多语言友好 流批一体  在Streaming场景下，单一消费者消费保证顺

年，我国云计算市场规模达 4,550 亿元， 较 2021 年增长 40.91%。相比于全球 19%的增速，我国云计算市场 仍处于快速发展期，预计 2025 年我国云计算整体市场规模将超万亿 元。 三是云计算产业环境日益激烈，新一轮竞争全面开启。全球各 国将云计算看作抢占新一轮科技革命制高点的关键环节。云计算巨 头厂商在全球化布局基础上，纷纷调整发展重心，并聚焦热点区域、 热点领域和热点方向，试图在市场上抢得先机。 （一）各国加速推进云计算战略，聚焦云计算赋能行业价值........................ 1 （二）云市场进入稳定增长阶段，行业巨头进一步扩大领先优势................ 3 （三）云计算产业竞争全面升级，云服务商开启新一轮角逐........................ 5 二、我国云计算发展概述..................................... ........ 9 （二）云计算市场处于快速增长阶段，运营商引领新一轮市场增长.......... 12 （三）云计算技术不断推陈出新，满足多样性场景需求助力产业升级...... 15 （四）行业上云用云呈阶梯状分布，中小企业成影响上云进程关键.......... 22 三、云计算正向数字世界操作系统转变..........................................

5k8s 管理平台攻击.................................................................................29 2.4.6 第三方组件攻击....................................................................................29 2.5 路径 4：微服务攻击 云原生安全威胁分析与能力建设白皮书 3 2.6.6 针对函数供应链的攻击........................................................................36 三、典型攻击场景分析......................................................................................... 37 临的威胁，并研究云原生安全能力，能够为企业整体的云安全防护体系建立提供 帮助，从而保障企业业务和数据更安全的在云上运转。 1.1 云原生及云原生安全 过去十年，企业数字化转型加速推进，相继经历了服务器、云化到云原生化 三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源

云原生学院 第 22 期 云原生产品与架构系列：第1讲 曾任阿里巴巴、华为架构师、深信服云原生产品规划主管 10月27日（周三）晚8点-9 点 高磊 主 办 方 ： 互 动 平 台 ： 式正在向自动化 转变 容器 60%以上用户已 经在生产环境应 用容器技术 微服务 微服务架构成为 主流，八成用户 已经使用或者计 划使用微服务 Serverless Serverless技术显 著升温，近三成 用户已在生产环 境中应用 云原生对业务的支撑实例(数据来源于阿里云) 4982亿，2020年天猫双11再创消费新纪录。58.3万笔/秒，双11交易峰值再创新高，阿里云又一次扛住全球最大规模流量洪峰。这一切背后支撑的 提供着“无感知护航”？ 近日，在阿里巴巴双11技术沟通会上，阿里云研究员、阿里云云原生应用平台负责人丁宇表示，今年双11实现了核心系统全面云原生化的重大技术 突破，实现资源效率、研发效率、交付效率的三大提升，万笔交易的资源成本4年下降80%，研发运维效率平均增效10%以上，规模化应用交付效率 提升了100%。阿里巴巴在2020双11完成了全球最大规模的云原生实践。 与2019年全面云化相比，202

SCA（软件成分分析） 有大量的重复组件或者三方库的依赖，导致安全漏洞被传递或者扩散， SCA就是解决此类问题的办法，通过自动化分析组件版本并与漏洞库相 比较，快速发现问题组件，借助积累的供应链资产，可以在快速定位的 同时，推动业务快速修复。 安全左移的一种，在上线前发现依赖组件的安全 问题，快速借助供应链资产库，帮助业务修复问 题。 需要进行大量的安全特征以及资产库的建设或者 三方集成。（涉及业务能力） RASP(运行时安全应 如UEFI、loader、OS、应用等，可以确保在被入侵 修改时的阻断行为，另外可以将可信启动链的 Hash值上传云端管理，可以做到中心管控验证的 目的。 加密技术 数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但 是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运 行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和 代码，完成了安全闭环。 依赖于硬件和更高阶密码学，可以彻底阻断物理 Cilium零信任 采用eBPF,为Mesh打造具备API感知和安全高效的网络层安全解决方案， 克服了Calico SDN安全和性能方面的不足 应用透明，全局管理视角，细粒度安全策略，针 对Node层面构建安全，端到端安全需要和以上安 全方案集成。 说说应用基本依赖的四大件：数据库、存储、中间件和大数据 下单服务 交易支付 支付网关 锁定库存 库存数据库 前台类目 商品查询 BFF 商品数据库 文件存储

磐舟DevSecOps平台定位 基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从 “需求-开发-测试-发布-运维-运营”端到端的协同服务和研发工具支撑。助力企业产品快速创新迭代，进行 数智化化转型、实现业务价值。 • 端到端自动化交付流水线 • 开发过程自主可控 • 一键发布上磐基，实现“乘舟上云，稳如磐基” • 沉淀IT软件资产，核心代码掌控 • 提升开发交付效率 双模敏态管理 以敏捷研发为引导，融合瀑布式管理需求， 形成普适、灵活的研发过程管理能力。 多用途制品库 兼容市面绝大多数开发语言制品，提供公 用、内部共享、私有等多种使用方式。兼 容市面上制品管理客户端。 全功能云IDE开发 每个云IDE都是一个云端小笔记本，一人一 本，多人可形成云端小局域网。可独立编 写调试代码，可团队协作。 安全代码仓库托管 统一的安全代码仓库，按项目级别分级管 支持的场景 l 安全自查：发现各租户移动应用安 全问题，通过自动化方式提供安全 检测手段 l 合规自查：发现各租户移动应用个 人信息合规问题，通过自动化方式 提供合规检测手段 l 手机端：解决现行手机端用户便利 性的同时带来的安全问题 l 能力输出：针对自有安全能力可以 增值输出政企客户 安全管控-镜像扫描 在自动、增量、批量进行镜像上线前的扫描后，生产节点拉取安全镜像，运行后提供服务，但漏洞问题日新月异，有很多迭代

aliyun.com/bootstrap.html • 业务高可用、多可用区部署 • 同城/异地容灾，业务多活 • 微服务需要更安全、更可信 成本 稳定 效率 • 白天流量高峰期发布 • 云边端一体化开发部署联调 • 服务治理体系强依赖SDK升级 • K8s下应用IP的不确定、导致服务治理规则的失效 • 应用迁移上云成本很高 • 极致、灵活的弹性 微服务在云原生下的挑战 后端服务BaaS化 全面兼容开源 • 无侵入 • 多语言 • 依赖冲突难管理 • SDK升级成本高 微服务治理演进路线 • 服务元信息 • 服务契约管理 • 服务测试 • 服务Mock • 开发环境隔离 • 端云互联 运行态Ops 开发态Dev • 无损下线 • 无损上线 • 金丝雀发布 • A/B Test • 全链路灰度 安全态Sec 发布态 • 离群实例摘除 • 限流降级 • 同AZ优先路由 无需修改代码，享受微服务治理能力 注册中心感知 到服务端下线 客户端感知到 服务端下线 服务调用报错期 客户端视角 正常 服务端视角 下线静默 下线 注册中心 提供者A 消费者A 提供者B 消费者B 1 正常调用 1 服务下线 (prestop) 3 通知消费者 5 应用重启 4 调用其他提供者 Agent 2 主动通知 Agent 3 客户端主动刷新 Agent Agent 无损下线:

服务注册中心、文件传输、消息集成、 ITSM等系统的部署集成。 4. 由于上层所依赖的底层环境在不同交 付环境中是不同的，而传统交付方式 缺乏脚本能“理解”的方式来表达这些 差异，此外由于事后更新OS、三方库 或者系统，这些变更又缺乏校验关系， 升级时很难给予企业信心，这种交付 方式很难被自动化。 标准化能力-微服务PAAS-OAM-万花筒PAAS-1-引子 客户环境交付 制品 • 云应用交付最难的还不是RT的 标准化能力-微服务PAAS-OAM-万花筒PAAS-3 以上解耦的结果，隐含着更深层次的能力，不是简单解耦那么简单，它使得统一通用PaaS成为可能 组件市场|仓库 平台运维特性 应用编排 运维特性编排 版本化 应用 • 两端解耦之后，两端方面都可以形成一个没有 私有PaaS特征依赖的市场，而强大的开源社区 比平台提供商自己还要强大，利用容器底座的 承载能力和OAM抽象化编排能力，可以不等排 期的构建各种特征的Paas。业务应用由于不依 了多云的差异，可以很好 的满足企业的需求 标准化能力-微服务PAAS-OAM交付流程模式-场景流程 • 典型的ISV交付场景，目前 大部分业务企业不具备或 者不擅长软件研发和交付 的工作，一般都委托给第 三方ISV来完成客户交付。 • 由于OAM方式的整体化交 付很好的适应了不同环境 的差异，所以ISV自动化交 付成为现实，进一步降低 了交付的成本。 标准化能力-微服务PAAS-OAM交付流程模式-场景流程

md)、信创 中间件、云原生网络、云原生存储 云边协同 将云原生能力延伸至边缘，采用边缘集群、边缘节点模式，将数据中心算力下移，端 设备算力上移，统一管控和调度离散、异构的计算资源，解决在海量边、端设备上统 一完成大规模应用交付、运维、管控的诉求，实现云边的真正一体化。 涉及的模块：全局管理、容器管理、云原生网络、云原生存储、云边协同 版权 © 2023 DaoCloud 第 8 页 生态的平稳过渡，助力企业走向云原生化。 ➢ 支持创建 Nacos 托管中心，进而管理微服务命名空间、治理微服务流量、管理微服务 配置、链路追踪与监控等。 ➢ 支持接入 Eureka、Zookeeper、Nacos 三类传统的微服务注册中心。 ➢ 支持接入 Kubernetes 和 Service Mesh 两类云原生微服务注册中心。 版权 © 2023 DaoCloud 第 13 页 微服务流量治理 注解动态更新配置项。 ➢ 管理配置文件的历史版本，支持版本差异对比并一键回滚到特定版本。 ➢ 支持查询当前配置的监听者以及 MD5 校验值。 ➢ 提供示例代码，便于新手快速使用客户端编程消费该配置，降低新手使用门槛。 微服务网关 微服务网关肩负管理微服务南北流量管控的重要作用，提供 API 管理、接口 限流、多种策略安全认证、黑白名单、路由转发、MockAPI 等能力，同时提供

如果您要公开服务，则默认生成器是 --generator=route/v1。对于所有其他情况下，默认为 -- generator=service/v2，这会留下端口未命名。通常，不需要使用 oc expose 命令设置生成器。第三个 生成器 --generator=service/v1 提供了端口名称 default。 Pod Name: docker-registry-1-wvhrx Pod Name: registry-console-1-ntq65 志级别设置为 0，但您可以将其值从 0 设置为 10。 每个日志 每个日志级别 级别概述 概述 1-5 - 如果作者决定提供更多有关流的说明，命令通常在内部使用 5。 6 - 提供有关客户端与服务器之间 HTTP 流量的基本信息，如 HTTP 操作和 URL。 7 - 提供更加彻底的 HTTP 信息，如 HTTP 操作、URL、请求标头和响应状态代码。 8 - 提供完整的 HTTP 请求和响应，包括正文。 openshift 命令用于启动组成 OpenShift Container Platform 集群的服务。例如，openshift 启动 启动 [master|node]。但是，它还是一个一体化命令，它可以分别通过 openshift cli 和 openshift admin 执行 oc 和 oc adm 命令的所有操作。 管理员 CLI 与开发人员 CLI 下的一组普通命令不同，它使用