公司代表作品： Sealos 云操作系统 Laf 函数计算 FastGPT AI 知识库 Sealos 介绍 以 kubernetes 为内核的云操作系统 整个数据中心抽象成一台服务器，一切皆应用，让用云像用个人电脑一样简单！ Kubernetes是云操作系统内核，整个集群是一个整体 Sealos是云操作系统发行版本 Linux发行版，如redhat Linux kernel CPU 内存 Linux kernel CPU 内存 磁盘 有了 sealos 就可以一条命令构建一朵云 抛弃 IaaS PaaS SaaS 拥抱 云内核 架构 传统云计算架构 基于云内核的云计算架构 SaaS PaaS IaaS 分层架构代表 openstack 内核架构代表 linux 我快黄了 我经久不衰 我一锅大杂烩 我高内聚高抽象 我装起来都费劲 我一键安装 我运行起来一堆问题 我小白都能稳定运行 ubuntu redhat suse 麒麟 欧拉 ARM 裸金属/云服务器/私有云虚拟机 x86 除了 kubelet 其他都跑容器里 为了更好的兼容性，不用系统依赖如rpm 只 依赖内核如 systemd 借助集群镜像能力自动识别系统架构 自己实现控制器对接公有云对比其他方案 ，且不触发 API 调用限制 Apply 了这连个 yaml 就会自动在各种公有云上启动 虚拟机并按照要求安装好

云原生安全威胁分析与能力建设白皮书 7 前 言 在数字化转型的大潮中，云计算作为实现创新和提高运营效率的关键技术， 成为了新一代信息技术的核心引擎。随着云计算的飞速发展和广泛应用，以及万 千企业数字化转型换挡提速，企业对云计算的使用效能提出新的需求。云原生以 其独特的技术特点，很好地契合了云计算发展的本质需求，正在成为驱动云计算 质变的技术内核。 云原生作为云计算深入发展的产物，已经开始在 5G、人工智能、大数据等 路径 2：容器攻击 容器提供了独立隔离的环境来打包和运行应用程序，容器的隔离和安全措施 使得用户可以在给定主机上同时运行多个容器。通过 Namespace、Cgroup、 Capability、内核强访问控制等多种安全机制以及隔离措施，保证容器内应用程 序的安全与隔离。图 7 展示了攻击者可能利用的直接对容器进行攻击的方式。 图 7 容器运行时安全风险 2.3.1 守护进程攻击 Docker 命令执行能力，实现容器逃逸的目的。根据不同的原因，容器逃逸方式包括以下 几方面： 内核漏洞导致的容器逃逸：容器本身是一种受到各种安全机制约束的进程， 因此从攻击角度来看，攻击者通过权限提升达到逃逸的目的，一旦有新的内核漏 洞产生，就需要考虑它是否能够用于容器逃逸。 危险配置导致的容器逃逸：Docker 容器基于 Linux 内核中的 Capabilities 特性划分特权集，以便进程可以只分配“执行特定功能”的特权，例如通过使用

引擎，打造具有国际竞争力的数字产业集群。云计算是信息技术发 展和服务模式创新的集中体现，是信息化发展的重大变革和必然趋 势，是信息时代国际竞争的制高点和经济发展新动能的助燃剂。云 计算引发了软件开发部署模式的创新，成为承载各类应用的关键基 础设施，并为大数据、物联网、人工智能等新兴领域的发展提供基 础支撑。加快推动云计算创新发展，顺应新一轮科技革命和产业变 革趋势，是推进中国式现代化进程的关键。 将云计算应用至相关领域，并明确提出通过云战略获取全球优势， 以确保其在经济、军事、科技等领域的领先地位。欧洲、亚洲等主 要国家纷纷发布国家战略或计划，推动云计算在各行业的应用布局， 深度挖掘云计算产业价值。我国政策指引云计算应用创新，持续推 动云计算与实体经济融合走深。 二是全球云计算市场稳定增长，我国保持快速发展。2022 年， 全球云计算市场规模为 4,910 亿美元，增速 19%，预计在大模型、 算力等需求刺激下，市场仍将保持稳定增长，到 ................................................................................... 9 （一）国家政策指引云计算创新发展，地方积极推进企业上云用云............ 9 （二）云计算市场处于快速增长阶段，运营商引领新一轮市场增长.......... 12 （三）云计算技术不断推陈出新，满足多样性场景需求助力产业升级

独占cpu，不适合分布式的lb • 为什么纯粹的eBPF方法不行 • 不够成熟 eBPF 简介 • 编写eBPF程序 • 编译成eBPF中间代码 • 注入内核 • 挂载到network traffic control • 报文激发eBPF代码 技术创新点一 • IPVS 对conntrack的功能依赖 • Iptables SNAT • 具体如何绕过conntrack？ • 进报文 • 将处理请求的钩子从nf 做了hack，直接访问ip_finish_output IPVS 绕过conntrack 技术创新点二 • 在linux traffic control上挂一段eBPF 代码，在网卡出报文之前做SNAT • 尽量将大部分代码放在eBPF中，方便升级和维护。 • eBPF loader 创建eBPF map时，将map的id 传给IPVS内核模块 • 在ip_vs_new_conn 时，插入eBPF map • map • 由于eBPF中没有timer机制 IPVS 如何做SNAT？ 优化方法评价 • 优势 • 大大缩短了数据通路，完全绕过了conntrack/iptables • 不足 • 对内核模块做了一定的修改，部署更困难 03 和业界方法比较 V.S. 纯粹的eBPF service 和其他的优化方法对比 V.S. Taobao IPVS SNAT patch • 复用了IPVS

2017/11)技术选型 • 全面上云为什么要用神龙？ • 高性能：去掉了虚拟化带来的 8% 的性能损耗 • 支持二次虚拟化：使多样虚拟化技术 (Kata, Firecracker 等) 的探索和创新成为 可能 • ASI (k8s) + 容器 (runc / runv / kata / ..) + 神龙 = 阿里云原生化 的最佳组合 • 最大的电商平台之一，并池最佳化资源利用率 • 大规模混部、优先级差异化提升资源使用效率 业务线多、应用数量多、应用类型复杂 (有状态、无状态、多语言) • 基础环境复杂 • 大规模 在线、离线 混部 (运维打通) • 装机模板、OS版本、内核版本多；内核补丁、参数不同；其他如网卡中断打散 • 稳定性要求高 • 性能、宕机、夯机、抖动系统架构 • 基础监控 • 秒级、分钟级监控 • 内核性能指标采集 • 监控大盘 • 在线率 • 宕机率 • 抖动率 • 基线系统 • 基础环境一致性故障自愈 (1-5-10) (doc) 本盘数据不能 迁移运维实践 - 宕机率分析 • 宕机关联度分析 • 宕机趋势 • 机房、单元、分组 • 机型、硬件特征 • 内核版本、hotfix 一致率 • 宕机根因分析诊断 • 硬件故障、运维事件 • vmcore 归类分析 • 内核错误日志分析Machine Operator • 全生命周期 • 导入 • 下线 • 维护 • 组件终态 • 安装 • 升级 •

5
-
结论15
6
-
附录16
7
-
关于GigaOm19
8
-
关于API720
1
-
摘要
本报告重点介绍了部署在云上的API管理平台。云让企业通过微服务快速地构建差异和创新，在⼏分钟 内就能完成API节点的克隆和扩展。与本地部署相⽐，云有良好的扩展性，能更快地进⾏服务器部署和 应⽤程序开发，且能降低计算成本的开销。 更重要的是，许多组织也依赖API和微服务来实现 混合云
-
混合云
API
管理⽅案允许企业部署、配置在⾃⼰选的云上。例如，可以选择亚⻢逊云（AWS
EC2）或者
Azure
虚拟机来安装
API
组件（管理⼯具和端点），能⾃由配置
CPU
内核、内存、存储和 ⽹络，能在操作系统层⾯调整环境。这种⽅法的优点是能在企业内部、私有云、公共云或三者混合的 情况下部署。 公有云
-
完全托管的
API
管理解决⽅案是指开箱即⽤的服务产品。部署通常⼜快⼜⽅便，但缺乏精细 GigaOm的建议使企业能够在⽇益复 杂的商业环境中保持竞争，这需要
GigaOm对不断变化的客⼾需求有充分的了解。
GigaOm与企业合作，使⽤成熟的研究⽅法来避开陷阱和错误，规避⻛险和⼒求创新。研究⽅法包括 但不限于采⽤调查、使⽤案例、访谈、投资回报率/TCO、市场前景、战略趋势和技术评测。我们的分 析员拥有
20
多年的经验，为早期采⽤者和企业客⼾提供建议。
GigaOm
保持

通过一致性可推广的应用交付流程实现自助式上云，支持柔性租户体系，动态适配用 户组织架构规划和实时资源分配，基于云原生化的 CI/CD 流水线，集成丰富的工具链 并支持流水线高效并发执行流转，自动化完成应用的构建、部署，创新性引入 Gitops、渐进式交付能力体系，实现应用更精细的管理运维。 涉及的模块：全局管理、容器管理、应用工作台、云原生网络、云原生存储、镜像仓 库 版权 © 2023 DaoCloud CNI 网络支持， 也提供多个 CNI 网络的组合方案。具体方案如下： Cilium + MacVLAN/SR-IOV/IPVLAN + SpiderPool + Multus 此方案适用于高内核版本（4.19.57+）的 Linux 操作系统。 方案以 Multus 为 调度核心，搭配多 CNI，满足不同的网络场景需求，实现跨云跨集群的网络连 通性。 同时还具备灵活的 IPAM 管理能力，基于 理、灵活的 IP 规划及分配。 如果在应用落地场景中未安装 Underlay CNI，可以不安装 SpiderPool。 3. Cilium 作为高性能 Overlay CNI，提供 eBPF 内核加速，实现跨集群 Pod 通 信和跨集群 Service 通信，以及支持灵活的细粒度网络策略下发和丰富的流 量观测能力。 版权 © 2023 DaoCloud 第 16 页 在此方案组合中，Cilium

凡泰极客联合创始人杨涛 1 移动应用开发现状 2 小程序发展趋势 3 移动应用如何利用小程序转型升级 4 实战操作 为何小程序是当下流行且应用场景广泛的新一代技术生态 通过打造小程序生态，企业的数字化创新能力将得到什么样的松绑、激活 如何基于Rancher容器云平台快速搭建小程序，扩大企业数字化系统生态 传统移动应用开发模式以及转型升级顾虑 #移动应用开发现状# 单体应用 工具型APP 服务化、模块化 需要数分钟，而docker容器应用，由 于直接运行于宿主内核，无需启动完 整的操作系统，可以做到秒级，大大 的节约了开发测试，部署的时间。 敏捷性 使用 Docker 可以通过定制应用镜像 来实现持续集成、持续交付、部署。 持续交付和部署 开发过程中常见的问题是环境一致性问题。 由于开发环境、测试环境、生产环境不一致 ，导致有些 bug 并未在开发过程中发现。 而 Docker 的镜像提供了除内核外完整的运 行时环境，确保了应用运行环境一致性

许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个应用程序随身携带自己的依赖项。创建容器化应用程序有很多好处。 1.1.2.1. 操作系 操作系统的好 的好处 容器使用不含内核的小型专用 Linux 操作系统。它们的文件系统、网络、cgroups、进程表和命名空间与 主机 Linux 系统分开，但容器可以在必要时与主机无缝集成。容器以 Linux 为基础，因此可以利用快速创 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 理工具和流程是 OpenShift Container Platform 4.2 Linux CoreOS (RHCOS) 作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.2 集群中的每一

许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个应用程序随身携带自己的依赖项。创建容器化应用程序有很多好处。 1.1.2.1. 操作系 操作系统的好 的好处 容器使用不含内核的小型专用 Linux 操作系统。它们的文件系统、网络、cgroups、进程表和命名空间与 主机 Linux 系统分开，但容器可以在必要时与主机无缝集成。容器以 Linux 为基础，因此可以利用快速创 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 理工具和流程是 OpenShift Container Platform 4.3 Linux CoreOS (RHCOS) 作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.3 集群中的每一