原生架构的应用程序应该：采用开源堆栈（k8s+Docker）进行容器化，基于微 服务架构提高灵活性和可维护性，借助敏捷方法、DevOps 支持持续迭代和运维 自动化，利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。 云原生安全威胁分析与能力建设白皮书 12 1.1.2 云原生安全 云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题， 其作为一种新兴的安全理念，强调 进行容器逃逸，然后获得宿主机的控制权。 2.2.2 镜像仓库攻击 这里指的是攻击受害者本地的镜像仓库，如 Harbor[8]、Docker Registry[9] 等。其中 Harbor 镜像库从发布开始就被爆出权限提升、枚举、SQL 注入、CSRF 等多项漏洞。除此之外，如果私有镜像仓库由于配置不当而开启了 2357 端口， 将会导致私有仓库暴露在公网中，攻击者可直接访问私有仓库并篡改镜像内容， 造成仓库内镜像的安全隐患。 的攻击目标，虽然可能已经建立了 SAST 能力，但许多漏洞只能通过对正在运行 的动态应用程序进行安全测试才能发现，需尽可能构建多样化互补的安全自动化 测试能力，让应用中存在的安全漏洞、不安全的隐患尽可能在上线前暴露出来并 及时修复，降低应用研发迭代过程中的安全问题修复成本，以及线上安全风险， 重点能力包括动态应用安全测试、交互式应用安全测试。 （1）动态应用安全检测 DAST 通过模拟实际攻击来评估应用程序的安全性。DAST

VMware vSphere 支持在 OpenShift Container Platform 中原生动态持久性卷 (PV)置备。 OpenShift Container Platform 3.11 扩 扩展和性能指南 展和性能指南 18 2. NetApp NFS 在使用 Trident 插件时支持动态 PV 置备。 3. 供应商 GlusterFS、供应商 S3 和供应商 Swift 支持性和可配置性可能有所不同。 NFS 实现可能没有这些问题。如需了解更多与此问题相关的信息，请联络相 关的 NFS 厂商。 5.3.1.5. 应 应用程序 用程序 应用程序的用例会根据不同应用程序而不同，如下例所示： 支持动态 PV 部署的存储技术的挂载时间延迟较低，且不与节点绑定来支持一个健康的集群。 应用程序开发人员需要了解应用程序对存储的要求，以及如何与所需的存储一起工作以确保应用 程序扩展或者与存储层交互时不会出现问题。 应 应用程序 用程序类 类型 型 5-10 静态文件/web 服务器或者缓存代理 100-1000 生成动态内容的应用程序 取决于所使用的技术，HAProxy 通常可支持 5 到 1000 个程序的路由。路由器性能可能会受其后面的应用 程序的能力和性能的限制，如使用的语言，静态内容或动态内容。 应该使用 路由器分片 为应用程序提供更多路由，并帮助水平扩展路由层。 8.1.2. 性能优化 8

复杂，我们正在深思如何在 小型设备上运行大语言模型，特别是在边缘设备和资源受限的环境中。我们还提到有望提高性能的 ReAct 提示 工程，以及利用大语言模型驱动的自主代理开发远超简单的问答交互的动态应用。我们也提到一些向量数据库 （包括 Pinecone）由于大语言模型而重新流行起来。大语言模型的底层能力，包括更专业化和自行托管的能力， 将继续呈爆发性增长。 远程交付解决方案日臻成熟 响进一步推动了这一领域的创新，巩固了向 完全远程或混合工作演进的趋势。在本期技术雷达中，我们讨论了远程软件开发实践和工具的成熟，和团队们 如何继续以有效协作为重点，不断突破界限，在一个更加分散和动态的环境中进行工作。一些团队利用新的协 作工具不断提出创新解决方案。其他团队则继续调整和改进现有的面对面实践，例如实时结对编程或集体编程、 分布式工作坊（例如 远程事件风暴）以及异步和同步沟通。远 web 组件 新的 挪进 / 挪出 没有变化 © Thoughtworks, Inc. All Rights Reserved. 12 技术 1. 设计系统 采纳 随着应用开发变得越来越动态和复杂，交付风格一致且好用的产品成为了一项挑战，尤其是在有多个团队参与 不同产品开发的大型组织中。设计系统定义了一系列的设计模式、组件库以及良好的设计和工程实践，以确保 数字产品的一致性。设计系

SLA。 我们离不开 VMware。” — Tom Gibaud，ViaHealth/Rochester General Hospital 信息技术经理 没有实时迁移的虚拟化限制了 IT 的实际动态性和灵活性，因为此功能是共享 IT 服务平台的核心支 持因素。当虚拟机从一个服务器移动到另一个服务器，或从一个存储阵列移动到另一个存储阵列时， 此功能可以消除所有应用程序停机，并使最终用户察觉不到任何中断。 Citrix XenServer 5.0 用于实现零应用程序停机的 实时虚拟机迁移 � � � 用于对服务器进行修补的 零应用程序停机“维护模式” � � � 采用动态工作负载布局的 维护模式 � � � 采用灵活的自动化规则的 维护模式 � � � 实时存储迁移 � � � 10 聚合：将彼此隔离的资源转换为共享池 VMware 。这样可以确保企业充分利用资源，而且在 需要时有正确的资源可用。 VMware DRS 持续监控资源池中的资源利用率，并可智能地根据业务需求来调整资源，从而使您能 够： • 将 IT 资源动态分配给优先级最高的应用程序。创建规则和策略，以便按照优先级将资源分配到 虚拟机。 • 给予业务部门 IT 自主性。为业务部门提供专用的 IT 基础架构，同时仍通过资源池获得较高的 硬件利用率。

面向运维服务化之后，数据库怎么办？ 服务 • 无状态 • 根据规则路由 • 业务方处理事务 数据库 • 有状态 • 根据SQL路由 • 数据库自动处理事务数据库的进化趋势 • SQL • ACID • 分布式 RDBMS • SQL • BASE ACID • 分布式 NoSQL • SQL • ACID+BASE • 分布式 NewSQLNewSQL的分类 New Architecture Middleware Database-as-a-Service What's Really New with NewSQL?数据库中间层的优势 系统 •事务 运维 • DBA 开发 • SQL数据库中间层应具备的能力 分片化 多副本 数据一致性 弹性化 治理能力 观察能力数据分片 App2 DB App1 App3 App2 DB1 DB2 DB3 App1 App3数据分片：引入中间件 UPDATE&DELETE • SELECT • 记录 SQL逆向 • INSERT -> DELETE • UPDATE -> UPDATE • DELETE -> INSERT 隔离级别 • 无隔离 • 版本控制 • 记录锁 • 影子表弹性伸缩：数据迁移 迁移监听 在线双写 离线迁移 数据源切换 冗余数据清 理治理监控 配置动态化 负载均衡 熔断 & 禁用 安全 & 权限

相关的虚拟机将会自 动在其他拥有多余容量的生产服务器上重新启动。 � VMware Distributed Resource Scheduler (DRS) - 一种通过为虚拟机收集硬件资 源，动态地分配和平衡计算容量的功能。它包括可显著减少数据中心功耗的分布式 电源管理 (DPM) 功能。 � VMware Consolidated Backup (Consolidated Backup) IT 基础架构，包括服务器、存储器和网络。它聚合 这些异类资源并在虚拟环境中提供一组简单且统一的元素。使用 VMware Infrastructure， 可像管理共享实用程序一样管理 IT 资源并将其动态置备给不同的业务部门和项目，而 无需担心基础硬件差异和限制。 图 3 显示虚拟数据中心的重要元素。使用 VirtualCenter Server 可查看、配置和管理这 些重要元素。这些元素包括： 3. 虚拟数据中心架构 主机是运行 ESX Server 的物理机的计算和内存资源的虚拟表示。当一个或多个物理机 组合在一起工作并作为一个整体来管理时，聚合计算和内存资源就形成群集。物理机可 以动态添加或从群集移除。从主机和群集中获得的计算和内存资源能够被精细地分区成 资源池的层次结构。 VMware, Inc. 15 VMware Infrastructure 简介 数据存储是

系统。 Docker 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文 件外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。镜像 不包含任何动态数据，其内容在构建之后也不会被改变。 分层存储 因为镜像包含操作系统完整的 root 文件系统，其体积往往是庞大的，因此在 Docker 设计 时，就充分利用 Union FS 的技术，将 "<路径2>"...] VOLUME <路径> 之前我们说过，容器运行时应该尽量保持容器存储层不发生写操作，对于数据库类需要保存 动态数据的应用，其数据库文件应该保存于卷(volume)中，后面的章节我们会进一步介绍 Docker 卷的概念。为了防止运行时用户忘记将动态文件所保存目录挂载为卷，在 Dockerfile 中，我们可以事先指定某些目录挂载为匿名卷，这样在运行时如果用户不指定挂 ca-certificates WORKDIR /go/src/github.com/go/helloworld/ COPY app.go . RUN go get -d -v github.com/go-sql-driver/mysql \ && CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app . \ && cp /go/src/github

1:1的operator部署运维复杂 • 不同框架对作业管理、并行计算等要求不通 • 计算密集，资源波动大，需要高级调度能力 资源规划复用、异构计算支持不足 • 缺少队列概念 • 不支持集群资源的动态规划以及资源复用 • 对异构资源支持不足 传统服务 大数据 人工智能 云原生大数据平台 大数据、AI等批量计算场景 云原生化面临的挑战 Volcano 架构 项目概况： • 业界首个云原生批量计算平台 Tensorflow、Spark等。 2. 丰富的高阶调度策略 公平调度、任务拓扑调度、基于SLA调度、作业抢占、回填、弹性调度、 混部等。 3. 细粒度的资源管理 提供作业队列，队列资源预留、队列容量管理、多租户的动态资源共享。 4. 性能优化和异构资源管理 调度性能优化，并结合 Kubernetes 提供扩展性、吞吐、网络、运行时的 多项优化，异构硬件支持x86, Arm, GPU, 昇腾，昆仑等。 Volcano Management Data Science in a box (Advanced analytics toolbox) • Data Discovery • Metadata engine • SQL+BI toolset • Dashboarding Information reference： https://volcano.sh/en/blog/ing_case-en/ 业务场景:

使整体性能和有效性降低一个数量级乃至更多。 Hadoop Yet Another Resource Negotiator(YARN) 纳入了MapReduce的资源管理功能，并将它们内置其 中，这样需要在Hadoop群集间动态执行的其他应用即可 使用它们。结果是，这种方法可将大规模可扩展数据集成 引擎作为本机 Hadoop应用程序来实现，而且不会影响 MapReduce的性能。希望在Hadoop上实现可扩展性和 ETL工作负载会导致查询SLA降级，最终需要您额外投 资购买昂贵的EDW容量。 • 数据被转储到EDW之前未清理数据，一旦进入EDW环 境将永远无法进行清理工作，继而导致数据质量较差。 • 企业持续严重依赖手动编码SQL脚本来执行数据转换。 • 添加新数据源或修改现有ETL脚本较为昂贵并且需要很 长的时间，限制了快速响应最新需求的能力。 • 数据转换相对简单，因为无法使用ETL工具将较为复杂 的逻辑推送到RDBMS。 手动编码和工具成果来源：IBM制药客户示例 12 大数据集成与 Hadoop 最佳实践2：整个企业采用一个数据集成和治理平台 过度依赖向RDBMS推送ETL（由于缺乏可扩展数据集成软 件工具）会妨碍很多企业替换SQL脚本手动编码，更不要说 在企业中建立有效的数据治理机制。然而，他们意识到将大 型ETL工作负载从RDBMS迁移至Hadoop将会节约巨额成 本。尽管如此，从RDBMS中的ETL手动编码环境迁移至ETL

GemFire® 提供一系列强大的基础数据服务 Data & Analytics Transformation 具有多种部署方式的数据库和消息队列软件， 快速发现洞察并采取行动 VMware SQL Postgres & MySQL VMware RabbitMQ® 消息代理 & 日志流 VMware Greenplum® VMware Tanzu Data Science Services warehouse Data Management On-demand AI w/ Data Scientists © Data Management for Control Plane SQL Curated Postgres & MySQL Data Science Services On-demand AI with Data Science Application Transformation ETL: Extract, Transforming, Loading ❖ CDC: Changed Data Capture © VMware 数据解决方案 产品组合 VMware SQL OSS SQL Database (Postgres & MySQL) VMware RabbitMQ Message Broker VMware GemFire In-Memory Data-Grid