云原⽣图数据库解谜、容器化实 践与 Serverless 应⽤实操 古思为 ⽅阗 Graph DB on K8s Demystified and its Serverless applicaiton in actions. DEVELOPER ADVOCATE @ MAINTAINER OF KCD China 2021 Nov. 6th @Shanghai 古思为 wey-gu ⻘云科技研发⼯程师 Overview 了解 K8s 上的 Serverless 计算平台搭建实践：OpenFunction K8s 上的图数据库基于 KubeBuilder 的 Operator 实现，解谜图数据库的知识与应⽤ 上⼿ K8s 上的云原⽣图数据库、从零到⼀构建 Serverless 架构的智能问答助⼿ siwei.io/talks/2021-KCD laminar.fun/talks/2021-KCD com/OpenFunction/samples 图数据库简介 什么是图？ 什么是图数据库？ 为什么我们需要⼀个专⻔的数据库？ 什么是图？ "以图结构、图语义来⽤点、边、属性来查询、表示存 储数据的数据库 wikipedia.org/wiki/graph_database 了解更多关于 什么是图数据库 什么是图数据库 为什么需要图数据库？ 传统数据库 图数据库 图模型的结构 图语义的查询 性能 Nebula

Infrastructure 简介 10 VMware, Inc. VMware Infrastructure 各个组件间的关系如 图 1 中所示。 图 1. VMware Infrastructure VMware Infrastructure 包括 图 1 中所示的下列组件： � VMware ESX Server - 一个在物理服务器上运行的健壮的、经过生产验证的虚拟化 层， 数据中心的物理拓扑 如图 2 所示，典型的 VMware Infrastructure 数据中心由基本物理构建块组成， 例如 x86 计算服务器、存储网络和阵列、 IP 网络、管理服务器和桌面客户端。 图 2. VMware Infrastructure 数据中心物理拓扑 计算服务器 计算服务器是在裸设备上运行 VMware ESX Server 的业界标准 x86 服务器。 ESX Server 资源并将其动态置备给不同的业务部门和项目，而 无需担心基础硬件差异和限制。 图 3 显示虚拟数据中心的重要元素。使用 VirtualCenter Server 可查看、配置和管理这 些重要元素。这些元素包括： � 计算资源和内存资源，分别称为主机、群集和资源池 � 称为数据存储的存储资源 � 称为网络的网络资源 � 虚拟机 图 3. 虚拟数据中心架构 主机是运行 ESX Server 的物

以确保其在经济、军事、科技等领域的领先地位。欧洲、亚洲等主 要国家纷纷发布国家战略或计划，推动云计算在各行业的应用布局， 深度挖掘云计算产业价值。我国政策指引云计算应用创新，持续推 动云计算与实体经济融合走深。 二是全球云计算市场稳定增长，我国保持快速发展。2022 年， 全球云计算市场规模为 4,910 亿美元，增速 19%，预计在大模型、 算力等需求刺激下，市场仍将保持稳定增长，到 ........ 37 图 目 录 图 1 全球云计算市场规模及增速（亿美元）.........................................................3 图 2 2022 年全球各区域云计算市场规模占比.........................................................4 图 3 2022 年全球主要厂商的云计算业务营收（亿美元） ...................5 图 4 中国云计算市场规模及增速（亿元）...........................................................13 图 5 中国云计算细分领域市场规模及增速（亿元）...........................................14 图 6 2022 年中国公有云 IaaS 厂商市场占比

前向传播、反向传播和计算图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 4.7.1 前向传播 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 4.7.2 前向传播计算图 . . . 深度循环神经网络 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 9.3.1 函数依赖关系 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 9.3.2 简洁实现 . . . 另一个是更实际的示例，我们使用深度学习框架的高级API编写简洁的代码。一旦我们教了您一些组件是如 何工作的，我们就可以在随后的教程中使用高级API了。 内容和结构 全书大致可分为三个部分，在 图1 中用不同的颜色呈现： 目录 3 图1: 全书结构 • 第一部分包括基础知识和预备知识。1节 提供深度学习的入门课程。然后在 2节 中，我们将快速介绍实 践深度学习所需的前提条件，例如如何存储和处理数据，以及如何应用基于线性代数、微积分和概率基

5 图 目 录 图 1 云原生四要素.....................................................................................10 图 2 云原生四要素的基本含义..................................................................11 图 3 云原生安全框架 ...... 13 图 4 云原生安全能力体系......................................................................... 16 图 5 云原生关键技术威胁全景..................................................................19 图 6 容器镜像安全风险. ........ 21 图 7 容器运行时安全风险......................................................................... 23 图 8 针对 k8s 进行攻击的路径分析......................................................... 27 图 9 针对微服务进行攻击的路径分析

后，在其上运行一个完整操作系统，在该系统上再运行所需应用进程；而容器内的应用进程 直接运行于宿主的内核，容器内没有自己的内核，而且也没有进行硬件虚拟。因此容器要比 传统虚拟机更为轻便。 图 1.4.1.1 - 传统虚拟化 什么是 Docker 15 图 1.4.1.2 - Docker 什么是 Docker 16 为什么要使用 Docker？ 作为一种新兴的虚拟化方式，Docker 跟传统的虚拟化方式相比具有众多的优势。 关于镜像构建，将会在后续相关章节中做进一步的讲解。 镜像 20 Docker 容器 镜像（ Image ）和容器（ Container ）的关系，就像是面向对象程序设计中的 类 和 实例 一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删 除、暂停等。 容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的 命 名空间。因此容器可以拥有自己的 f753707788c5 f753707788c5 1e0c3dd64ccd --filter 配合 -q 产生出指定范围的 ID 列表，然后送给另一个 docker 命令作为参数，从 而针对这组实体成批的进行某种操作的做法在 Docker 命令行使用过程中非常常见，不仅仅是 镜像，将来我们会在各个命令中看到这类搭配以完成很强大的功能。因此每次在文档看到过 滤器后，可以多注意一下它们的用法。

过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： Istio 服务网格。它所提供的拓扑结构可以帮助您了解服务网格的结构，并提供服务网 格的健康状况信息。 Kiali 实时提供命名空间的交互式图形视图，可让您了解诸如电路断路器、请求率、延迟甚至流量图等功 能。Kiali 提供了从应用程序到服务以及负载等不同级别的组件的了解，并可显示与所选图形节点或边缘的 上下文信息和图表的交互。Kiali 还提供了验证 Istio 配置（如网关、目的规则、虚拟服务、网格策略等 Platform (cluster API) API 来获取和解析服务网格 配置。Kiali 通过查询集群 API 获取信息，如获取命名空间、服务、部署、pod 和其他实体的定 义。Kiali 还提供查询来解析不同集群实体之间的关系。另外，还可以通过查询集群 API 以获取 Istio 配置，比如虚拟服务、目的规则、路由规则、网关、配额等等。 Jaeger - Jaeger 是可选的，但会作为 Red

策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥 遥测 测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.3.3. Red Hat OpenShift Service Mesh 1.1.2 版中包含的组件版本 组 组件 件 版本 版本 Istio istio-proxy 中的分段错误。 MAISTRA-932 添加了 requires 元数据，以添加 Jaeger operator 和 Elasticsearch operator 之间 的依赖关系。确保在安装 Jaeger operator 时，它将自动部署 Elasticsearch operator（如果不可 用）。 MAISTRA-862 Galley 在多次命名空间删除和重新创建后丢弃了监控并停止了向其他组件提供配 Istio 服务网格。它所提供的拓扑结构可以帮助您了解服务网格的结构，并提供服务网 格的健康状况信息。 Kiali 实时提供命名空间的交互式图形视图，可让您了解诸如电路断路器、请求率、延迟甚至流量图等功 能。Kiali 提供了从应用程序到服务以及负载等不同级别的组件的了解，并可显示与所选图形节点或边缘的 上下文信息和图表的交互。Kiali 还提供了验证 Istio 配置（如网关、目的规则、虚拟服务、网格策略等

以被界定。它们⽐VM更容易构建，并且由于它们与 底层基础架构和宿主机⽂件系统解耦了，可实现跨云、跨操作系统的移植。 由于容器⼩⽽快，因此可在每个容器镜像中包装⼀个应⽤程序。这种⼀对⼀的应⽤到镜像关系解锁了容器的全部优势。 使⽤容器，可以在构建/发布期间（⽽⾮部署期间）创建不可变的容器镜像，因为每个应⽤程序⽆需与其余的应⽤程序 栈组合，也⽆需与⽣产基础架构环境结合。 在构建/发布期间⽣成容器 官⽅出品、部署较简单、懂Ansible就能上⼿ 不够透明 RKE 部署较简单、需要花⼀些时间了解RKE的cluster.yml配置 ⽂件 不够透明 ⼿动部署 第三⽅操作⽂ 档 完全透明、可配置、便于理解K8s各组件之间的关系 部署⾮常麻烦，容易出 错 其他诸如Kops之类的⽅案，由于⽆法跨平台，或者其他因素，被我pass了。 最终，笔者决定使⽤Kubespray部署Kubernetes集群。也希望⼤家能够⼀起讨论，总结出更加好的部署⽅案。 遵循相同的schema更改准则——以下所有描述都涵 盖了两种格式。 请注意，API版本控制和软件版本控制仅仅是间接相关的关系。 API and release versioning proposa（API和版本发布 提案）l 描述了API版本控制和软件版本控制之间的关系。 不同的API版本意味着不同程度的稳定性和⽀持。API Changes documentation 详细描述了每个级别的标准。概括如

能访问执行其角色所需的资源。 服 服务帐户 务帐户 服务帐户供集群组件或应用程序使用。 系 系统 统用 用户 户 安装集群时自动创建的用户。 users 用户是可以向 API 发出请求的实体。 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置 用户身份验证，并确保只有 Platform 配置身份验证。 2.1. 用户 OpenShift Container Platform 中的用户是可以向 OpenShift Container Platform API 发出请求的实体。 OpenShift Container Platform User 对象代表操作者，通过向它们或所在的组添加角色为其授予系统中的 权限。通常，这代表与 OpenShift Container Platform 为它不会列出绑定到真正集群管理员的集群角色绑定。然而，它会列出可用来本地绑定 cluster-admin 的 本地角色绑定。 下方展示了集群角色、本地角色、集群角色绑定、本地角色绑定、用户、组和服务帐户之间的关系。 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 72 警告 警告 当它们被应用到一个角色时，get pods/exec, get pods/*