SOFAMOSN 持续演进路径及实践案例 陈逸凡 wugou.cyf@antfin.com 2019.1.6 Service Mesh Meetup #5 广州站Agenda Ø 背景 & 概览 Ø 持续演进路径 & 技术案例 Ø 实践案例 Ø 规划 & 展望 Ø QA背景 & 概览数据平面概览 SOFAMOSN • C实现，支持多语言扩展 • 基于Nginx扩展 • 开发不活跃 开发活跃，最新版为0.4.0 • 蚂蚁+UC主导，重点搭载 SOFAMesh使用，目标服 务通用场景，金融场景SOFAMOSNSOFAMOSN内部模块设计SOFAMOSN数据流SOFAMOSN数据流持续演进路径 & 技术案例能力 0.1.0 0.2.0 0.3.0 0.4.0 Ø TCP代理/7层通用代理 Ø 简单匹配路由 Ø 集群管理 & 基本负载均衡(RR、 RANDOM) Ø SofaRpc及HTTP/1

1 梁成 腾讯云, barryliang@tencent.com 基于Consul的多Beats接入 管控与多ES搜索编排 2 拥抱开源、释放云原生的力量 • 背景与挑战 • 多Beats/Logstash接入管控 • 多ES搜索编排系统 • 日志AIOps探索 3 背景与挑战 产品数量 人员规模 主机规模 100+ 1000 + 10000 + 如何降低日志接入门槛 并向Master发起Agent注册逻辑，获取agent id 配置获取 从Consul中获取当前agent的配置组列表，并 启动多个采集进程 配置变更感知 watch到Consul对应的agent id路径，实时感 知配置变化，并对启动的进程列表做重启清理 等工作 管理多Beats/logstash Beats等以agent子进程启动其管理这些进程的 cpu/内存等资源 Agent Consul Master 性 15 多ES搜索编排系统 提供多ES多索引搜索编排功能，帮助 业务快速定位异常 16 故障定位遇到的困扰 客服 产品 运维 研发 多es切换 系统切换 采集 高负载 合作伙伴 OthersDB 17 案例:非APM场景下多组件日志搜索探索 ES/ OtherDB 多集群 多索引 上下文 搜索 Kibana 导航 搜索编 排 异常知 识库

��������������� ������� 目录 1、视频搜索的挑战 %、深度学m在视频内容理解h的应用——召回 3、深度学m在语k搜索h的应用——语k表征 4、深度学m在排序h的应用——g性化表征 视频搜索的挑战 1�����/���——���� 2����/�����——���� 3������——������ ��������������� 1������������

YAML 代码。 流程 流程 自定义项目的不同集群角色： 1. 在 Search 视图中，使用 Resources 下拉列表搜索 Console。 2. 在可用选项中，选择 Console operator.openshift.io/v1。 图 图 2.3. 搜索控制台 搜索控制台资 资源 源 3. 在 Name 列表下选择 cluster。 4. 导航到 YAML 选项卡以查看和编辑 YAML 控制台导航菜单顶部的上下文选择器中，选择 Developer。 2. 点击 + Add 3. 在页面顶部，选择要添加到的项目的名称。 4. 单击添加到项目的方法，然后按照工作流操作。 注意 注意 您还可以使用快速搜索在拓扑中添加组件。 2.1.9. 使用 Web 控制台检查项目状态 流程 流程 1. 浏览至 Home → Project。 2. 选择一个项目来查看其状态。 2.1.10. 使用 CLI 或构建器镜像，它会被自动检测并填充到相应 的路径字段中。如果同一存储库中检测到 devfile、Dockerfile 和构建器镜像，则默认选择 devfile。 若要编辑文件导入类型并选择不同的策略，请单击 Edit import strategy 选项。 如果检测到多个 devfile、Dockerfile 或构建器镜像，以导入特定的 devfile、Dockerfile 或构 建器镜像，请指定与上下文目录相关的相应路径。 5

ubuntu:14.04 ，或者 ubuntu:16.04 来具体指定所需哪个版本的镜 像。如果忽略了标签，比如 ubuntu ，那将视为 ubuntu:latest 。 仓库名经常以 两段式路径 形式出现，比如 jwilder/nginx-proxy ，前者往往意味着 Docker Registry 多用户环境下的用户名，后者则往往是对应的软件名。但这并非绝对，取决于所使 用的具体 Docker Stable 或 Edge 版本的 Docker for Windows。 下载好之后双击 Docker for Windows Installer.exe 开始安装。 运行 在 Windows 搜索栏输入 Docker 点击 Docker for Windows 开始运行。 Windows PC 47 Docker CE 启动之后会在 Windows 任务栏出现鲸鱼图标。 等待片刻，点击 44aa4490ce2c ，随后删除了所用到的这个容器 9cdc27646c7b 。 这里我们使用了 docker build 命令进行镜像构建。其格式为： docker build [选项] <上下文路径/URL/-> 在这里我们指定了最终镜像的名称 -t nginx:v3 ，构建成功后，我们可以像之前运行 nginx:v2 那样来运行这个镜像，其结果会和 nginx:v2 一样。 镜像构建上下文（Context）

37 37 OpenShift Container Platform 3.11 CLI 参考 参考 2 7.3. 安装插件 7.3.1. Plug-in Loader 7.3.1.1. 搜索顺序 7.4. 编写插件 7.4.1. plugin.yaml Descriptor 7.4.2. 建议的目录结构 7.4.3. 访问运行时属性 37 38 38 38 39 39 另外，如果集群管理员启用了它，您可以在 web 控制台的 About 页面中下载并解压缩 CLI。 然后，解包存档，并将 oc 二进制文件移到 PATH 的目录中。要查看路径，请运行： 解包存档： 注意 注意 如果不使用 RHEL 或 Fedora，请确保将 libc 安装在库路径的目录中。如果 libc 不可用， 您在运行 CLI 命令时可能会看到以下错误： 2.4. 基本设置和登录 oc login 命令是初始设置 使用以下层次结构和合并规则从工作站检索 CLI 配置文件： 如果设置了 --config 选项，则只加载该文件。标志可能仅设置为一次，也没有合并发生。 如果设置了 $KUBECONFIG 环境变量，则会使用它。变量可以是路径列表，如果将路径合并 在一起。修改值后，会在定义该节的文件中对其进行修改。创建值时，会在存在的第一个文 件中创建它。如果链中不存在任何文件，则会在列表中创建最后一个文件。 否则，将使用 ~/.kube/config

YAML 代码。 流程 流程 自定义项目的不同集群角色： 1. 在 Search 视图中，使用 Resources 下拉列表搜索 Console。 2. 在可用选项中，选择 Console operator.openshift.io/v1。 图 2.3. 搜索控制台资源 3. 在 Name 列表下选择 cluster。 4. 导航到 YAML 选项卡以查看和编辑 YAML 代码。 5 控制台导航菜单顶部的上下文选择器中，选择 Developer。 2. 点击 + Add 3. 在页面顶部，选择要添加到的项目的名称。 4. 单击添加到项目的方法，然后按照工作流操作。 注意 注意 您还可以使用快速搜索在拓扑中添加组件。 2.1.9. 使用 Web 控制台检查项目状态 流程 1. 浏览至 Home → Project。 2. 选择一个项目来查看其状态。 2.1.10. 使用 CLI 检查项目状态 或构建器镜像，它会被自动检测并填充到相应 的路径字段中。如果同一存储库中检测到 devfile、Dockerfile 和构建器镜像，则默认选择 devfile。 若要编辑文件导入类型并选择不同的策略，请单击 Edit import strategy 选项。 如果检测到多个 devfile、Dockerfile 或构建器镜像，以导入特定的 devfile、Dockerfile 或构 建器镜像，请指定与上下文目录相关的相应路径。 5

CVE-2021-39156，其中 HTTP 请求带有片 段（以 # 字符开头的 URI 末尾的一个部分），您可以绕过 Istio URI 基于路径的授权策略。例如，Istio 授 权策略拒绝发送到 URI 路径 /user/profile 的请求。在存在安全漏洞的版本中，带有 URI 路径 /user/profile#section1 的请求绕过拒绝策略并路由到后端（通过规范的 URI path /user/ 且没有片段部分的授权策略。 要从缓解措施中的新行为中选择，将保留 URI 的片段部分。您可以将 ServiceMeshControlPlane 配置为 保留 URI 片段。 警告 警告 如前文所述，禁用新行为将对路径进行规范化，并被视为不安全。在选择保留 URI 片 段之前，确保您已将这些内容放入任何安全策略中。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 包含一个可被远程利用的漏洞，当使用基于路径的授权规则时，带有多个斜杠或转义的斜杠字符 （%2F 或 %5C）的 HTTP 请求路径可能会绕过 Istio 授权策略。 例如，假设 Istio 集群管理员定义了一个授权 DENY 策略，以便在路径 /admin 上拒绝请求。发送到 URL 路径 //admin 的请求不会被授权策略拒绝。 根据 RFC 3986，带有多个斜杠的路径 //admin 在技术上应被视为与

14 分布式追踪 分布式追踪 4 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights TRACING-3431) 1.2.7. 获取支持 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights TRACING-3431) 1.3.7. 获取支持 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights