ii. 创建 tomcat/weblogic 集群 iii. 多台物理主机之间的容器互联 iv. 标准化开发测试和生产环境 12. 安全 i. 内核名字空间 ii. 控制组 iii. 服务端防护 iv. 内核能力机制 v. 其它安全特性 vi. 总结 13. Dockerfile i. 基本结构 ii. 指令 iii. 创建镜像 14. 底层实现 i. 基本架构 ii --bridge=BRIDGE --指定容器挂载的网桥 --bip=CIDR --定制 docker0 的掩码 -H SOCKET... or --host=SOCKET... --Docker 服务端接收命令的通道 --icc=true|false --是否支持容器之间进行通信 --ip-forward=true|false --请看下文容器之间的通信 --iptables=true|false Docker —— 从入门到实践 78 标准化开发测试和生产环境 评估 Docker 的安全性时，主要考虑三个方面: 由内核的名字空间和控制组机制提供的容器内在安全 Docker程序（特别是服务端）本身的抗攻击性 内核安全性的加强机制对容器安全性的影响 安全 Docker —— 从入门到实践 79 安全 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用 docker

名称，消息发送 topic 名称，使用的队列 数量为 DefaultMQProducer#defaultTopicQueueNums，即默认为 4。 Step4：Broker 端收到消息后的处理流程 服务端收到消息发送的处理器为：SendMessageProcessor，在处理消息发送时， 会调用 super.msgCheck 方法： AbstractSendMessageProcessor#msgCheck 端不存在该主题的路由配置(路由信息),此时如果 Broker 中存在默认主题的路由配 置信息，则根据消息发送请求中的队列数量，在 Broker 创建新 Topic 的路由信息。这样 Broker 服务端就会存在主题的路由信息。 在 Broker 端的 topic 配置管理器中存在的路由信息，一会向 Nameserver 发送心跳 包，汇报到 Nameserver，另一方面会有一个定时任务，定时存储在 Topic 的路由信息，如果存在，说明启用了 autoCreateTopi cEnable，则在 TopicConfigManager 中创建新 Topic 的路由信息，此时存在与 Broker 服务端的内存中，然后本次消息发送结束。此时，在 NameServer 中还不存在新创建的 Topic 的路由信息。 这里有三个关键点： 1. 启用 autoCreateTopicEnable 创建主题时，在

Docker Swarm Swarm mode 基本概念 创建 Swarm 集群 部署服务 使用 compose 文件 管理敏感数据 管理配置信息 安全 内核命名空间 控制组 服务端防护 内核能力机制 其它安全特性 总结 底层实现 基本架构 4 1.18.2 1.18.3 1.18.4 1.18.5 1.18.6 1.19 1.19.1 1.19.2 Registry 服务。在 私有仓库 一节中，会有进 一步的搭建私有 Registry 服务的讲解。 开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现，足以支持 docker 命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级 功能。在官方的商业化版本 Docker Trusted Registry 中，提供了这些高级功能。 际上，一切都是使用的远程调用形式在服务端（Docker 引擎）完成。也因为这种 C/S 设计， 让我们操作远程服务器的 Docker 引擎变得轻而易举。 当我们进行镜像构建的时候，并非所有定制都会通过 RUN 指令完成，经常会需要将一些本地 文件复制进镜像，比如通过 COPY 指令、 ADD 指令等。而 docker build 命令构建镜像，其 实并非在本地构建，而是在服务端，也就是 Docker

Thrift over TCP Thrift over TCP JSON over HTTP JSON over HTTP多语言服务端接入 • Registry Agent • sidecar • 注册代理 • 健康检查 • 服务端受限于Proxy支持的协 议（目前只支持HTTP 1.1） Local Proxy Web Server Service Registry Proxy已经增加了一跳，server再增加一跳会加剧 性能压力 • 部署考虑 • 服务端agent成为必选项会增加运维压力 • OSP server默认没有agent，web server只带一个 服务注册agent • 服务端的一些治理、trace、鉴权功能通过代码插 件的方式实现 • 治理效果考虑 • 服务端嵌入治理功能可以让治理效果更好，如提 供主动GC、线程池隔离等 • 因为是内部项目，优雅性和治理效果之间，选择

险 。 例 如 Docker Socket 套 接 字 文 件 （/var/run/docker.sock）、宿主机的 procfs 文件等敏感文件。 程序漏洞导致的容器逃逸：参与到容器生态中的服务端、客户端程序自身存 在的漏洞都可能导致容器逃逸的风险，例如 CVE-2019-5736 漏洞。 2.3.3 拒绝服务攻击 由于容器与宿主机共享 CPU、内存、磁盘空间等硬件资源，且 Docker 管理而故意留的一些接口，导致内部服务的暴露，使得编排组件存在一个潜在的 攻击点。比如 Mysql 对外服务存在弱口令登录的问题，目标系统的其中一个节 点通过 NodePort 对外映射了 Mysql 服务端口，且经过尝试，通过弱口令可登 云原生安全威胁分析与能力建设白皮书 28 录。这种情况就属于是管理员的安全意识不足引起的服务对外暴露风险，相应的 攻击行为即服务对外暴露攻击。 2.4.3 业务 的数据进行分析，并进行下一步的攻击。 权限设计不合理导致的攻击：权限设计不合理可能导致水平越权、垂直越权 和数据越权等攻击行为。水平越权，由于服务端在接收到客户端请求数据后进行 操作时没有判断数据的所属对象，致使用户 A 可以访问到属于同一角色的用户 B 的数据。 垂直越权，由于服务端没有设置权限控制或权限控制存在缺陷，导致恶意用 户只要猜测到管理页面的 URL 地址或者某些用于标识用户角色的参数信息等，

Kubernetes架构 l 服务端组件，控制面：API Server、Scheduler、 Controller-Manager、ETCD l 工作负载节点，最核心就是监控Pod容器和节点本 身，也要关注 kubelet 和 kube-proxy l 业务程序，即部署在容器中的业务程序的监控，这 个其实是最重要的 随着 Kubernetes 越来越流行，几乎所有云厂商都提供 了托管服务，这就意味着，服务端组件的可用性保障交 的 sdk，截获请求之后通过 UDP 推送给兼容 statsd 协议的 agent（比如telegraf、datadog-agent），这些 agent 在内存里做指标计算聚 合，然后把结果数据推给服务端。因为是 UDP 协议，fire-and-forget，即使 agent 挂了，对业务也没啥影响 • prometheus sdk 作为另一种埋点方式，聚合计算逻辑是在 sdk 里完成，即在业务进程的内存里完成，对此介意 statsd 数据流向 • 推荐做法：如果是容器环境，Pod 内 sidecar 的方式部署 statsd；如果是物理机虚拟机环境，每个机器上部署一 个 statsd 的 agent，接收到数据之后统一推给服务端 Pod-001 业务 容器 agent Pod-002 业务 容器 agent 监控服 务端 VM-001 业务 进程 agent 监控服 务端 业务 进程

GPU 外设模拟 内测版本仓库 ReleaseMan 版本发布仓库 ReleaseMan 手机APP自动化测试 TestBird 服务端测试 TestMan 云部署 DeployMan 服务端发布 服务端部署 下载 APP发布 下载服务端 AppStore 安卓市场 （华为） 发布 发布 测试管理 TestMan 23 案例：容器服务助力腾科教育，构建新型实验平台，提升课程运营效率

网络过滤器。 • L7层处理流程同outbound方向，区别为inbound通过Router匹配后的目标cluster所指向的上游地址为127.0.0.1。 • 之后创建与本POD内业务容器的服务端口的Socket连接并完成请求发送。 • 由于请求方向在建立时会保存下游与上游连接的双向对应关系，因此Response匹配的对上游进行L7层过滤器解码、通过Router关联关系找到下游并编码发送 HTTP请求（POD1处理类似）。 抓包看到出现短时间内大量Retransmission 2. 超过cluster内建立与目标主机连接的最大重试次数（3次） 3. 原因为客户POD内部署两个对外服务端口，当客户端同时发起对不同服务的访问时，路由结果可能会落 到相同的POD内，第一个连接目标为9080，第二个连接目标为8080。由于目标服务端口不同，通过五元 组规则可知，src-ip:src-port可以相同。而由于目标POD内流量被自动DNAT拦截入15006端口，此时目标 xx.xx.svc.cluster.local - 10.19.100.71:28443 10.13.22.7:34706 - - 原因 分析 1. 对于http1.1协议envoy默认重用与服务端建立的连接 2. 当服务返回响应后，会主动关闭此连接发送FIN 3. Envoy收到响应后，将尝试检测下此连接是否关闭，如果已经关闭就从可用连接列表中移除 4. 存在时间窗口导致envoy检测

监控堆栈中的所有组件都由堆栈监控，并在 OpenShift Container Platform 更新时自动更新。 1.2.4. 用户定义的项目的监控目标 为用户定义的项目启用监控后，您可以监控： 通过用户定义的项目中的服务端点提供的指标。 在用户定义的项目中运行的 Pod。 1.3. OPENSHIFT CONTAINER PLATFORM 监控的常见术语表 此术语表定义了 OpenShift Container Platform 4.10 中，集群组件的监控方式是提取通过服务端点公开的指标。您还可 以为用户定义的项目配置指标集合。 您可以通过在应用程序级别使用 Prometheus 客户端库来定义您要为您自己的工作负载提供的指标。 在 OpenShift Container Platform 中，指标通过 /metrics 规范名称下的 HTTP 服务端点公开。您可以通 过针对 http:///metrics 有关 Prometheus 客户端库的详情，请参阅 Prometheus 文档。 7.2. 为用户定义的项目设置指标集合 您可以创建一个 ServiceMonitor 资源，从用户定义的项目中的服务端点提取指标。这假设您的应用程序 使用 Prometheus 客户端库向 /metrics 规范名称公开指标。 本节介绍了如何在用户定义的项目中部署示例服务，然后创建一个 ServiceMonitor

通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 19. 大语言模型驱动的自主代理 20. 平台编排 21. 自托管式大语言模型 暂缓 22. 忽略 OWASP 十大安全风险榜单 23. 用于服务端渲染（SSR）web 应用的 web 组件 采纳 24. Colima 试验 25. CloudEvents 26. DataOps.live 27. Google Cloud Vertex 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 19. 大语言模型驱动的自主代理 20. 平台编排 21. 自托管式大语言模型 暂缓 22. 忽略 OWASP 十大安全风险榜单 23. 用于服务端渲染（SSR）web 应用的 web 组件 新的 挪进 / 挪出 没有变化 © Thoughtworks, Inc. All Rights Reserved. 12 技术 1. 设计系统 OWASP 十大安全风 险榜单的覆盖范围（Web 应用程序、API、LLM 及其他）、质量以及与持续变化的安全形势的相关性，我们继续 向团队警告不要忽略 OWASP 十大安全风险榜单。 23. 用于服务端渲染（SSR）web 应用的 web 组件 暂缓 自从我们在 2014 年首次提到它们以来，Web 组件已经变得流行起来，总体而言，我们对其的看法是积极的。同 样地，我们通过对采用默认选择 SPA