從微軟角度看 Kubernetes 對公有雲所帶來的改變與挑戰 Tom Lee 雲端解決方案架構師 合作夥伴暨商務事業群 台灣微軟 Policy Routing Telemetry 智慧端點卻連接著笨管線 Smart endpoints, dumb pipes 過去 25 年都是如此運作 服務數量越來越多，端點越來越多，該如何管理 ? 服務網格 Service Mesh 更聰明的管線

Service Mesh是下一代SDN吗？ 从通信的角度看Service Mesh的发展 赵化冰 中兴通讯 软件专家/Istio Committer 2019.10.26 Service Mesh Meetup #7 成都站什么是Service Mesh？- by Willian Morgan(Buoyant) A service mesh is a dedicated infrastructure

青 天。即使如此，在某个方面呈现出类似、接近甚至超越人类智能水平的机器被证明是可行 的。 怎么实现人工智能是一个非常广袤的问题。人工智能的发展主要经历了三个阶段，每 个阶段都代表了人们从不同的角度尝试实现人工智能的探索足迹。早期，人们试图通过总 结、归纳出一些逻辑规则，并将逻辑规则以计算机程序的方式实现，来开发出智能系统。 但是这种显式的规则往往过于简单，并且很难表达复杂、抽象的概念和规则。这一阶段被 如果换一个角度来看待这个问题，它其实可以理解为一组连续值(向量)的预测问题。 给定数据集?，算法需要从?中学习到数据的真实模型，从而预测未见过的样本的输出 值。在假定模型的类型后，学习过程就变成了搜索模型参数的问题。比如假设神经元为线 性模型，那么训练过程即为搜索线性模型的?和?参数的过程。训练完成后，利用学到的模 型，对于任意的新输入?，可以使用学习模型输出值作为真实值的近似。从这个角度来 看，它是一个连续值的预测问题。 张量?，可以在 不改变张量的存储的条件下，将张量?理解为 2 个样本，每个样本的特征是长度 48 的向 量，甚至还可以理解为 4 个样本，每个样本的特征是长度为 24 的向量。同一个存储，从不 同的角度观察数据，可以产生不同的视图，这就是存储与视图的关系。视图的产生是非常 灵活的，但需要人为保证是合理且合法的。 我们通过 torch.arange()模拟生成一个向量数据，并通过 torch.reshape()视图改变函数产

将业务沉淀抽象化(比如 中台化),向上呈现。 • 低代码平台可以把不同 部门的系统、不同类型 的技术，如 RPA、BPM、 微流逻辑等串联在一起， 实现端到端的智能自动 化。是种生态型平台。 高级能力-混合云（资源角度） 控制力 服务、位置、规则可控 高安全 安全自主可控 高性能 硬件加速、配置优化 固定工作负载 私有云 混合云 SLB 工作负载可迁移 敏捷 标准化、自动化、快速响 应 低成本 按需伸缩、按需使用付费 展算力提供基础，同步Data，为隔离底 层云分布，在业务上的一致性上提供基 础。 • SLB会根据算力资源需要进行切流。 • 混合云本质是一种资源运用形式，资源 使用地位不对等，以私有云为主体。 控制台 控制台 高级能力-多云（资源角度） 调研机构Gartner公司指出，80％的内部部署开发软件现在支持云计算或云原生，不断发展的云计算生态系统使企业能够更快、 更灵活、更实时地运营，从而带来竞争压力。接受云原生和多云方法作为一种新 高级能力-分布式云(交付角度） 分布式云（Distributed Cloud）就是分布在不同地理位置的云，是公有云“进化”的最新形态 中心Region 传统公有云 分布式云 覆盖热点区域的 边缘数据中心 客户本地机房的边缘节点或者 边缘计算盒子 粗犷上云 低时延 高弹性 强合规 云边一体纳管 高级能力-去中心化云（服务角度） 中心Region

云原生化的应用主要由两个部分组成，一是支撑应用的云原生计算环境，包 括容器、镜像、镜像仓库、网络和编排系统等。二是云原生化的应用本身，主要 包括微服务、Serverless。图 5 中攻击路径 1 至攻击路径 5，从攻击者角度展 示云原生应用关键技术面临的安全威胁。 图 5 云原生关键技术威胁全景 路径 1：攻击者通过攻击镜像层，改变云原生应用的不可变基础设施，引导 云原生安全威胁分析与能力建设白皮书 20 容器所在宿主机上某种权限下的 命令执行能力，实现容器逃逸的目的。根据不同的原因，容器逃逸方式包括以下 几方面： 内核漏洞导致的容器逃逸：容器本身是一种受到各种安全机制约束的进程， 因此从攻击角度来看，攻击者通过权限提升达到逃逸的目的，一旦有新的内核漏 洞产生，就需要考虑它是否能够用于容器逃逸。 危险配置导致的容器逃逸：Docker 容器基于 Linux 内核中的 Capabilities Rancher、 KubeSphere、KubeOperator 等，k8s 管理平台存在未授权访问、弱口令登 录等安全风险。因为管理平台是直接控制着整个集群的，一旦出现安全问题，危 害十分严重，从安全的角度讲，管理平台应该尽量避免暴露在外网。 2.4.6 第三方组件攻击 k8s 生态中还会使用一些第三方组件，比如服务网格、API 网关等，这些 组件也有可能存在漏洞，比如开源 API 网关 Apache

microservices. Istio项目 微服务角度看Istio: 治理形态的演变 Node 1 svc1 自身业务 SDK Sidecar 服务治理 Node 2 svc 2 自身业务 SDK Sidecar 服务治理 通信基础 服务发现 负载均衡 熔断容错 动态路由 … for (封装++) { 应用侵入--； 治理位置--； } 微服务角度看Istio: 服务网格 服务网格控制面

4 Istio项目5 微服务角度看Istio: 治理形态的演变 Node 1 svc1 自身业务 SDK Sidecar 服务治理 Node 2 svc 2 自身业务 SDK Sidecar 服务治理 通信基础 服务发现 负载均衡 熔断容错 动态路由 … for (封装++) { 应用侵入--； 治理位置--； }6 微服务角度看Istio: 服务网格 服务网格控制面7

Lenovo Internal. All rights reserved. 企业级容器云设计与思考 • 设计思路 从需求出发 需求驱动，勿求大而全，没有银弹 从用户的角度思考 简单，学习成本低，改变成本小 从技术的角度评估 从成本方面衡量 资源利用率，人力成本，投入产出比 从长远技术方向考虑 未来方向，新技术潮流，公司战略 高效，稳定，可扩展 9 2017 Lenovo Internal

虽然可以通过ConfigMap和Secret来实现对应用的配置管理，但不管是有状态应用还是无状态应用，一般都会在应用运行 过程中产生业务数据，那么这部分数据的持久化存储就十分重要。 从存储的使用和管理角度来看： • 存储管理团队：维护存储设备，确保存储的稳定性 • 云平台管理团队：创建StrorageClass或PV，根据资源特性和需求做 好存储的使用规划 • 应用开发团队：按需创建PVC，应用绑定PVC使用存储资源 Autoscaling来应对这种场景。 © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential 应用容器安全性 容器安全性有诸多考量因素，从应用角度来看，至少需要考虑RBAC授权、密钥凭据管理、SecurityContext等，在做应用 容器化时，这些也是应用开发人员所要关注的关键点。 © Copyright 2020 Rancher Labs

配置后端治理策略 等，比如限流规则 定义API或者导入 API 全生命周期API管理-3-Azure API Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布 或者实施与自己 APP的集成。 • API作为产品，可 以给订阅、可以 被交易。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-1 知道 知道的 不知道 Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 云原生PaaS建立在更深 层次的软硬件栈中，而 云原生从某种角度而言 是对OS以及以上资源的 抽象！ 所以问题出现了 问一个具体的问题：在成 千个服务器上的K8S自己 的安装和维护升级谁来负 责？ 标准化能力-让管理和运维更轻松-基础设施即代码-2 云