超级账本项目概览 SACC2017 商用区块链的要求 5 共享账本 智能合约 隐私性 共识算法 多方共享数据 访问权限控制 交易具有合适的可见性 交易需认证身份 用代码描述业务 可验证和签名确认 多方共同认可交易 满足需求的吞吐量 SACC2017 公有链的不足之处 • 比特币、以太坊等公有链项目，不能满足商用的需求 – 无保密性(Confidentiality) 通用公有链平台 管理方式 Linux基金会 社区 社区（众筹） 货币 无 BTC 比特币 Ether 以太币 挖矿 无 有 有 状态数据方式 键值数据、文档数据 交易数据 帐号数据 共识网络 PBFT等 PoW PoW, PoS 网络 公开或私有 公开 公开 隐私性 有 无 无 智能合约 Go, Java等多种开发语言 增加了DAH和Blockstream两家公司的代码 • 项目以Go语言为主 • 90+贡献者 • 5000+commits 13 SACC2017 Hyperledger Fabric 1.0 特点 • 提供了交易的机密性 • 权限管理和控制 • 分离了共识和记账职能 • 节点数动态伸缩 • 吞吐量有望提升 • 可升级的智能合约（chaincode） • 成员服务是高可用 14 SACC2017

《北京市推动先进制造业和现代 服务业深度融合发展的实施意见》 加快云计算等新一代信息技术在 制造业、服务业的创新应用，培育 一批智能经济新业态等。 上海 2023.5 《上海市助力中小微企业稳增长 调结构强能力若干措施》 加强平台服务赋能。推动 25 万家 中小企业上平台上云。对中小企业 与数字化服务商签订的服务合同 给予不超过合同金额 30%的支持。 2022.6 《上海市数字经济发展“十四五” 带宽。 以计算为中心向以数据为中心这一过渡变化，促使算力服务形 成全新架构，体现在三个方面：一是调度对象方面，面向任务的调 度逐渐取代面向资源的调度，用户的计算需求将贯穿算力服务始终； 二是能力结构方面，算力管理与计算解耦，灵活性进一步提升，形 成相辅相成、共同发展的局面；三是产业格局方面，算力服务生态 进一步丰富，数据处理芯片等设备厂商的比重增大，为算力服务的 发展注入新动能。 云计算白皮书（2023 体系，完成调度从单一资源到多样资源的跃迁，如中国移动“九天·算 网大脑”通过对计算任务、算网资源状态等综合判断形成算网融合 编排方案。 （三）模式方面，云计算重构算力服务供需新模式 传统云服务交易模式，主要以使用方与云厂商之间进行“一对 一”租赁模式为主，在云计算演进过程中，这种模式的弊端逐渐显 云计算白皮书（2023 年） 36 露。传统模式下，使用方依靠自身能力决定所选择的云服务类型，

用户与访问控制：帮助用户安全管理资源的访问权限。您可以通过用户与访问控制创 建、管理、删除用户/用户组，并灵活配置用户/用户组权限，来完成用户职能权限的 划分。 ➢ 企业空间：具有层级结构和访问权限控制的资源隔离单元。您可以按照企业开发环 境、部门结构等设置层级结构，并控制哪些人对哪些资源具有访问权限。 ➢ 审计日志：提供资源的操作记录。通过操作记录您可以快速实现安全分析、资源变 更、问题定位等。 ➢ 平台设置 消息队列：常用于消息传输的数据管道 ➢ MinIO 对象存储：非常热门的轻量对象存储方案 ➢ MySQL 数据库：简单易用、性能更高的开源关系型数据库 ➢ RabbitMQ 消息队列：常用于交易数据的传输管道 ➢ Redis 缓存服务：高性能的开源内存数据库 ➢ PostgreSQL 数据库：功能更丰富、扩展性更强的开源关系型数据库 ➢ MongoDB 数据库：面向文档的

公司与项目背景介绍 FreeWheel, A Comcast Company（以下简称FreeWheel）以全方位强化新型电视生态系 统为己任，为客户提供FreeWheel视频媒体解决方案、FreeWheel广告交易市场和 FreeWheel广告主解决方案，致力于满足广告业蓬勃发展的每一处需求。 FreeWheel������������������������������� FreeWheel�����

更灵活的摘除策略：调整权重 应用A 应用B 应用C 应用D 全局摘除：监管控一体 • 维度更加丰富 摘除后动作 • 弹性扩容替换故障机器 离群实例摘除: 单点故障自愈 服务治理中心 订单服务 交易服务 4. 发起调用 3. 获取token 5. 校验签名和规则 6. 审计日志 7. 返回结果 Agent • 规则优先级: 方法级别 > 应用 • 鉴权方式：白名单（允许调用），黑名单（拒绝调用）

OIDC for GitHub Actions 8. 使用 Terraform 创建监控和告警 9. ReAct 提示工程 10. 检索增强生成 11. 基于风险的故障建模 12. 大语言模型半结构化自然语言输入 13. 追踪健康债务状况 14. 对告警规则的单元测试 15. CI/CD 的零信任保护 评估 16. 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 试验 46. AWS Control Tower 47. Bloc 48. cdk-nag 49. Checkov 50. Chromatic 51. Cilium 52. 云服务的碳足迹 53. 容器结构测试 54. Devbox 55. DX DevEx 360 56. GitHub Copilot 57. Insomnia 58. IntelliJ HTTP 客户端插件 59. KEDA 60. OIDC for GitHub Actions 8. 使用 Terraform 创建监控和告警 9. ReAct 提示工程 10. 检索增强生成 11. 基于风险的故障建模 12. 大语言模型半结构化自然语言输入 13. 追踪健康债务状况 14. 对告警规则的单元测试 15. CI/CD 的零信任保护 评估 16. 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps

04 Kubernetes技术在H3Cloud OS中的应用介绍 Kubernetes常见命令介绍 4 www.h3c.com Confidential 秘密 44 Kubernetes基础结构介绍 Kubernetes（来自希腊语，意为“舵手”或者“飞行员”又称为k8s），它是谷歌开源的容器集群管理系统，是谷歌多年大规模 容器管理技术Borg的开源版本。是目前最流行的容器编排技术。 它由谷歌在2014年首次对外宣布 机制、多粒度的资源配额管理能力。 Kubernetes 还提供完善的管理工具，涵盖开发、部署测试、运维监控等各个环节。 5 www.h3c.com Confidential 秘密 55 Kubernetes基础结构介绍 Kubernetes特性： 自动装箱：构建于容器之上，基于资源依赖和其他约束自动完成容器部署。 自我修复：容器故障后自动重启、节点故障后重新调度容器，以及容器自我修复机制。 水平扩展：通过 Confidential 秘密 66 Kubernetes基础结构介绍 Kubernetes架构： 7 www.h3c.com Confidential 秘密 77 Kubernetes基础结构介绍 Kubernetes Master架构组成： 8 www.h3c.com Confidential 秘密 88 Kubernetes基础结构介绍 Kubernetes Node（Worker）架构组成：

我们最终会对Label进⾏索引和反向索引，以便于⾼效的查询、watch、排序、分组等操作。不要使⽤⾮标识的、⼤型的 结构化数据污染Label。对于⾮标识的信息应使⽤⾮标识，特别是⼤型和/或结构化数据来污染Label。 ⾮识别信息应使 ⽤ annotation 记录。 动机 Label使⽤户能够以松耦合的⽅式，将⾃⼰的组织结构映射到系统对象上，客户端⽆需存储这些映射。 服务部署和批处理流⽔线通常是多维实体（例如：多 个分区或部署、多个发布轨道、多个层、每层有多个微服务）。管 理往往需要跨部⻔才能进⾏，这打破了严格层级表现的封装，特别是由基础设施⽽⾮⽤户确定的刚性层次结构。 示例Label： "release" : "stable" , "release" : "canary" "environment" : "dev" , "environment" : "qa" , "environment" 您可以使⽤标签或Annotation将元数据附加到Kubernetes对象。标签可⽤于选择对象并查找满⾜某些条件的对象集合。 相⽐之下，Annotation不⽤于标识和选择对象。Annotation中的元数据可⼤可⼩，结构化或⾮结构化，并且可包括标签 所不允许的字符。 Annotation类似于标签，是键值对映射： "annotations": { "key1" : "value1", "key2" : "value2"

社 区 M e e t u p 第 一 期 · 上 海 站 目录 一、混沌工程的动机 二、Kubernetes 上的混沌工程方案 —— Chaos Mesh 三、Chaos Mesh 的结构，以 NetworkChaos 为例 四、Chaos Mesh 使用案例 混沌工程的动机 事故，任何时候都可能发生 AWS 事故，任何时候都可能发生 Github 关于混沌，我们能知道很多 ● 在测试环境、测试集群中使用 " ● 在 CI 中使用 ○ 使用预先定义的 Github Actions ○ 使用 Kubernetes Client 创建实验 Chaos Mesh 的结构 以 NetworkChaos 为例 ● Controller 向 chaos-daemon 发送请求 ● [Pod network namespace] 设置 ipset 和 iptables

type=podsandbox io.kubernetes.container.restartCount改为 annotation.io.kubernetes.container.restartCoun • Cgroup目录结构发生变化，新增Pod层级 平台容灾 应用容灾 数据容灾 企业内部各个集群灰度运营。 可靠 资源管 理 CPU Memory Disk Space Network TX Network 下图是两个进程都拼命争抢网络带宽时的效果。两个进程的 带宽和时延都得不到任何程度的保证。 ◼队列： 不增加队列， 对每个报文直接在正常代码路径上进行决策 ◼Cgroup区分(标记)： 在正常处理流程中，报文查找到目标socket结构之 后，根据socket的owner process来确定cgroup ◼报文决策： 令牌桶 + 共享令牌池 + 显式借令牌 ◼限速方式： ECN标记 + TCP滑窗 + 丢包 可靠 短信 Email