公司代表作品： Sealos 云操作系统 Laf 函数计算 FastGPT AI 知识库 Sealos 介绍 以 kubernetes 为内核的云操作系统 整个数据中心抽象成一台服务器，一切皆应用，让用云像用个人电脑一样简单！ Kubernetes是云操作系统内核，整个集群是一个整体 Sealos是云操作系统发行版本 Linux发行版，如redhat Linux kernel CPU 内存 Linux kernel CPU 内存 磁盘 有了 sealos 就可以一条命令构建一朵云 抛弃 IaaS PaaS SaaS 拥抱 云内核 架构 传统云计算架构 基于云内核的云计算架构 SaaS PaaS IaaS 分层架构代表 openstack 内核架构代表 linux 我快黄了 我经久不衰 我一锅大杂烩 我高内聚高抽象 我装起来都费劲 我一键安装 我运行起来一堆问题 我小白都能稳定运行 我大道至简海纳百川 不求最好，但求最贵 优秀还便宜 你真的需要虚拟机？真的需要 IaaS 层？ PaaS SaaS 有本质区别？鸭式辩型忘记了？ 云里面，一切皆应用才是王道。 系统架构与设计理念 通用的系统管理入口 所有应用自由安装卸载 极简、高内聚、高度抽象 提供最基础的核心能力 容器管理、编排调度、资源隔离 驱动层实现资源抽象 自由切换，到处运行 Sealos API Sealos CLI

• 无缝升级应用 • 硬件隔离 Kubernetes 介绍 LXC (Linux Container) 介绍 在单一系统的内核层通过一套 API 在应用层提供硬件及软 件环境隔离的 Linux 环境（containers 。在内核层，通过 cgroup 来提供硬件环境的隔离（例如 CPU，Memory， Block I/O，网络等等 和通过 namespace 来提供软件层面 Container 框架 通过在 Kernel 层面提供的 API 来达到上层可以容器化应 用程序。 Container VS VM (Virtual Machine) 由于采用系统当前的内核，Container会启动加载更快，更 轻量，并且更省资源。 Container Image 用来将需要容器化的应用程序及其环境进行打包后存储的镜像。 • 通常会有一个 Image 管理仓库来存储 • kube-scheduler Kubernetes 与 Container 通信框架 Kubernetes 通过 CRI (Container Runtime Interface) 层将 Kuernetes 与具体的 Container 管理工具隔离，并且可以进行 Container 的操作。 在 Node 上的层次关系 通过 Label 的方式将 Node 分类

集装箱 kubernetes 舵手，领航员 helm 舵轮，驾驶盘 chart 图表，海图 ①k8s对系统要求 linux内核在3.10及以上，服务器规格2核cpu，2G内存及以上，可以装在虚拟机 里，也可以装在实体机上 ②规划主机名及ip k8s的服务器使用固定ip地址，配置主机名，要求能解析相应的主机名（master = 1 net.bridge.bridge-nf-call-arptables = 1 net.ipv4.ip_forward = 1 EOF #前3行表示bridge设备在二层转发时也去调用iptables配置的三层规则（包含 conntrack） # sysctl -p #加载配置 ⑧防火墙放行端口 TCP: 6443，2379，2380 #编辑configMap 找到kind: KubeProxyConfigura�on这行往下第2行的mode: ""，在""里写入ipvs， 保存退出 （要求在做准备工作时已加载ipvs内核模块） 再删除kube-proxy的所有pod（即重启这些pod） # kubectl get pod -n kube-system | grep kube-proxy #查看名为kube-proxy*的

Openshift 、 Deis 、Eldarion 等。 您也可实现⾃⼰的定制 PaaS，与您选择的CI系统集成，或者仅使⽤Kubernetes部署容器。 由于Kubernetes在应⽤层⾯⽽⾮硬件层⾯上运⾏，因此它提供了PaaS产品通⽤的功能，例如部署，扩展，负载均衡， ⽇志和监控。然⽽，Kubernetes并不是⼀个单体，这些默认解决⽅案是可选、可插拔的。 另外Kubernetes不仅仅是⼀个编制系统 -manager时将 --cloud-provider 标志设为 external 来禁⽤控制器循环。 cloud-controller-manager允许云供应商代码和Kubernetes内核独⽴发展。在以前的版本中，核⼼的Kubernetes代码依 赖于特定云提供商的功能代码。在未来的版本中，云供应商的特定代码应由云供应商⾃⼰维护，并在运⾏Kubernetes时 与cloud-co annotation 记录。 动机 Label使⽤户能够以松耦合的⽅式，将⾃⼰的组织结构映射到系统对象上，客户端⽆需存储这些映射。 服务部署和批处理流⽔线通常是多维实体（例如：多个分区或部署、多个发布轨道、多个层、每层有多个微服务）。管 理往往需要跨部⻔才能进⾏，这打破了严格层级表现的封装，特别是由基础设施⽽⾮⽤户确定的刚性层次结构。 示例Label： "release" : "stable" , "release"

CNI 网络支持， 也提供多个 CNI 网络的组合方案。具体方案如下： Cilium + MacVLAN/SR-IOV/IPVLAN + SpiderPool + Multus 此方案适用于高内核版本（4.19.57+）的 Linux 操作系统。 方案以 Multus 为 调度核心，搭配多 CNI，满足不同的网络场景需求，实现跨云跨集群的网络连 通性。 同时还具备灵活的 IPAM 管理能力，基于 CNI，提供 eBPF 内核加速，实现跨集群 Pod 通 信和跨集群 Service 通信，以及支持灵活的细粒度网络策略下发和丰富的流 量观测能力。 版权 © 2023 DaoCloud 第 16 页 在此方案组合中，Cilium 为必备的网络 CNI。 4. 通过 MacVLAN / SRIOV / IPVLAN CNI 提供对外访问 IP，实现 Pod 二层对 外通信能力。 如果在应用落地场景中没有对外访问需求，可以不安装 Underlay CNI。 Calico + MacVLAN/SR-IOV/IPVLAN + SpiderPool + Multus 此方案适用于低内核版本的 Linux 操作系统，在用户有跨集群连通以及多 CNI 等需求时，可以采用此方案。 1. 以 Multus 为调度核心，实现多 CNI 的 IP 分配，支持应用的多态网络通信 场景。基于开源方案实现本集群内跨

多样化 金融业务在云上平滑运行；中国电子云、天翼云、移动云、联通云、 华为云等厂商均在政务领域有落地实践，利用一云多芯技术打造具 有安全性和高效性的政务云平台。同时，一云多芯已逐渐完成从底 层硬件至上层云原生应用的多芯全栈式适配兼容。作为 IT 产业发展 承上启下的关键环节，一云多芯不仅可以对底层各种异构资源统一 调度，还可以实现对上层应用和软件的适配操作，同时保证云平台 性能高效稳 芯能够适配各种操作系统、虚拟机、容器数据库、中间件等，同时 还能够支撑虚拟化和云原生应用形态。性能调优方面，一云多芯可 以对不同芯片进行调优适配，提升平台整体性能。通过虚拟化产品 性能调优、内核调优和部署架构优化，将性能指标差异控制在有效 区间，从而释放极致算力。 流程层面，平台工程以产品化、自助式的开发者平台，满足多 场景下应用研发需求。平台工程是一种自助式内部开发者平台的技 云计算白皮书（2023 务和业务流程， 工程化运作成为平台产品，平台产品随着组织变化而演进，其各个 组件可根据实际使用情况来升级扩展。这类集成产品通常被称为内 部开发者平台，是工程团队已经部署的技术和工具之上的全新一层。 演进路线方面，容器云平台为开发者构建和运行分布式应用带来了 便利，但同时将复杂资源暴露给了开发者，知识门槛高，并且开发 者难以从众多资源中定位业务故障。而容器云平台及传统 PaaS 等经

的 LLaMA 以及亚马逊的 Bedrock 等）在我们的讨论中占据重要地位。更广泛来说，大语言模型可以应用于从 内容生成（文本、图片和视频）、代码生成到总结概述和翻译等各种问题。通过自然语言的抽象层，这些大模型 成为了强大的工具库，被诸多信息工作者广泛使用。我们讨论了大语言模型的各个方面，包括自托管式大语言 模型，相较云托管的大语言模型，它支持更多的定制和管控。随着大语言模型日益复杂，我们正在深思如何在 自组织内系统网络的潜在 攻击路径进行攻击。此前的多数安全分析策略或工具主要聚焦在特定分线领域，例如错误的配置，脆弱的容器， 和常见漏洞上。这些孤立的方法意味着团队们不能看到这些风险与技术栈上其他层的弱点组合产生的危险攻击 路径。尽管这一技术已提出一段时间，但是近期安全分析工具的进展能使安全团队更易使用这项技术。Orca 和 Wiz 是两个此类工具。我们建议管理复杂基础设施的团队在为组织设计安全策略或选择安全分析工具时考虑这 可用的状态管理选项中，我们想突出 Bloc，因为我们团 队在使用该库构建复杂移动应用程序时体验很好。当 UI 组件通过流和事件接收器与业务逻辑进行通信时，围绕 BLoC 模式 结构化的组织代码实现了业务逻辑与表示层的完全分离。Bloc 在 IntelliJ 和 VSCode IDE 中都提供了 良好的插件支持。 48. cdk-nag 试验 cdk-nag 能够识别并报告 AWS CDK 应用程序或 CloudFormation

• 为什么DPDK不行？ • 独占cpu，不适合分布式的lb • 为什么纯粹的eBPF方法不行 • 不够成熟 eBPF 简介 • 编写eBPF程序 • 编译成eBPF中间代码 • 注入内核 • 挂载到network traffic control • 报文激发eBPF代码 技术创新点一 • IPVS 对conntrack的功能依赖 • Iptables SNAT • 具体如何绕过conntrack？ control上挂一段eBPF 代码，在网卡出报文之前做SNAT • 尽量将大部分代码放在eBPF中，方便升级和维护。 • eBPF loader 创建eBPF map时，将map的id 传给IPVS内核模块 • 在ip_vs_new_conn 时，插入eBPF map • (protocol, clientip:cport -> targetip:dport) • 在ip_vs_conn_unlink时，删除eBPF map • 由于eBPF中没有timer机制 IPVS 如何做SNAT？ 优化方法评价 • 优势 • 大大缩短了数据通路，完全绕过了conntrack/iptables • 不足 • 对内核模块做了一定的修改，部署更困难 03 和业界方法比较 V.S. 纯粹的eBPF service 和其他的优化方法对比 V.S. Taobao IPVS SNAT patch • 复用了IPVS

API Server Pod Master API Server Pod Kubernetes 典型异常 网络异常 • 安全组、路由表配置错误 • 节点防火墙软件等修改 iptables、内核参数 • 网络链路长，手动排查成本高 异常影响 • 应用间无法正常通信 • 集群内 Controller 无法正常工作 YUM 安装自动运维工具 自动安装依赖 firewalld 网络未知原因导致异常 安全模式 检测工具 … 操作系统 NPD 运行模式 • 集群节点（DaemonSet /Standalong） 问题检测 • 硬件（CPU、内存、磁盘） • 操作系统（ NTP、内核死锁、文件系统异常） • Container Runtime（无响应） 问题上报 • API server • Prometheus node-problem-detector Sonobuoy

【注】所有节点(k8s-master, k8s-node1, k8s-node2, k8s-node3)均需做以下 B~D： B. 升级&配置 centos7 Step1. 升级 linux 内核 uname –r wget https://cbs.centos.org/kojifiles/packages/kernel/4.9.220/37.el7/x86_64/kernel-4.9 swap defaults 0 0 Step6. 配置 ulimt ulimit -SHn 65535 Step7. 配置内核参数 cat >> /etc/sysctl.d/k8s.conf << EOF net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.br