©2019 VMware, Inc. 1 ©2019 VMware, Inc. 唐資生 Jason Tang, VMware 資深架構師 Kubernetes安全求生指南 ©2019 VMware, Inc. 2  您的Kubernetes環境夠安全嗎?  Kubernetes安全最佳實務  VMware Enterprise PKS平台如何實踐K8s與容器的安全強化 還是這些標準?  我們該如何確保安全性在未來開發/維運一直維持達標?  我們如何用最低的負荷與最快的速度完成上述任務? 隨便Google就可找到好幾卡車的Kubernetes安全最佳實務/指南.... 6 ©2019 VMware, Inc. Kubernetes安全最佳實務 Kubernetes Security Best Practices ©2019 VMware 資料來源: https://blog.sqreen.com/kubernetes-security-best-practices/ ©2019 VMware, Inc. 8 NIST在容器安全指南中揭露了五種容器應用最應關注的風險 映像風險 Image Risk 登錄風險 Registry Risk 容器調度平台風險 Orchestrator Risk 容器風險

1 ⾸云容器产品Kubernetes操作指南 简介 �.产品简介 �.使⽤须知 集群管理 �.简介 �.使⽤须知 �.操作说明 节点管理 �.简介 �.使⽤须知 �.操作说明 存储管理 �.简介 �. 操作说明 应⽤管理 �. 简介 �. 前提条件 �. 操作说明 ⽹络管理 �.简介 �.操作说明 监控管理 �.简介 �.操作说明 （�）开启监控 可缩容的副本（即容器组Pod）数量下限。 注：若要启⽤⽔平伸缩，您必须为容器设置所需资源，否则容器⾃动伸缩⽆法⽣效。参⻅容器基本配置环 节。 可选：升级⽅式。升级⽅式包括滚动升级（rollingupdate）和替换升级（recreate），详细请 参⻅https://kubernetes.io/zh/docs/concepts/workloads/controllers/deployment/ 可缩容的副本（即容器组Pod）数量下限。 注：若要启⽤⽔平伸缩，您必须为容器设置所需资源，否则容器⾃动伸缩⽆法⽣效。参⻅容器基本配置环 节。 可选：升级⽅式。升级⽅式包括滚动升级（rollingupdate）和替换升级（recreate），详细请 参⻅https://kubernetes.io/zh/docs/concepts/workloads/controllers/deployment/

4 部署应⽤程序的旧⽅法是使⽤操作系统的软件包管理器在主机上安装应⽤程序。这种⽅式，存在可执⾏⽂件、配置、库 和⽣命周期与操作系统相互纠缠的缺点。⼈们可构建不可变的虚拟机映像，从⽽实现可预测的升级和回滚，但VM是重 量级、不可移植的。 新⽅法是部署容器，容器基于操作系统级别的虚拟化⽽不是硬件虚拟化。这些容器彼此隔离并且与宿主机隔离：它们有 ⾃⼰的⽂件系统，看不到对⽅的进程，并且它们的计 should consider upgrading via the 'pip install --upgrade pip' command. 则执⾏ pip install --upgrade pip 升级pip，再执⾏ pip2 install jinja2 --upgrade 03-使⽤Kubespray部署⽣产可⽤的Kubernetes集群（1.11.2） 11 安装Python 3.6 供迁移到下⼀个版本的说明。 这可能需要删除、编辑和重新创建API对象。编辑进程可能需要⼀些思考。依赖 该功能的应⽤程序可能需要停机。 推荐仅⽤于⾮关键业务⽤途，因为后续版本中可能会发⽣不兼容的更改。如果您有多个可独⽴升级的集群，则 可放宽此限制。 请尝试我们的beta功能并给他们反馈！⼀旦他们退出beta状态，我们就不会做更多的改变。 Stable等级： 版本名称为 vX ，其中 X 为整数。 稳定版本的功能将会出现在许多后续版本中。

云进程持续加深，企业需求逐步向用云转移，效率、性能、安全等 成为用户关注点，应用现代化、一云多芯、平台工程、云成本优化、 系统稳定性、云原生安全等新技术层出不穷，满足用户多样性场景 需求，助力产业数字化升级。 在此背景下，中国信息通信研究院继《云计算白皮书（2012 年）》 之后第 9 次发布云计算白皮书。本白皮书聚焦过去一年多来云计算 产业的新发展新变化，总结梳理国内外云计算政策、市场、技术、 （一）各国加速推进云计算战略，聚焦云计算赋能行业价值........................ 1 （二）云市场进入稳定增长阶段，行业巨头进一步扩大领先优势................ 3 （三）云计算产业竞争全面升级，云服务商开启新一轮角逐........................ 5 二、我国云计算发展概述................................................ （一）国家政策指引云计算创新发展，地方积极推进企业上云用云............ 9 （二）云计算市场处于快速增长阶段，运营商引领新一轮市场增长.......... 12 （三）云计算技术不断推陈出新，满足多样性场景需求助力产业升级...... 15 （四）行业上云用云呈阶梯状分布，中小企业成影响上云进程关键.......... 22 三、云计算正向数字世界操作系统转变...........................

Harbor开源企业级容器Registry项目创始人 • Cloud Foundry中国社区最早技术布道师之一 • Hyperledger Cello项目贡献者 • 《区块链技术指南》、《软件定义存储》作者之一 公众号：亨利笔记 《区块链技术指南》 《软件定义存储》 SACC2017 议程 1 超级账本项目概览 2 Kubernetes架构简介 3 用Kubernetes部署Fabric SACC2017 Hyperledger Fabric 1.0 特点 • 提供了交易的机密性 • 权限管理和控制 • 分离了共识和记账职能 • 节点数动态伸缩 • 吞吐量有望提升 • 可升级的智能合约（chaincode） • 成员服务是高可用 14 SACC2017 供应链场景(1) 15 商店 农场 X A Z Y C B • 公共链：

Focus on application • 容量规划：节点数量选择和扩容 • 规格实例选择、配置安全组 • 配置复杂的管理工具 • 配置网络 • 操作系统选择 • 系统软件升级、安全补丁更新 • 系统监控和长期维护 极致弹性 Scale your pods elastically • 直接基于pod扩容，而不是node，不再受限于node数量 • 无需预留计算容量 现开放区域：杭州、上海、美西，公测期间免费，欢迎试用 • 计划12月份正式对全体用户开放，开始商业化 • 控制台：https://cs.console.aliyun.com • 快速入门指南和Demo：https://yq.aliyun.com/articles/591115 • 示例参考：https://github.com/AliyunContainerService/serverless-k8s-examples

评审 产品立项报告 实践 相关规范：《敏捷开发过程指南》 规范指南设计 规范与指南 GIT分⽀管理规范 4+1共5个分⽀，每个 分⽀具体的⽤途 版本发布规范 版本发布评审流程， ⽣产环境上线流程 缺陷管理规范 缺陷的定义，缺陷报 告，缺陷跟踪，缺陷 分析 ⽤户需求分解指南 ⽤户需求分解法，⽤ 户故事地图 测试指南 测试的各个阶段，测 试阶段依赖的⽂档， 测试的种类，测试类 降低交付⻛险 识别过程资源浪费 加速需求响应时间 团队效率的整体提升 加快开发迭代速度 DEVOPS平台成果 价值 ⼯具 流程 规范指南 认证体系 成熟度 ⾓⾊职责 14x8x5 14个⾓⾊ 8个职责 5个权限组 16x15x18 16个指南 15个规范 18个阶段性汇报 10操作⼿册 6x14x3 6⼤主流程 14 ⼦流程 3个标准管道 13x7x5 13个开源⼯ 13个成熟度领域 5个可量化领域 71个⼯具⾃动分 析指标 2x6x4x1 2⼤认证体系 6 个测试场景 4个课件 1个实验室环境 1 | 参考⽂档 2 | 阶段成果 6 | 操作⼿册 3 | 指南 4 | 规范 参考⽂档(2) 1. 01-01-DevOps-交付件_代码分⽀管理规范 2. 01-02-DevOps-交付件_应⽤持续部署规范 阶段性成果(18) 1. 04-03-DevOps-BPMN流程图

© Thoughtworks, Inc. All Rights Reserved. 1 针对当今科技领域发展的前沿指南 技术雷达 第 29 期 | 2023 年 9 月 © Thoughtworks, Inc. All Rights Reserved. 2 关于技术雷达 3 雷达一览 4 贡献者 5 本期主题 6 本期雷达 8 技术 11 平台 19 工具 25 Thoughtworks, Inc. All Rights Reserved. 6 AI 辅助软件开发 毫无意外，本期技术雷达主要围绕 AI 相关话题展开讨论。这是有史以来第一次，我们需要一个可视化指南来 理清不同 AI 的类别和功能（即使在 JavaScript 生态系统十分混乱的时期，我们也从未采取过这样的做法）。作 为一家开创 CI、CD 等突破性工程实践历史的软件咨询公司，我们对于使用 有多个团队参与 不同产品开发的大型组织中。设计系统定义了一系列的设计模式、组件库以及良好的设计和工程实践，以确保 数字产品的一致性。设计系统从过去的企业风格指南演变而来，提供易于查找和使用的共享组件库和文档。通 常，设计系统的风格指南以代码的形式记录并进行版本控制，比简单的文档记录更加清晰且易于维护。设计系 统已经成为跨团队和学科进行产品开发时的标准方法，每当需要新的视觉组件时，团队不用重新发明轮子，因

建立了一個 flannel0 的橋接器，而且這個橋接 器的一端連接 docker0 橋接器，另一端連接著一個叫作 flanneld 的 daemon 服務。 4-22 Kubernetes 維運指南 4 在 Kubernetes 叢集中，對於一個新 Node 的加入是非常簡單的。可以在 Node 節點 上安裝 Docker、Kubelet 和 kube-proxy 服務，然後將 Kubelet RC 控制的 Pod 抄本數量從初始的 2 更新為 3： $ kubectl scale rc redis-slave --replicas=3 scaled 4-52 Kubernetes 維運指南 4 kubernetes.io/name: "KubeUI" spec: selector: k8s-app: kube-ui ports: - port: 80

Next 企业级容器云架构 产品功能 企业级容器云解决方案 企业级 场景 易用 • 全组件自动化部署、统一配置管理、多策略灰度升级 • 提供可视化、自动化的运维能力，降低使用者的人力成本和学习成本 可靠 • 所有组件无单点； • 平台本身支持热升级； • 组件自身HA机制，如docker； • 多地域多可用区的容灾设计 • 管理机挂掉：对应用无影响 • 计算节点挂掉：跨机迁移 • 健康探针 就绪探针 • 负载均衡 • 重启机制 ① 区分异常原因 ② 本地重启/跨机重启 • 黑名单机制 • 集群核心数据的备份和恢复 ① Etcd ② 核心数据库 • 云盘机制保护应用数据 • 举例：1.4升级1.9版本 • Pod Hash发生变化 • Container名称发生变化，点分隔改为了下划线分隔 • 容器标签发生变化 pause容器的标签io.kubernetes.container.name=POD改为 一定数量Pod因资源不足pending时，自动扩容 能力扩展：灰度升级 • 在GPU集群中有一个长时间服务应用prd-cloud-str-003-p40- cluster1。该应用有25个实例，每个实例需要2个GPU卡。用 来提供图片识别的OCR服务。 • 当该服务要升级新的版本时，如果对所有实例停止，则会造 成服务中断；如果采用滚动升级，无法保证升级过程是否有 异常，以及无法充分验证新版本的可用性（即使经过了测试