团队来说，致命弱点仍然是依赖项中存在漏洞，通常是来自于多层的间接依赖项。Dependabot 等工具可以通 过创建拉取请求（PR）来更新依赖项。不过，团队仍然需要制定工程纪律，以确保及时处理这些 PR，尤其是 对长时间不活跃的应用程序或服务提交的 PR。 如果系统具有广泛的测试覆盖范围——不仅有完善的单元测试，还包括有功能和性能测试，并且构建流水线必 须运行所有这些测试以及安全扫描，我们更提倡自动合并依赖项更新 PR。 简而言之，团队必须完全相信，流水 地工具和基础设施即代码（infrastructure as code，IaC）的独特集合替代方案。我们还注意到，与开放应用模 型（OAM）及其参考编排器 KubeVela 有相似之处，尽管 OAM 声称更加面向应用程序而不是工作负载为中心。 21. 自托管式大语言模型 评估 大语言模型（LLMs）通常需要大量的 GPU 基础设施才能运行，但目前有强烈的推动力使它们可以在更简单的 硬件上运行。对大语言模型 十大安全风险榜单长期以来一直是 Web 应用程序最关键的安全风险参考。尽管众所周知，我们曾写过 它在软件开发过程中未得到充分利用，并警告不要忽略 OWASP 十大安全风险榜单。 但鲜为人知的是 OWASP 也在其他领域发布了类似的十大榜单。在八月初发表了第一个主要版本的 OWASP LLM 十大安全风险榜单 强调了提示注入、不安全的输出处理、训练数据投毒以及其他个人和团队构建 LLM 应用程序 时最好注意的风险。OWASP

Secrets § Services § Stateful Sets… § K8s通过这些资源模型构建应用程序 § 每一种资源都可以被用户所创建并存储在K8s数 据库中 § 用户通过这些创建这些资源“描绘”应用程序在 K8s平台上部署后的样子，K8s会根据这些资源 的描述尽可能完成对应用程序和服务的部署 § 这其中，Pod包含了一组共享Linux Namespace 的容器，是K8s平台所能调度的最小单元。其他

Native容 器。 12 CCE支持GPU异构计算能力，帮助企业高效灵活应用深度学习服务 • 将旧的加速计算应用程序容器化，并部署 在较新的系统或者云环境中。 • 将特定的 GPU 资源分配给容器，以获得 更好的隔离效果和性能。 • 轻松地跨不同的环境共享应用程序、协同 工作和测试应用程序。 主流DL框架 13 iCAN容器网络：实现高性能容器网络和大规模高效部署 14 Fuxi容

来帮助公共和私营部门进行数字化转型。该战略基于三大支柱：“可 云计算白皮书（2023 年） 2 信云”认证、“云中心”政策和工业战略。2021 年 6 月，意大利政府 宣布了云计算的国家战略，创建存储所有公共部门应用程序和公民 数据的国家级云计算系统，并将相关数据向“国家云”转移。 英国和澳大利亚政府发布国家战略，深度挖掘云计算的产业赋 能价值。在政府云战略（G-Cloud）基础上，英国国防部在 2023 年 服务，计划于 2025 年之前构建所有中央机关和地方自治团体能共享 行政数据的云服务，2026 年 3 月份前实现全国各市町村的基础设施 与云服务互联互通。2022 年 12 月，日本政府将云应用程序确定为经 济安全的 11 个关键领域之一，其工业部留出了 200 亿日元预算用于 与云有关的研究和推进活动。 云计算白皮书（2023 年） 3 （二）云市场进入稳定增长阶段，行业巨头进一步扩大 84%以上，是全球所有地区中最高的。以印度为例，2022 年其云支 出增长了近 22%，与欧洲地区几乎持平。同时，印度有 91%的基础 云计算白皮书（2023 年） 6 设施决策者已至少使用一种云部署模型，有 46%的应用程序项目已 部署在云上，预计 2023 年这一比例将上涨到 58%。从供给侧来看， 目前，AWS、微软、谷歌等云服务商均有 1/3 以上的可用区部署在 亚太地区。以 AWS 为例，其在印度、新加坡、澳大利亚、日韩等地

部署与企业对接 AI 技术介绍 AI 云平台介绍及构成 AI 与 Kubernetes 融合与架构解析 • 是一套集自动部署，弹性扩容，并且基于容器的集群管理工 具。 • 快速部署应用程序 • 弹性负载均衡 • 无缝升级应用 • 硬件隔离 Kubernetes 介绍 LXC (Linux Container) 介绍 在单一系统的内核层通过一套 API 在应用层提供硬件及软 VS VM (Virtual Machine) 由于采用系统当前的内核，Container会启动加载更快，更 轻量，并且更省资源。 Container Image 用来将需要容器化的应用程序及其环境进行打包后存储的镜像。 • 通常会有一个 Image 管理仓库来存储 Image。 • 同一个 Image 会有版本记录。 • 只包含软件环境的配置 • 硬件配置需要运行时去指定

（ThirdPartyResource），首次尝 试解决 K8s API 的扩展性问题， 但存在诸多问题，Alpha 阶段既 夭折 CoreOS 提出 Operator 概念，用 于管理和运行基于应用程序领 域的复杂有状态应用程序。 给出了用 TPR + controller- runtime 早期版本的 sample： etcd operator K8s 1.9 版本发布，CRD进入 beta 阶段并正式取代

版本是1.16版本。（https://github.com/kubernetes/kubernetes） Kubernetes 的目标旨在消除编排物理/虚拟计算，网络和存储基础设施的负担，并使应用程序运营商和开发人员完全将重点放 在以容器为中心的业务上进行自助运营。Kubernetes 也提供稳定、兼容的基础（平台），用于构建定制化的workflows 和更 高级的自动化任务。Kubernetes ，目标Pod所有副本自身的CPU利用率的平均值。比如设置Pod Request为0.4，当前为 0.2，那么就是50%。比如如果所有的超过了80% ，那么就自动创建Pod。高峰过去之后自动减少Pod 2. 应用程序自定义的度量指标，比如服务每秒内的相应的请求数（TPS或QPS）. 24 www.h3c.com Confidential 秘密 24 24 K8s基本概念和术语介绍（DaemonSet） DaemonSet（后台支撑服务集）：

检测代码在膨胀 检测能力迭代需要加速 检测框架 Ver.2 { 动态定制 动态扩展 Ver.2 DSL DSL (Domain-Specific Language) • 领域特定语言指专注于某个应用程序领域的计算机语言 • 目标受众为非程序员、业务员或最终客户 典型的 DSL • 正则表达式 Ver.2 动态化 Dynamic Engine Command Policy Executor

Plugin： • GPU资源的发现 • 为任务分配相应的硬件 资源及配置容器运行时环境 transparent. GaiaGPU不应修改Kubernetes代码或容器镜像以共享GPU。使用共享GPU执行应用程序应该就像 在物理GPU上执行一样。 Performance. GaiaGPU应当保证vGPU的性能与原生GPU性能相近。 Isolation. GaiaGPU可以有效的分配和回收每个容器使用的GPU资源并实现不同容器间的资源隔离。

Amazon CloudWatch Container Insights 使用 Amazon CloudWatch Container Insights（目前提供预览版）监控、隔离 和诊断您的容器化应用程序和微服务环境。借助此预览版，开发运营和系统工程 师可以访问自动化控制面板，该控制面板按 Pod、节点、命名空间和服务汇总 了 Amazon Elastic Container Service for