Rancher Labs. All Rights Reserved. Confidential © Copyright 2020 Rancher Labs. All Rights Reserved. 应用容器化最佳实践 2020.11.14 Dehua Ye dehua@rancher.com © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential 性和云 间的可移植性。 https://12factor.net/zh_cn/ 云原生应用 传统的企业应用 可预测 不可预测 操作系统抽象化 依赖操作系统 合适的容量 过多容量 协作 孤立 持续交付 瀑布式开发 独立 依赖 自动化可扩展性 手动扩展 快速恢复 恢复缓慢 十二因素应用（Twelve-factor App） 基准代码 依赖 配置 后端服务 构建、发布、运行 应用容器化一般流程 分析解耦 基础镜像 配置管理 制作镜像 应用编排 运行测试 • 组成模块分析 • 外部组件依赖 • 模块拆分 • …… • 基础镜像选择 • 内置工具确认 • 应用版本需求 • 内部运维管理需求 • …… • 日志级别和位置 • 数据库位置和凭据 • 安全信息 • 应用程序设置 • …… • Dockerfile编写 • Docker Build构建

小程序 + 容器 前端后端全链路敏捷化 —— 凡泰极客联合创始人杨涛 1 移动应用开发现状 2 小程序发展趋势 3 移动应用如何利用小程序转型升级 4 实战操作 为何小程序是当下流行且应用场景广泛的新一代技术生态 通过打造小程序生态，企业的数字化创新能力将得到什么样的松绑、激活 如何基于Rancher容器云平台快速搭建小程序，扩大企业数字化系统生态 传统移动应用开发模式以及转型升级顾虑 传统移动应用开发模式以及转型升级顾虑 #移动应用开发现状# 单体应用 工具型APP 服务化、模块化 平台型APP 动态化、高可用 超级APP 开放、生态 新阶段 移动应用发展历程 2013年 2015年 2018年 ING Native HTML5 ReactNative Flutter 开发成本 用户体验 动态性 移动应用开发技术分析 如何保障APP可以快速、动 态的更新 保障APP动态更新的情况 小程序成为互联网巨头争夺的流量入口是因为？ #移动应用如何利用小程序转型升级# 组合 索引 推荐 灰度 拆分 分享 应用场景小程序化 “上下架” 打破传统APP 信息孤岛 重组 自营APP 业务功能独立 拆分成小程序 第三方 终端应用 移动应用演进趋势 — APP 乐高化，化整为零，可合可分 小程序实现敏捷与生态 App 小程序引擎 App 小程序引擎 小程序管理与 监控中心

................... 24 6.4. 应用配置更新 ............................................. 25 6.5. 添加附加容器（Sidecar） .................................. 25 第 3 页 共 35 页 6.6. 查看应用 yaml 配置文件 .. ..................... 27 6.7. 应用配置导出 ............................................. 28 6.8. 应用容器日志查询 ......................................... 28 6.9. POD 终端登录 ................................ ............................................................................. 32 7.1. Container 容器 ............................................ 33 7.2. 镜像仓库 .....................................

安信证券DevOps探索与实践 转型背景 01 工具平台建设 02 试点项目实践 03 目录 CONTENTS 持续改进 04 目标：以研发团队为中心，在端到端流程串联、流程自动化、度量精化、质量增强、资源自助化几个重点方面发力， 打造研发管理平台，提供具备快速交付、高质量、过程透明、可度量的IT研发服务供应链。 证券业务的复杂性： 证券业务种类多，业务规则复杂，业 务链条长，业务发展快速，监管严格， 但多以产品为中心，行业的激烈竞争以及 客户对软件产品服务的时效和功能要求导 致需求愈发复杂和多变，供应商无法满足 行业的个性化的需求，甚至成为束缚，证 券公司过去以采购为主的IT系统建设方式 已经行不通 数字化战略的导向： 基于行业的深度竞争以及公司业务的快速 发展，证券行业这几年纷纷加大了IT建设 投入，并提出数字化转型的战略，IT的自 主研发实力代表IT自主可控的核心竞争力， 是业务开展的速度、广度以及深度的保证， Gradle Artifacoy GitLab 构建 单元测试 代码扫描 AWVS Burp Suit NPM Jacoco ITIL 产品&需求管理 项目管理 测试管理 代码管理 制品管理 自动化测试 性能测试 安全 部署 Jmeter Xray Ansible 测试平台 分 析 与 度 量 基础设施 开发环境 SIT环境 UAT环境 生产环境 战略目标 效率 质量 成本 安全 配置管理

cluster against each control in the benchmark. Because Rancher and RKE install Kubernetes services as Docker containers, many of the control verification checks in the CIS Kubernetes Benchmark don't apply to CISecurity.org. Testing controls methodology Rancher and RKE install Kubernetes services via Docker containers. Configuration is defined by arguments passed to the container at the time of initialization to Rancher Labs are provided for testing. When performing the tests, you will need access to the Docker command line on the hosts of all three RKE roles. The commands also make use of the the jq command

short-lived. If a container reboots, the data inside it is lost; hence, the introduction of Docker volumes. Docker volumes lack a defined lifecycle like the containers (as of this publish date). In contrast architecture where you must dynamically manage service endpoints. While Docker allows networking at the host level only (and Docker Swarm works across hosts), Kubernetes makes network management much easier containers in production. It includes commercially-supported distributions of Kubernetes, Mesos, and Docker Swarm for container orchestration, and allows teams to transparently view and manage the infrastructure

SUSE Rancher offers the RKE, a CNCF-certified Kubernetes distribution that runs entirely within docker containers. It works on bare-metal and virtualized servers. RKE solves the problem of installation Linux, SLES, and RedHat Enterprise Linux. For information about the supported Operating Systems, Docker, and SUSE Rancher versions, see SUSE Rancher - All Supported Versions. At the time of validating the latest version of SUSE Rancher v2.5.7 and RKE version v1.2.6 along with Kubernetes v1.20.4 and docker v19.03.15 for SLES15 SP2 were used. A working DNS or Fully Qualified Domain Name (FQDN) must be

w i t h t h e controlplane r ol e i n s p e c t t h e kube-apiserver c on - t ai n e r s : bash docker inspect kube-apiserver • Look f or t h e f ol l ow i n g op t i on s i n t h e c om m an d s e c w i t h t h e controlplane r ol e : i n s p e c t t h e kube-scheduler c on - t ai n e r s : 9 docker inspect kube-scheduler • Ve r i f y t h e f ol l ow i n g op t i on s ar e s e t i n t h e command t h t h e controlplane r ol e i n s p e c t t h e kube-controller-manager c on t ai n e r : 10 docker inspect kube-controller-manager • Ve r i f y t h e f ol l ow i n g op t i on s ar e s e t i n t

ssh_key_path: "" ssh_cert_path: "" ssh_agent_auth: false authorization: mode: "" options: {} ignore_docker_version: false private_registries: [] ingress: provider: "" options: {} node_selector: details. # # Cluster Config # default_pod_security_policy_template_id: restricted docker_root_dir: /var/lib/docker enable_cluster_alerting: false enable_cluster_monitoring: false enable_network_policy: subjects: - kind: ServiceAccount name: tiller namespace: kube-system ignore_docker_version: true kubernetes_version: v1.15.9-rancher1-1 # # If you are using calico on AWS

ssh_key_path: "" ssh_cert_path: "" ssh_agent_auth: false authorization: mode: "" options: {} ignore_docker_version: false private_registries: [] Hardening Guide v2.4 13 ingress: provider: "" options: # Hardening Guide v2.4 14 default_pod_security_policy_template_id: restricted docker_root_dir: /var/lib/docker enable_cluster_alerting: false enable_cluster_monitoring: false enable_network_policy: subjects: - kind: ServiceAccount name: tiller namespace: kube-system ignore_docker_version: true kubernetes_version: v1.15.9-rancher1-1 # # If you are using calico on AWS