云原生实战 Helm 及 Helm 应用仓库简介 李辉 — KubeSphere — 后端研发 _ by QingCloud Helm 及其应用仓库简介 如何开发一个 Helm 应用 KubeSphere 应用开发 1 2 3 _ by QingCloud 应用管理 5 应用仓库管理 4 Helm 及其应用仓库简介 • Helm 是 Kuberetes 的包管理器 类似于 应用程序的一系列 YAML 文件 • 安装 Helm 在 https://github.com/helm/helm 上下载二进制文件 _ by QingCloud Helm 及其应用仓库简介 • 应用仓库: 管理和分发 Helm Charts. • 安装 Harbor 1. helm repo add harbor https://helm.goharbor.io 2. helm fetch Chart 推送到应用仓库 _ by QingCloud KubeSphere 应用开发 • 应用生命周期: • 开发中: 开发中的 • 待发布: 已开发完成，等待应用商店管理员审核通过 • 已审核通过: 应用商店管理员审核通过 • 审核未通过: 应用商店管理员审核通过 • 已上架: 已经上架到应用商店 • 已下架: 从应用商店下架 _ by QingCloud 应用仓库管理 • 添加应用仓库

.......................................................................................21 2.2.2 镜像仓库攻击........................................................................................22 2.2.3 全景图和攻击路径图，能够帮助企业构建更完善的云原生安全防护体系，从而更 全面的保障云网环境的安全。 2.1 云原生安全威胁分析 云原生化的应用主要由两个部分组成，一是支撑应用的云原生计算环境，包 括容器、镜像、镜像仓库、网络和编排系统等。二是云原生化的应用本身，主要 包括微服务、Serverless。图 5 中攻击路径 1 至攻击路径 5，从攻击者角度展 示云原生应用关键技术面临的安全威胁。 图 5 云原生关键技术威胁全景 可变基础设施，引导 云原生安全威胁分析与能力建设白皮书 20 受害者使用该镜像创建容器，进而实现入侵容器、宿主机的目的。路径 1 显示 针对镜像层可能存在的攻击手段，包括：镜像投毒攻击、镜像仓库攻击、中间人 攻击、敏感信息泄露攻击和针对镜像不安全配置的攻击。 路径 2：攻击者直接对容器或容器运行时发起攻击，通过利用容器或容器运 行时存在的漏洞，实现入侵宿主机的目的。其中低级容器运行时负责创建和运行

steven zou 目录 - 开场：云原生与制品管理 - 初识Harbor：云原生制品仓库服务 - 使用Harbor搭建私有制品仓库服务 - 资源隔离与多租户管理模型 - 制品的高效分发(复制、缓存与P2P集成) - 制品的安全分发(签名、漏洞扫描与安全策略) - 资源清理与垃圾回收 - 构建高可用(HA)制品仓库服务 - Harbor集成与扩展 - 路线图 - 参与贡献Harbor社区 云原生与制品管理 [2] Registry: •制品存储仓库 •分发制品的媒介 •访问控制与管理的节点 初识Harbor [1] 官方网站：goharbor.io CNCF毕业项目 落地在很多企业级 产品中 Apache 2.0协议下 开源 GitHub代码库: https://github.com/goha rbor/harbor/ 一个开源可信的云原生制品仓库项目用来存储、签名和管理相关内容。 系统设置（鉴权模式等） 内容复制 垃圾回收(GC) 配额管理 扫描管理 用户管理 系统标签管理 P2P预热管理 Harbor 系统 系统级日志 搭建Harbor仓库服务 离线安装包 • 通过Docker-compose编 排运行 • 所需镜像皆打包在离线 包内 1 在线安装包 • 通过Docker-compose编 排运行 • 所需镜像从Dockerhub

（prometheus协议） • Kubelet 的核心职责就是管理本机的 Pod 和容器，典型的比如创建 Pod、销 毁 Pod，显然我们应该关注这些操作的 成功率和耗时 • Categraf 的仓库中 inputs/kubernetes/kubelet-metrics- dash.json 就是 Kubelet 的大盘文件 • kubelet_running_pods：运行的Pod的数量，gauge类型 暴露监控数据， 可以直接拉取 • kube-proxy 的核心职责是同步网络规则， 修改 iptables 或者 ipvs。所以要重点关 注 sync_proxy_rules 相关的指标 • Categraf 的仓库中 inputs/kubernetes/kube-proxy- dash.json 就是 kube-proxy 的大盘文件 • up 关注 kube-proxy 的存活性，应该和 node 节点的数量相等 的总入口，重点关注的是吞吐、延迟、错误率这些黄金指 标 • apiserver 也会缓存很多数据到内存里，所以进程占用的 内存，所在机器的内存使用率都应该要关注 • 采集方式可以参考 categraf 仓库的 k8s/deployment.yaml，大盘可以参考 k8s/apiserver- dash.json • apiserver_request_total 请求量的指标，可以统计每秒请求数、成功率

容器 化镜 像 自动化 部署 研发安 全扫描 需求 设计 敏捷 开发交付协同 云原生DevSecOps 安全工具链 国产化 双平面调度 敏捷开 发过程 统一代 码仓库 依赖制 品仓库 统一 镜像库 云原生 验证环境 磐基 生产运行 核心价值 核心能力 灵活的低代码能力 实现页面组件、数据组件、功能组件的快 速编排，一线人员也能自助开发功能 双模敏态管理 用、内部共享、私有等多种使用方式。兼 容市面上制品管理客户端。 全功能云IDE开发 每个云IDE都是一个云端小笔记本，一人一 本，多人可形成云端小局域网。可独立编 写调试代码，可团队协作。 安全代码仓库托管 统一的安全代码仓库，按项目级别分级管 理，落盘加密，云IDE防护，显示水印等多 重防护。 云原生虚拟化开发集群 利用虚拟化技术实现开发集群，分钟级交 付，突破有限资源开发集群供给。 原生使用模式，开发组件一键部署 多维度深度扫描，及时发现新出现的安全问题，及时修正。 业务 容器 业务 容器 业务 容器 业务 容器 业务 镜像 业务 镜像 业务 镜像 业务 镜像 扫描 容器 控制 台 镜像仓库 集群一 集群二 拉取运行 拉取运行 深度扫描 深度扫描 • 检测维度丰富，包括漏洞、软件许可、恶 意文件、敏感信息等 • 策略可深度自定义 • 自动生成评分，对安全进行评级 •

Cloud 默认不支持双注册，MSE 提供了无侵入的双注册方案，无需修改 代码，开发无需关注，支持平迁。 Nacos 生态 几乎支持所有主流语言 阿里微服务DNS最佳实践 多语言生态集成方案 生态仓库： https://github.com/nacos-group

Docker 容器之外运⾏，所以 每次代码修改，都需要经历以下步骤： 执⾏ docker build 构建镜像 执⾏ docker tag 对镜像进⾏标记 执⾏ docker push 推送镜像到仓库 修改 Kubernetes ⼯作负载的镜像版本 等待镜像拉取结束 等待 Pod 重建 查看修改后的代码效果 这直接拖慢了开发的循环反馈过程，每次修改，动辄需要数分钟甚⾄⼗分钟的等待时间。 Nocalhost

未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 容器环境 开 发 模 式 ： 瀑 布 > 敏 捷 > D e v O p s 应 用 架 构 ： 大 型 系 统 > S O A > 微 服 务 代 码 实

OpenFunction 社区 交流、参与、演进 OpenFunction Roadmap OpenFunction Community → https://github.com/OpenFunction 主要仓库 → https://github.com/OpenFunction/OpenFunction → https://github.com/OpenFunction/functions-framework

方式的交付，底层差异影响减少到最小 标准化能力-微服务PAAS-OAM-万花筒PAAS-3 以上解耦的结果，隐含着更深层次的能力，不是简单解耦那么简单，它使得统一通用PaaS成为可能 组件市场|仓库 平台运维特性 应用编排 运维特性编排 版本化 应用 • 两端解耦之后，两端方面都可以形成一个没有 私有PaaS特征依赖的市场，而强大的开源社区 比平台提供商自己还要强大，利用容器底座的 承