原生安全威胁分析与能力建设白皮书》。白皮书从攻击者视角介绍了云原生所面 临的安全威胁，通过具体的实例展现攻击过程，给出云原生应用保护能力建设思 路，以期与行业同仁共同推动云原生安全落地发展。 最后，白皮书内容难免有疏漏，敬请读者批评指正。 云原生安全威胁分析与能力建设白皮书 8 编写单位： 中国联合网络通信有限公司研究院、联通数字科技有限公司、中国联通福建 省分公司、北京神州绿盟科技有限公司、北京小佑网络科技有限公司、中兴通讯 年发布的中国联通云原生安全实践白皮书中[2]，对比 分析了不同的组织和企业对云原生安全理念的理解，其中包括 CNCF 认为云原 生安全是一种将安全构建到云原生应用程序中的方法[3]、k8s 提出的云原生 4C 安全模型[4]、腾讯所理解的云原生安全指云平台安全原生化和云安全产品原生化 [5]，并给出我们对于云原生安全的理解，即云原生安全是云原生理念的延伸，旨 在解决云原生技术面临的安全问题。 CSA 行业逐步走向规范，推动了产品和解决方案逐步走向成熟。 在中国信息通信研究院、云安全联盟和相关企业的共同努力下，云原生的安 全标准陆续制定和颁布，当前相关主要的标准如表 1： 表 1 云原生安全相关标准 序号 标准名称 简要内容 1 云原生安全配 置基线规范 由云安全产业联盟提出并归口，规定了云原生安全配置基线扫描应具备的基 础规范要求。云原生安全配置基线扫描规范要求包括 API Server 安全配置 要求、

集成点：包括新环境的硬件、软件和 应用与遗留系统的集成，比如，监控、 服务注册中心、文件传输、消息集成、 ITSM等系统的部署集成。 4. 由于上层所依赖的底层环境在不同交 付环境中是不同的，而传统交付方式 缺乏脚本能“理解”的方式来表达这些 差异，此外由于事后更新OS、三方库 或者系统，这些变更又缺乏校验关系， 升级时很难给予企业信心，这种交付 方式很难被自动化。 标准化能力-微服务PAAS-OAM-万花筒PAAS-1-引子 赖于运维特性，也实现了标准化，也可以加入 组件市场，此时开放PaaS+开放应用市场可以 构建对应各种环境的应用了。 • 云原生蓬勃而多样的生态成了这种Paas的基础。 • 编排不在以服务为单位，而是以应用为单位， 再也不会出现由于理解不一致导致的交付失败 的情况，而不论底层容器云实现如何，应用的 交付的方式都是一致的。 DevOps是一种文化，是一种组织赋能，在无所不在，OAM除了在交付过程中提供了基于应用的 交付方案，同时将

应用发布 Operator API • 对使用方屏蔽多单元、多集群的存在 • 提供简单的、无需运维介入的日常维护功能 • 结合监控，可以查看每个实例的运行情况 • 支持离线日志查看，减少对容器的理解 迭代历程 2017～2019 • 基于Helm包管理 • K8S java 客户端 • CI/CD流程耦合 2019～2020 • 使用 Go 重构 CD 流程 • 多云环境适配 • Service

重新定义云原⽣开发环境.md 2021/1/20 3 / 7 开发者 应⽤ 集群 开发空间 通过对这些⻆⾊和资源的重新整合，Nocalhost 重新定义了云原⽣开发环境，并带来了全新的云原⽣开发体 验。 为了快速理解 Nocalhost 重新定义的云原⽣开发环境，让我们⾸先站在不同的⻆⾊来看 Nocalhost 能给他们 带来什么。 开发⼈员： 摆脱每次修改需要重新 build 新镜像以及⻓时间的循环反馈，修改代码⽴即⽣效

group owner stage commitId deployId ... 网络资源 VPC 子网 CIDR IP地址 NATGW ALB … ~30种资源标签，100+自定义微服务标签 理解云网络，自动标记端到端数据标签 Labels 自动同步云API、K8s apiserver DeepFlow support list 主机名、IP地址、VPC/隧道ID、对等连接、NAT/LB

产品中 Apache 2.0协议下 开源 GitHub代码库: https://github.com/goha rbor/harbor/ 一个开源可信的云原生制品仓库项目用来存储、签名和管理相关内容。 Harbor社区 有来自于5家公司的14位维护者 GitHub星 13K+ 核心提交者 200+ 数据来源: https://harbor.devstats Tag不可变策略 P2P预热策略 缓存策略 机器人账户 Webhooks 项目配置 项目1 项目标签管理 项目扫描器设置 项目级日志 系统设置（鉴权模式等） 内容复制 垃圾回收(GC) 配额管理 扫描管理 用户管理 系统标签管理 P2P预热管理 Harbor 系统 系统级日志 搭建Harbor仓库服务 离线安装包 & management Settings 提供以项目为单位的逻辑隔离，存储共享 不同角色具有不同的访问权限，可以与其它用户系统集成 配额管理 制品的高效分发-复制 [1] 基于策略的内容复制机制：支持多种过滤器(镜像库、tag和标签）与多种触 发模式（手动，基于时间以及定时）且实现对推送和拉取模式的支持 初始全量复制 增量 过滤器 目标仓库 源仓库 目标项目 源项目

Y-IP}/productpage 不不论刷新多少次⻚页⾯面，如果没有登录或者登录名不不是以yunqi开头的，始终得到如下的显示内容，也就是上述提到的 第2 个版本的 addedvalues微服务。 当使⽤用以yunqi开头的⽤用户名登录时，就会看到如下⻚页⾯面内容， 也就是上述提到的 第3 个版本的addedvalues微服务。 Clean 1 kubectl delete -f . About

•新一代监控系统更加关注应用侧的监控，没有维度标签玩不转，每个指标动辄几个、十几个标签 指标维度更为丰富 •Kubernetes体系庞大，组件众多，涉及underlay、overlay两层网络，容器内容器外两个namespace，搞懂需要花些时间 •Kubernetes的监控，缺少体系化的文档指导，关键指标是哪些？最佳实践是什么？不是随便搜索几个yaml文件能搞定的 平台侧自身复杂度变高， 监控难度加大 com/flashcatcloud/categraf/blo b/main/k8s/daemonset.yaml Kubernetes Node - 容器负载监控 关键指标 CPU使用率，分子是每秒内容器用了多少CPU 时间，分母是每秒内被限制使用多少CPU时间 sum( irate(container_cpu_usage_seconds_total[3m]) ) by (pod,id,namespace

建与销毁容器。获取⽂件系统中容器⽇志的路径，
 监视来⾃容器标准输出和标准错误输出，并以UDP协议分发到RBD-EVENTLOG组件。 接收来⾃NODE服务的推送，⽤WEBSOCKET协议将⽇志内容推送到⽤户所操作的应⽤控制台。 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 1.3 实际配置 1.2 插件制作