敏捷化需求 • 云原生应用场景对服务的敏捷度、灵活性要求非常高，很多场景期望容器的快速启动、灵活的调度，这样即需要存储卷也能敏捷的根据 Pod 的变化而调整。 需求表现在： • 云盘挂载、卸载效率提高：可以灵活的将块设备在不同节点进行快速的挂载切换； • 存储设备问题自愈能力增强：提供存储服务的问题自动修复能力，减少人为干预； • 提供更加灵活的卷大小配置能力。 2. 监控能力需求 • 需要资源 能够及时的扩容，以满足业务需求。尽管一些大数据管控平台尝试实现自动的扩缩容（如通过集群负载情况，进行扩 容），然而，在传统大数据平台架构下，通常需要资源申请、依赖软件安装、服务部署等一系列步骤，该过程通常比 较慢，对于集群负载的缓解，不够及时。 • 在离线分离部署及粗粒度调度无法提高资源的利用率：在传统Hadoop架构下，离线作业和在线作业往往分属不同的集 群，然而在线业务、流式作业具有

云端分析系统 设备端 (现场)边缘计算BOX 业务场景复杂，对算力、通信要求很高，计算放置于 云端时效性差，另外无法现场就对业务进行处理，比 如计算路口交通事故预警，给予司机及时提示等，所 以将算力卸载在距离业务现场、设备最近的地方，就 是边缘计算的场景，它的价值空间远超AIoT，可以更 大范围为客户赋能，IoT和边缘计算一定走向融合。 定位为基于物模型的计算 定位为基于业务的计算 高级能力-

所示 图 11 镜像投毒攻击路径分析 云原生安全威胁分析与能力建设白皮书 38 3.1.2 攻击过程复现 步骤 1：构建二进制漏洞利用程序。 步骤 2：基于 Ubuntu 镜像构建恶意镜像，将上一步中的二进制漏洞利用程 序作为镜像的入口点（entrypoint） 步骤 3：先使用 nc 等工具开启反弹 shell 监听，然后执行如下命令模拟受 害者创建并运行容器即可，效果如图 12 文件挂载到容器内部，将会导致容器逃逸风 险。 3.2.2 攻击过程复现 步骤 1：创建一个容器，并在容器中挂载/var/run/Docker.sock 文件 docker run -itd --name with_Docker_sock -v /var/run/Docker.sock: /var/run/Docker.sock ubuntu 步骤 2：在容器安装 Docker 命令行客户端，内执行以下命令： 命令行客户端，内执行以下命令： apt-get update apt-get install curl curl -fsSL https://get.Docker.com/ | sh 步骤 3：在容器内部创建一个新的容器，并将宿主机目录挂载到新的容器 docker run -it --name container_in_container -v /:/host ubuntu /bin/bash 操作结果如图 13

集群，例如 Minikube、Kind 等即可快速启动微服务应⽤。 但对于开发⼈员来说，原来单体应⽤的开发体验变得不复存在，由于应⽤很难在 Docker 容器之外运⾏，所以 每次代码修改，都需要经历以下步骤： 执⾏ docker build 构建镜像 执⾏ docker tag 对镜像进⾏标记 执⾏ docker push 推送镜像到仓库 修改 Kubernetes ⼯作负载的镜像版本 等待镜像拉取结束 为新员⼯快速分配开发环境，分配环境后⽴刻能进⾏应⽤开发 弹性的开发环境资源，⽤完销毁，降低开发成本 以 Nocalhost 内置的 Demo：Bookinfo 为例，开发 Productpage 微服务，变成了以下简单的⼏个步骤： N. ⼀键部署开发环境 O. 环境部署完成，选择要开发的组件，点击“锤⼦”进⼊开发模式 Nocalhost - 重新定义云原⽣开发环境.md 2021/1/20 4 / 7 P. 克隆业务代码或选择本地代码⽬录打开

led。 创建Ingress查看Kiali 路路由-> 命名空间istio-system,点击创建。输⼊入名称为kiali, 域名也为kiali, 选择服务kiali及端⼝口20001. 后续步骤中会随时查看Kiali，来展示服务之间的调⽤用关系。 部署应⽤用 使⽤用 kubectl 部署简单的服务 1 kubectl apply -f app.yaml 上⾯面的命令会启动全部的3个服务，其中也包括了了

。 但是问题就来了，还是会存在两个GW，如何管理？ 这就需要从Istio的方向，在PaaS控制台上逻辑上啮合成统 一的管理接口，底层自动关联和管理一致的配置 总结:Mesh化 是云原生落地的关键步骤 核心价值：