云原⽣图数据库解谜、容器化实 践与 Serverless 应⽤实操 古思为 ⽅阗 Graph DB on K8s Demystified and its Serverless applicaiton in actions. DEVELOPER ADVOCATE @ MAINTAINER OF KCD China 2021 Nov. 6th @Shanghai 古思为 wey-gu ⻘云科技研发⼯程师 Overview 了解 K8s 上的 Serverless 计算平台搭建实践：OpenFunction K8s 上的图数据库基于 KubeBuilder 的 Operator 实现，解谜图数据库的知识与应⽤ 上⼿ K8s 上的云原⽣图数据库、从零到⼀构建 Serverless 架构的智能问答助⼿ siwei.io/talks/2021-KCD laminar.fun/talks/2021-KCD com/OpenFunction/samples 图数据库简介 什么是图？ 什么是图数据库？ 为什么我们需要⼀个专⻔的数据库？ 什么是图？ "以图结构、图语义来⽤点、边、属性来查询、表示存 储数据的数据库 wikipedia.org/wiki/graph_database 了解更多关于 什么是图数据库 什么是图数据库 为什么需要图数据库？ 传统数据库 图数据库 图模型的结构 图语义的查询 性能 Nebula

5 图 目 录 图 1 云原生四要素.....................................................................................10 图 2 云原生四要素的基本含义..................................................................11 图 3 云原生安全框架 ...... 13 图 4 云原生安全能力体系......................................................................... 16 图 5 云原生关键技术威胁全景..................................................................19 图 6 容器镜像安全风险. ........ 21 图 7 容器运行时安全风险......................................................................... 23 图 8 针对 k8s 进行攻击的路径分析......................................................... 27 图 9 针对微服务进行攻击的路径分析

压缩 零侵入的流量采集与分析 发送 零侵入的云原生应用可观测性 Flow 数据节点 云原生，水平扩展 监控数据 性能指标 调用日志 网络链路 由业务代码驱动的可观测性数据、云API数据 调用关系 知识图谱 链路追踪 黄金指标 关联 应用链路（Tracing） 应用日志（Logging） 应用链路 TraceID 私 有 云 物 理 公 有 云 企业混合云 控制器 10W采集器 采集器 1% CPU 0.01% 带宽开销 ︹ 零 侵 入 ︺ 流 量 采 集 云平台API 容器编排API TKE ACK 知识图谱 变更事件 资源信息 全 景 图 基于应用代码和日志的可观测性 企业混合云 100x ES/InfluxDB性能 1000+台跨Region集群 simplify the growing complexity © 2021, YUNSHAN 压缩 零侵入的流量采集与分析 发送 零侵入的云原生应用可观测性 Flow 数据节点 云原生，水平扩展 监控数据 性能指标 调用日志 网络链路 由业务代码驱动的可观测性数据、云API数据 调用关系 知识图谱 链路追踪 黄金指标 关联 应用链路（Tracing） 应用日志（Logging） 应用链路 TraceID 私 有 云 物 理 公 有 云 企业混合云 控制器 10W采集器

处理请求时，在标准协议的Header中增加标签 • 逐步减少需要直接在观测数据中注入的标签 • 减少重复的、不标准的标准注入 • 让每个标签只在一个地方注入 • 让尽量多的标签自动化注入 100+维度的云原生服务访问全景图：MTL关联、切分、下钻 THE FORCE，原力 看云网更清晰 Simplify the growing complexity. AutoTagging & MultistageCodec 让观测更自动，让开发者更自由！ 压缩 零侵扰的采集与分析 发送 零侵扰的云原生应用可观测性 Flow 数据节点 云原生，水平扩展 监控数据 性能指标 调用日志 网络链路 由业务代码驱动的可观测性数据、云API数据 调用关系 知识图谱 链路追踪 黄金指标 关联 应用链路（Tracing） 应用日志（Logging） 应用链路 TraceID N F V 公 有 云 / 私 有 云 企业混合云 控制器 10W采集器 20+云平台 采集器 1% CPU 1% 带宽开销 原 始 数 据 采 集 云平台API 容器编排API TKE ACK 知识图谱 变更事件 资源信息 全 景 图 基于应用代码和日志的可观测性 企业混合云 100x ES/InfluxDB性能 kafka simplify the growing complexity © 2022, YUNSHAN Networks

监控&稳定性 分析&追踪&排错&探索 • 从稳定性目标出发，首先需要有提示应用出问题的手段 • 当提示出现问题后，就需要有定位问题位置的手段，进 一步要有能够指出问题根因、甚至提前就预警的手段。 拓扑流量图：是不是按预期运行 分布式跟踪:哪些调用 故障或者拖慢了系统 监控与告警： 主动告诉我 问题发生了！ 微服务部署后就像个黑盒子，如何发现问题并在 远端运维是主要的课题，那么就需要从宏观告知 研发人员，并且提供日志、跟踪、问题根因分析 ITSM等系统的部署集成。 4. 由于上层所依赖的底层环境在不同交 付环境中是不同的，而传统交付方式 缺乏脚本能“理解”的方式来表达这些 差异，此外由于事后更新OS、三方库 或者系统，这些变更又缺乏校验关系， 升级时很难给予企业信心，这种交付 方式很难被自动化。 标准化能力-微服务PAAS-OAM-万花筒PAAS-1-引子 客户环境交付 制品 • 云应用交付最难的还不是RT的 碎片化，最难的是环境依赖的

务研发和运行一体的平台，其内部实现并不容易，想落地更不容易，关键在于人们现在存在巨大的误区！工具思维导致落地艰难！ 业务沟通、需求分析与设计的交流平台 低代码平台表达的是业务逻辑。低代码平台的作用是将业务需求中的逻辑关系理清楚，帮助企业实现这个逻辑。 好的低代码平台要能适应企业的需求变化，提供需求变更管理 如果组件的实现方式依旧是 coding，依旧是别人熬夜，你来拖拉拽，这不叫低代码，这叫劳动力外包。国内这类 伪 刚开始，从产业的整合，到商业模式、合作方向等都处于摸索阶段。客户、供应商、运营商等（转嫁风险、各取利益）之间存在博弈 关系（避免负和或者零和博弈，争取靠近正和博弈），云原生也与传统云模式存在博弈关系(天然的正和博弈) 对客户、运营商来说，有利因素主要体现在解决资金紧张问题、降低投资风险，将一部分风险转嫁给厂商，通过与设备商绑定的利益 关系，能获得厂商更多更好的支持和全球经验；不利因素在于相对传统交易方式可能需支付更多交易成本，在业务发展良好的情况， 的收益（视定价水平和业务发展状况），提供了降 价以外的竞争手段，并获得更密切的客户关系。不利因素体现在业务发展风险，实际业务量达不到预测水平或装机容量导致货款无法 全部收回，回款周期拉长导致客户信用风险放大，存在合同条款风险（双方权责、收入确认机制、资产转移等）。 云原生商业模式 云原生，天然的就是正和博弈关系，那是因为云原生就是为利用云的优势，由于它面向应用赋能反过来促进了云资源的销售 ISV

2019/8/8 1. RAINBOND安装与运维原理理解读 ⼲干货列列表 RAINBOND 线上培训（第九期） 2019/8/8 1. 同⼀一个节点可以复⽤用哪些属性 2. 服务组件依赖关系 3. rbd-dns 组件使⽤用技巧之下游dns服务器器设置 4. rbd-dns 组件使⽤用技巧之⽆无⽹网环境下解析域名 5. 组件配置如何⽣生效 6. 快速获悉组件⽣生效参数 1. 同⼀一个节点可以复⽤用哪些属性：
 节点可以复⽤用所有属性，⽽而且根据ETCD集群选举机制，管理理节点可以为1、3、5奇数个
 那么我们可以⽤用⼏几台服务器器搭建⾼高可⽤用集群呢？答案是3 2. 服务组件依赖关系：详⻅见依赖关系列列表
 https://www.rainbond.com/docs/troubleshoot/concrete-operations/service-depend/ 3. rbd-dns

得越来越多。⽽在“微服 务”的拆分的实践中，很容易出现将组织架构的权责边界⼀股脑地对标到“微服务”�的拆分粒度中，这可能导致 “微服务”拆分粒度过细，数量进⼀步剧增的问题。最终，“微服务”之间的调⽤关系就像跨部⻔协作，也变得 越来越复杂，问题在想要新增需求时尤为突出。 “微服务”带来便利的同时，对开发⼈员⽽⾔，还带来了额外的挑战：如何快速启动完整的开发环境？开发的 需求依赖于其他同事怎么联调？如何快速调试这些微服务？ 浏览器访问 Localhost 实时查看代码效果。 单体应⽤和“微服务”应⽤不同，单体应⽤是 “ALL-IN-ONE” 组织⽅式，所有的调⽤关系仅限于在⾃身的类和函 数，应⽤对硬件的要求⼀般也不会太⾼。 ⽽开发“微服务”应⽤则⼤不相同，由于相互间的依赖关系，当需要开发某⼀个功能或微服务时，不得不将所 有依赖的服务都启动起来。随着微服务数量的增加，开发应⽤所需要的本地资源越来越多，最终导致本地⽆ 法满⾜开发的配置需求。

是问题往往没有那么简单。 REST TCP gRPC REST 专业型网关 通用型网关 API网关和ServiceMesh之间的关系 网关访问内部服务，算东西向还是南北向？意思是说网关在调用服务的方向上和ServiceMesh的功能几乎重叠了! GW API GW API 过去两者的关系很清晰，而且由于当时Service Mesh和API Gateway是不同的产品，两者的重合点只是在功能上。而随着时间的推移，当 间的推移，当 Service Mesh 产品和 API Gateway 产品开始出现相互渗透时，两者的关系就开始变得暧昧。基于gloo的思路，其实可以得到更一致的整合，但是目前gloo理念还在l 路上，所以需要采用一种简单胶水先把流量入口的配置统一起来。 还有就是，具体落地时发现Istio和K8S Ingress网 关不仅仅是功能重叠，而且产生了对立面的部分： GW Istio GW Service

软件生产商使用SBOM来协助构建和维护他们提供的软件； 〇 软件采购商使用SBOM来进行采购前参考、协商折扣和制定采购策略； 〇 软件运营商使用SBOM为漏洞管理和资产管理提供信息，管理许可和 合规性，并快速识别软件和组件依赖关系以及供应链风险。 2）从企业角色类型来看，对SBOM有不同的使用需求： 〇 开发团队：用于管理软件资产，在开发早期即可评估安全风险，筛选 适合的组件/软件，并持续更新SBOM； 〇 安全团队 可以生成完整的 SBOM，SBOM 作为制品成分清单，同时建立软件构成图谱，为后续分析提供基础，即分析开 发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并精准识 别系统中存在的已知安全漏洞或者潜在的许可证授权问题。 IAST——API安全检测 doubo fosf://xxx.services.id 网关 nginx doubo java