按实际调用量进行自动的容量扩缩 • 专注业务逻辑开发，无须关心基础设施 • 只需要将视频存入存储，接入极其简单，达到极致业务体验 • 按需加载资源，使用时调度，不使用时自动回收，达到极致 成本的体验。 • 并行执行，可以同时出产不同维度业务结果，达到极致性能 体验。比如上图，同时从不同维度进行业务处理。 • 减少了传统微服务体系中容量规划和服务治理的负担，专注 于业务本身。 • 可以支持大部分业务场景：Web，视频、大数据、AI、运维场 技术和 Serverless 技术是工作在不同纬度的两个技术： • Service Mesh 技术的关注点在于服务间通讯，其目标是剥离客户端 SDK，为应 用减负，提供的能力主要包括安全性、路由、策略执行、流量管理等。 • Serverless 技术的关注点在于服务运维，目标是客户无需关注服务运维，提供 服务实例的自动伸缩，以及按照实际使用付费。 理论上 Service Mesh 技术和 Serverless

reservation，backfill • 不支持CPU/IO topology based scheduling 领域框架支持不足 • 1:1的operator部署运维复杂 • 不同框架对作业管理、并行计算等要求不通 • 计算密集，资源波动大，需要高级调度能力 资源规划复用、异构计算支持不足 • 缺少队列概念 • 不支持集群资源的动态规划以及资源复用 • 对异构资源支持不足 传统服务 大数据

限，威胁宿主机上的其他容器和内网安全。另外，随着各个企业云上业务的快速 发展，越来越多的应用开发深度依赖 API 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企 业 Web 应用程序数据泄露的最常见的攻击媒介，通过攻击 API 来达成攻击目的， 已 架构中一个常驻后台的 Docker 守护进程，用 于监听 REST API 请求并相应地执行容器操作，只有信任的用户才能向 Docker Daemon 发起请求。默认情况下，对于 Docker Daemon 的访问请求未经加密 和身份验证，攻击者可能通过伪造请求的方式，来达到欺骗 Docker Daemon 端执行危险的操作。 云原生安全威胁分析与能力建设白皮书 24 除此之外，攻击者可以通过暴露在互联网端且不安全的 作为主机上的根进程运行，攻击者还可能获得主机的完全控制 权。 2.3.2 容器提权和逃逸攻击 攻击者通过劫持容器，获得了容器内某种权限下的命令执行能力，然后利用 这种命令执行能力，借助一些手段进一步获得该容器所在宿主机上某种权限下的 命令执行能力，实现容器逃逸的目的。根据不同的原因，容器逃逸方式包括以下 几方面： 内核漏洞导致的容器逃逸：容器本身是一种受到各种安全机制约束的进程，

。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 相关漏洞，分别为任意代码执行漏洞和拒绝服务攻 击漏洞，攻击者可以通过构造特殊的请求进行任意 代码执行，以达到控制服务器、影响服务器执行的 目的。该漏洞已影响超6万个开源软件，涉及相关 版本软件包32万余个,被认为是“2021年最重要的 安全威胁之一” Apache Log4j2 漏洞 2022年3 月 30 日，国家信息安全漏洞共享平台 （CNVD）收录 Spring 框架远程命令执行漏洞 （CNVD （CNVD-2022-23942）。攻击者利用该漏洞，可 在未授权的情况下远程执行命令，该漏洞被称为 “核弹级”漏洞。使用 JDK9 及以上版本皆有可能 受到影响。 Spring 框架漏洞 软件下载投毒、SDK/恶意代码污染、基础开源组件漏洞、商业许可证限制 Equifax信息泄露事件 SBOM概述 SBOM的作用 实施 SBOM 有助于揭示整个软件供应链中的漏洞与弱点，提高软件供应链的透明度，减轻软件供

MoE 方案介绍 — MOSN 和 Envoy 内存如何管理 【请求链路】将 Envoy 中的请求信息拷贝一 份传递给 MOSN ? 需要额外内存分配和拷 贝？ 【响应链路】请求到 MOSN 执行一些操作， 其处理结果返回给 Envoy，Envoy 直接使用 GoLang 返回的内存安全吗？ Headers Envoy MOSN CGO Go extension API Alloc 对于纯计算(非阻塞)或请求链路中的旁 路阻塞操作，按照正常流程执行即可 Envoy 是异步非阻塞事件模型，那 MOSN(GoLang) filter 中存在阻塞操作 需要如何处理？ 对于阻塞操作，通过 GoLang 的 groutine（协程） 结合 Envoy 的 event loop callback机制： 当 MOSN 中有阻塞操作则 Envoy 立刻 返回，MOSN 启动一个协程，执行完 阻塞操作后 notify Envoy Http filter CGO 3 cgo response G P M Envoy 线程伪装为 M MOSN 是待运行 G P 从哪来？ Go runtime Envoy 通过 CGO 执行 MOSN(GoLang),此时 P 的数量如何管 理？M 从哪来？ G P M GMP 为 Envoy 每个 work thread 都预留对 应的 P，保证每个 G 都可以立刻找到 P MoE

Metric 是指在多个连 续的时间周期 内用于度量的 KPI数值 Tracing 通过TraceId来 标识记录并还 原发生一次分 布式调用的完 整过程和细节 Logging 通过日志记录 执行过程、代 码调试、错误 异常微观信息 数据之间存在很多关联，通过 关联性数据分析可获得故障的 快速界定与定位，辅助人的决 策就会更加精确 根据运维场景和关注点的不同，以不同图表或者曲 线图来表示整体分布式应用的各维度情况，使得开 kubevela。 OAM实现原理分析 • OAM是更高级的抽象， 执行面打包都是通用 格式，比如HELM，很 好的兼容了现有的基 础设施，无论怎样的 基础设施，都能在高 层保持一致的情况下， 在差异化的环境下运 行，而让业务研发人 员更加关注业务，而 不是基础设施本身。 • OAM本身就是基础设 施即代码的典范设计， 在中间层隔离了用户 使用和底层执行体， 进一步加强了统一性。 标准化能力-微服务PAAS-OAM交付流程模式-抽象流程 虽然能在基础设施的提供和管理上增加部分效率，但是对于环境的一致性保证以 及在数分钟内实现特定场景下基础设施就绪是很难实现的。因此需要一种全新的 管理方法，而IaC借助了软件开发中的代码管理经验，通过代码描述基础设施的配 置及变更，再执行代码完成配置和变更。 K8S OS DB F5 路由器 防火墙 .... Ansible Salt Chef Pupet 实际上云原生平台自己也采用了IaC来管理应用， 比如K8S的Yaml，这种方式有利于隔离实现细节。

需要额外内存 分配和拷贝？ 【响应链路】请求到 MOSN 执行一些 操作，其处理结果返回给 Envoy，Envoy 直接使用 GoLang 返回的内存安全吗？ 相比 WASM、Lua，MoE 内存 Zero Copy MOE 方案介绍 — 阻塞操作如何处理 对于纯计算(非阻塞)或请求链路 中的旁路阻塞操作，按照正常流 程执行即可 Envoy 是异步非阻塞事件模型， 那 MOSN(GoLang) GoLang 的 groutine（协程） 结合 Envoy 的 event loop callback 机制： 当 MOSN 中有阻塞操作则 Envoy 立刻返回，MOSN 启动一个协 程，执行完阻塞操作后 notify Envoy MOE 方案介绍 — GMP 中 P 资源问题 E n v o y 通 过 C G O 执 行 MOSN(GoLang)，此时 P 的数量 如何管理？M 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 worker 处理请求均衡性问题 • access_log handler 执行顺序不合理 • etc MOE 实践介绍 — 运行效果  MOE 中 MOSN RT 消耗在 0.05 ms 左右  MOE 相比于纯 Go 实现的网关处理能力具有 4 倍左右性能提升

此 访问可以授予对服务器上的任何令牌以及非服务器上的服务注册期间使用的任何令牌的访问权限。在 于Unix的平台上，文件使用0600权限编写，因此您应确保只有受信任的进程才能与Consul作为同一 户执行。在Windows上，您应确保该目录具有适当的权限，因为这些权限将被继承。 ● datacenter：此标志控制代理程序运行的数据中心。如果未提供，则默认为“dc1”。Consul拥有 多个数据中 域中的所有查询都由Consul处理，不会以递归方式解析。 ● enable-script-checks：这可以控制是否在此代理上启用了执行脚本的运行状况检查，默认为false 营商必须选择允许这些检查。如果启用，建议还启用ACL以控制允许哪些用户注册新检查以执行脚本 这是在Consul 0.9.0中添加的。 ● encrypt：指定用于加密Consul网络流量的密钥。该密钥必须是16字节的Base64编码。创建加密 join：启动时加入的另一个代理的地址。可以多次指定，以指定要加入的多个代理。如果Consul无 加入任何指定的地址，则代理启动将失败。默认情况下，代理在启动时不会加入任何节点。请注意，re ry_join在自动执行Consul群集部署时，使用 可能更适合帮助缓解节点启动竞争条件。 在Consul 1.1.0及更高版本中，可以将其设置为 go-sockaddr 模板 ● -retry-join：类似-joi

所以云原生数据的安全是要实现“可用但不可见”的能力。 • 可信执行环境（TEE)采用Intel SGX技术实现的密文数据上的计算操作，TEE 中的内存是受保护的，用户查询语句在客户端应用加密后发送给云数据库， 云数据库执行检索操作时进入TEE环境，拿到的结果是密文状态，然后返 回给客户端，数据面从传输、计算到存储全链条都是处于加密的，只有可 信执行环境内才进行明文计算。 • SSL+TDE+TEE=E2E云原生数据库安全方案。 方负责调用该API来创建和销毁资源，资源在Kubernetes上创建完成之后，该资源的Yarn NodeManager组件自动向 Yarn ResourceManager注册，以Kubernetes Pod的形式提供算力，后续执行作业时涉及到的资源调度，依然由Yarn负 责。 • 在镜像和发布周期方面，容器镜像技术精简了应用的运行环境，镜像只需提供应用必须的依赖环境，使其存储空 间得到了极大的减少，上传和下载镜像的时间变的更

识别污点源 污点传播 污点汇聚点 污点传播阶段 污染过程 处理过程 变量2 污点变量3 如果程序在对输入变 量处理过程中，没有做 好过滤和验证措施，就 有可能导致有害的输入 被传入sink点执行 污点数据是指来自程 序外部的数据，污点数 据有可能包含恶意的攻 击数据 安全测试-镜像扫描 由于云原生“不可变基础设施”的特点，对容器风险的修复必须从镜像上处理才是最有效的。 因此对镜像的安全扫描变得尤其重要。 提供整体修复建议 安全运营-容器入侵检测 未 知 威 胁 监 控 风险事件列表 容器内行为 实时监控 产生 告警处置 人工安全标记 响应处置 内置风险策略 木马病毒上传 恶意命令执行 容器逃逸 其他风险策略 已 知 威 胁 监 控 进程 网络连接 系统调用 文件 配置 安全容器模型 在业务上线后，容器安全工具基于内置检测规则+行为学习+自定义策略，多维度保障容器运行时的安全。 。磐舟DevSecOps平台的建设只是提供一个工具抓手。真正要 把安全工作做好，离不开管理、流程和团队的建设。 意识为先，警钟长鸣 通过不断的宣贯，让整个团队建立安全 意识 建立规范，严格执行 制定并发布《平台能力中心安全编码规范》 定期演练，检测有效性 定期演练，检验防护措施的有效性 持续运营，持续更新 漏洞规则要更新，病毒库要更新，防御手段也 要更新 乘舟上云 稳如磐基