的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 生技术的广泛应用，带来了一系列云原生安全问题，因此，要保障云原生的安全， 云原生安全威胁分析与能力建设白皮书 一项新兴技术 也带来了一系列新的问题，对企业原有的信息安全防护模式提出了新的挑战，例 如，微服务、容器运行时的短生命周期、CI/CD 全流程监控缺失、镜像及供应链 的复杂性等。另外，云原生技术生态涵盖基础设施到 DevOps 开发多个维度， 这打破了原有的信息安全视角。在应对不断出现的针对云原生基础设施、平台及 容器的安全威胁过程中，原有的安全体系也产生了变革。主要表现在如下几个方 面： 逸 风 险 。 例 如 Docker Socket 套 接 字 文 件 （/var/run/docker.sock）、宿主机的 procfs 文件等敏感文件。 程序漏洞导致的容器逃逸：参与到容器生态中的服务端、客户端程序自身存 在的漏洞都可能导致容器逃逸的风险，例如 CVE-2019-5736 漏洞。 2.3.3 拒绝服务攻击 由于容器与宿主机共享 CPU、内存、磁盘空间等硬件资源，且 Docker

ApplicationConfiguration Component 微服务 数据库 MQ Cache Trait 灰度 监控告警 弹性扩缩容 高可用 负载均衡 客户环境 • 关注点分离：开发者关注应用本身，运维人员关注模块化运维 能力，让应用管理变得更轻松、应用交付变得更可控； • 平台无关与高可扩展：应用定义与平台层实现解耦，应用描述 支持任意扩展和跨环境实现； • 模块化应用运维特征：可以自由组合和支持模块化实现的运维 念是： 应用组件（Components），它是整个应用的重要组成部分。应用组件既可以包括 应用运行所依赖的服务：比如 MySQL 数据库，也包括应用服务本身：比如拥 有多个副本的 PHP 服务器。开发者可以把他们写的代码“打包”成一个应用组件。 • Trait描述了应用在具体部署环境中的运维特征，比如应用的水平扩展的策略和 Ingress 规则，它们在不同的部署环境里却往往有着截然不同的实现方式。 承载能力和OAM抽象化编排能力，可以不等排 期的构建各种特征的Paas。业务应用由于不依 赖于运维特性，也实现了标准化，也可以加入 组件市场，此时开放PaaS+开放应用市场可以 构建对应各种环境的应用了。 • 云原生蓬勃而多样的生态成了这种Paas的基础。 • 编排不在以服务为单位，而是以应用为单位， 再也不会出现由于理解不一致导致的交付失败 的情况，而不论底层容器云实现如何，应用的 交付的方式都是一致的。 DevOps是一

Cloud Native 生态融合，在实践的道路上一步步的走向云原生。 2018年3月 MOSN 诞生 支持 Service Mesh 核心支付链路覆 盖 MOSN 宣布独立运营 CNCF landscape V0.13.0 发布， 进行云原生组 件生态融合 Istio 官方推荐 数据面 MOSN 和 Envoy、 Dapr、WASM 开始展开生态合作 商业化落地 江西农信 Mesh Star: 3100 Committer: 10 Contributor: 78 Corporate users: 20+ Commits: 4894 Release: 27 MOSN 简介 — 生态建设 MOSN 简介 — 2021 roadmap 云原生 • 云原生网络平台建设 • 升级 Xprotocol 框架 • 支持 WASM • 区块链网络框架 • 代码热更新 • 多协议建 设 核心能力 微服务 性能优化 MOSN 网络层扩展思考和选型 MOE 背景介绍 — 什么是 MOE 处理性能高 （C++） 研发效能高 (GoLang、生态) 高性能、高研发效能、生态打通 MOE = MOSN + Envoy 相互融合，各取所长 在 Service Mesh 领域，Envoy 和 MOSN 作为 其数据面 Sidecar 之一 ，用于解决传统服务治

Roadmap 04 MoE 背景介绍 MoE 是什么 为什么做 MoE 方案调研与分析 MoE 背景介绍 — 什么是 MoE 处理性能高 （C++） 研发效能高 (GoLang、生态) 高性能、高研发效能、生态打通 MoE = MOSN + Envoy 相互融合，各取所长 在 Service Mesh 领域，Envoy 和 MOSN 作为其数据面 sidecar 之一 ，用于解决传统服务治理体系下的痛点如： • WASM extension • External-proc extension 可扩展性、灵活性、生态 价值意义 • 技术共享，融合 Envoy 和 MOSN 优势 • 增强 Envoy 和 GoLang 社区生态粘性 MoE Envoy 和 GoLong 生态打通 维护成本高、可扩展性弱 MoE 背景介绍 — 方案调研 方案名称 优势 劣势 Lua Extension 改造成本低； 研发效率高，灵活性高； GoLang 支持的库比较多（Consul、 Redis、Kafka etc），生态较好 引入 GoLang 扩展后,有一定性能损 耗,业务场景可接受，另外有优化 空间 扩展方案调研 MoE 背景介绍 — 方案分析 方案名称 稳定性 性能 成本 生态 Lua Extension 高 高 高 较低 WASM Extension ES 低 高 活跃 External

解决运维成本 • 通过 ARMS 解决定位成本 • 通过 AHAS 解决技术风险 • 通过 PTS 解决容量风险 优势 • 开源、自研、商业化三位 一体 • 开源 DNS 国内事实标准， 生态完善 • 十多年双十一洪峰考验， 默认高可用 • 阿里云成千上万用户的选 择，简单易用 • 专业的微服务团队保障 Dubbo/Spring-Cloud-Alibaba/Envoy 服务框架+服务⽹格 nvoy 服务框架+服务⽹格 Ingress（Envoy） 云原⽣⽹关 服务治理 控制面 微服务引擎（Micro Service Engine，简称 MSE）是一个面向业界主流开源微服务生态的一站式微服务平台 高性能 高可用 高集成 安全 竞争力 三位一体： 阿里微服务 DNS 开源最佳实践 + 产品灵活组合 & 开箱即用 + 经过阿里双十一考验的默认高可用能力 服务治理最佳实践 、采样率 超时、重试 流量调度 动态数据源 故障自动切库 DB大促预建联 密码定期修改 流量控 制 线程控 制 微服务生态 前端生态 Spring Sentinel 高可用生态 Dubbo Midway Switch 数据库生态 TDDL 服务鉴权 Pre-plan MSE（Nacos） 服务网格最佳实践 阿里服务网格（简称 ASM）是一个统一管理微服务应用流量、兼容Istio的托管式平台

商业价值 腾讯安全战略研究部联合腾讯安全联合实验室近日共同发布《产业互联网安全十大趋势(2021)》(下简称《趋势》)，基于2020年的产业实践和行业风向， 从政策法规、安全技术、安全理念、安全生态、安全思维等维度为产业互联网的安全建设提供前瞻性的参考和指引，助力夯实产业互联网的安全底座。 《趋势》认为，2021年将进一步完善个人信息保护体系，企业对个人信息利用规范化，数字安全合规管理将成为企业的必备能力。与此同时，企业还 其他租户的存储卷服务。 高级能力-云原生存储-应用的基石-2-技术架构 Rook是一个集成了Ceph、Minio等分布式存 储系统的云原生存储方案，意图实现一键 式部署、管理方案，且和容器服务生态深 度融合，提供适配云原生应用的各种能力。 从实现上，可以认为 Rook 是一个提供了 Ceph 集群管理能力的 Operator。其使用 CRD 方式来对 Ceph、Minio 等存储资源进 行部署和管理。 你通过一套系统实现对多种存储服务的需 求。同时 rook 默认部署云原生存储接口 的实现，通过 CSI / Flexvolume 驱动将应 用服务与底层存储进行衔接，其设计之初 即为 Kubernetes 生态所服务，对容器化应 用的适配非常友好。 高级能力-云原生中间件-应用的基石-MQ为例 云原生消息服务是云原生的通信基础设施 消息中间件在云原生的应用场景，主要是为微服务和EDA架构提供核心的解耦、异步和削峰的能力，在云原生体系

可以带来的东西会更多。 将业务沉淀抽象化(比如 中台化),向上呈现。 • 低代码平台可以把不同 部门的系统、不同类型 的技术，如 RPA、BPM、 微流逻辑等串联在一起， 实现端到端的智能自动 化。是种生态型平台。 高级能力-混合云（资源角度） 控制力 服务、位置、规则可控 高安全 安全自主可控 高性能 硬件加速、配置优化 固定工作负载 私有云 混合云 SLB 工作负载可迁移 敏捷 标准化、自动化、快速响 混合云本质是一种资源运用形式，资源 使用地位不对等，以私有云为主体。 控制台 控制台 高级能力-多云（资源角度） 调研机构Gartner公司指出，80％的内部部署开发软件现在支持云计算或云原生，不断发展的云计算生态系统使企业能够更快、 更灵活、更实时地运营，从而带来竞争压力。接受云原生和多云方法作为一种新常态，意味着企业可以避免云计算供应商锁定， 可以提供超过5个9的响应率（99．999％），以避免每次停机导

企业数字化转型急需高度自动化 的、面向应用的极简云体验 边缘计算场景正在极速拓展云 端的业务领域 将云能力延展到客户 业务现场，逐渐成为 云计算下半场主要价 值体现，将进一步催 发云计算的交付形态 云边一体 生态与竞争格局分析 云原生赋能平台建设维度划分 微服务应用架构治理平台、 DevOps平台、 数据建模与大数据分析平台 用好云原生 容器云平台、边缘计算平台 建好云原生 容器安全、统一多云纳管、融合告 于统一的愿望做到简化部署、 更加抽象简化的使用方式迈进。一家叫做Gloo.io的公司开始这方面的尝试! ServiceMesh-5-新发展-将Mesh化横向进行到底 容器云目前也力图兼容老的生态，比如虚拟化场景，也同时在想纳管Serverless类型的容器，RT层面的碎片化，导 致Mesh想做为统一的服务治理界面变得非常困难，UDPA为我们开了一个口子，阿里ASM做出领先业界的尝试 ASM在统一控制面

理开发⼈员的开发环境？如何让新⼊职的同事快 速进⾏开发？ 试想⼀下，要开发由 200 个“微服务”组成的云原⽣应⽤，会遇到哪些困难呢？ Localhost 时代 在单体应⽤的时代，对于开发者来说是极为友好的，�开发者使⽤本机运⾏应⽤，修改代码后实时⽣效，通过 浏览器访问 Localhost 实时查看代码效果。 单体应⽤和“微服务”应⽤不同，单体应⽤是 “ALL-IN-ONE” 组织⽅式，所有的调⽤关系仅限于在⾃身的类和函 是⼀个云原⽣开发环境，希望让开发云原⽣应⽤像开发单体应⽤原始⼜简单。 Nocalhost 重新梳理了开发过程所涉及到的⻆⾊和资源： 团队管理⼈员 Nocalhost - 重新定义云原⽣开发环境.md 2021/1/20 3 / 7 开发者 应⽤ 集群 开发空间 通过对这些⻆⾊和资源的重新整合，Nocalhost 重新定义了云原⽣开发环境，并带来了全新的云原⽣开发体 验。 为了快速理解 Nocalhost 重新定义的云原⽣开发环境，让我们⾸先站在不同的⻆⾊来看 ⾃动创建的开发者两个⻆⾊默认的账号密码，并输出了 Nocalhost Web 控制台的登陆地址： http://81.71.77.28 打开登陆地址，使⽤默认管理员⽤户名 admin@admin.com 和密码 123456 登陆 Web 控制台，控制台能够 管理⽤户、集群和应⽤。init 阶段⾃动使⽤部署 Nocalhost 的集群作为开发集群，同时创建了 Bookinfo 应⽤和开发者，并为开发者分配了

Device Pod Template Ingress ServiceMonitor Logger Workload Type/ Controller Type 能⼒模型 平台开发者/运维 应⽤模型 业务员开发者 容器模型 K8S模型 业务组件 业务组件 业务组件 流量治理 服务治理 运维能⼒ 应⽤ 应⽤模型定义⽤例 03. ⾯向交付的应⽤模型 应⽤模型 PaaS平台 完整业务架构 A⽤户定制⽅案 B⽤户定制⽅案 研发平台 交付平台 测试平台 应⽤模型定义实践-开发者 04. 2B交付版本的DevOps 应⽤组装和研发 应⽤模型定义实践-开发者 04. 2B交付版本的DevOps 源码定义规范 属性识别 智能赋值 UI化管理 模型打包 开发者 云原⽣平台 源码持续构建 选择中间件 实现数据初始化 实现业务可配置 应⽤模型交付实践-交付平台 ⽀持上百个组件⼀键交付 应⽤模型运维实践-插件化运维能⼒ 04. 2B交付版本的DevOps 应⽤治理架构与业务架构解耦合 业务A 治理 SideCar 业务B 业务C （1）业务开发者定义业务架构 （2）运维/架构师定义业务治理架构 ⽹络治理模式 ⽇志收集模式 链路跟踪 访问⽇志记录 （3）业务不受治理架构的变化影响 治理 SideCar 治理 SideCar