云原生安全威胁分析与能力建设白皮书 20 受害者使用该镜像创建容器，进而实现入侵容器、宿主机的目的。路径 1 显示 针对镜像层可能存在的攻击手段，包括：镜像投毒攻击、镜像仓库攻击、中间人 攻击、敏感信息泄露攻击和针对镜像不安全配置的攻击。 路径 2：攻击者直接对容器或容器运行时发起攻击，通过利用容器或容器运 行时存在的漏洞，实现入侵宿主机的目的。其中低级容器运行时负责创建和运行 容器，而高级容器运行时负责容 镜像是一个包含应用/服务运行所必需的操作系统和应用文件的集合，用于 创建一个或多个容器，容器和镜像之间紧密联系，镜像的安全性将会影响容器安 全。图 6 展示了攻击者利用镜像进行攻击的主要方式。 图 6 容器镜像安全风险 2.2.1 镜像投毒攻击 攻击者通过上传恶意镜像到公开仓库或受害者本地仓库，然后将恶意镜像伪 装成正常镜像以引导受害者使用该镜像创建容器，从而实现入侵。根据入侵目的 的不同，可以分为恶意后门镜像和恶意 是一类典型的针对计算资源的拒绝服务攻击 手段，其可通过递归方式无限循环调用 fork()系统函数，从而快速创建大量进程。 由于宿主机操作系统内核支持的进程总数有限，如果某个容器遭到了 Fork Bomb 攻击，那么就有可能存在由于短时间内在该容器内创建过多进程而耗尽宿 主机进程资源的情况，宿主机及其他容器就无法再创建新的进程。 存储型 DoS 攻击：针对存储资源，虽然 Docker 通过 Mount 命名空间实现

� 准备Kubernetes集群 阿⾥里里云容器器服务Kubernetes 1.10.4⽬目前已经上线，可以通过容器器服务管理理控制台⾮非常⽅方便便地快速创建 Kubernetes 集群。具体过 程可以参考创建Kubernetes集群。 安装和设置kubectl客户端，请参考不不同的操作系统，如果已经安装完成请忽略略： macos 1 2 3 4 curl -LO https://kubectl Sidecar 注⼊入 查看namespace： 点击编辑，为 default 命名空间打上标签 istio-injection=enabled。 创建Ingress查看Kiali 路路由-> 命名空间istio-system,点击创建。输⼊入名称为kiali, 域名也为kiali, 选择服务kiali及端⼝口20001. 后续步骤中会随时查看Kiali，来展示服务之间的调⽤用关系。 部署应⽤用 都已经正确的定义和启动 确认所有的服务已经正确的定义和启动 1 kubectl get services 确认所有的Pod 都已经正确的定义和启动 1 kubectl get pods 确认⽹网关创建完成 1 kubectl get gateway 应⽤用缺省⽬目标规则 1 kubectl apply -f destination-v1.yaml 等待⼏几秒钟，等待⽬目标规则⽣生效。这意

在弹性扩缩容和资源申请方面，借助基于Kubernetes的serveless服务，做到资源按需创建、按需使用和付费；而资 源的调度方式，则依然保证不变。具体来说，Kubernetes只是资源的提供方，只提供创建和销毁资源的API，业务 方负责调用该API来创建和销毁资源，资源在Kubernetes上创建完成之后，该资源的Yarn NodeManager组件自动向 Yarn ResourceManager注册，以Kubernetes 而充分利用系统闲置资源）。 • 在应用改造成本、迁移风险和组织架构方面：通过渐进式的迁移，大数据应用团队无需改造既有架构，只需制作 当前所用的Hadoop版本的镜像，即可完成在Kubernetes上创建容器资源补充算力，这种方式，可以最低程度的减少 变更，从而尽可能的降低迁移风险，与此同时，大数据团队保证Yarn资源调度和使用，容器团队保证Yarn pod的 稳定运行，分工明确，能最大限度的保证系统的稳定性。

如果应用负载升高/降低，如何及时、按需扩展/收缩所 用资源？ 场景 3 如果业务系统要升级，如何平滑升级？万一升级失败是 否能够自动回滚？整个过程线上业务持续运行不中断。 传统稳态业务环境难以高效承载敏态应用 发现故障 （假死） 创建 新实例 配置 运行环境 部署当前 应用版本 添加 监控 配置 日志采集 测试确认 服务正常运行 实例 加入集群 恢复正常 场景 1 如果生产中一台Web应用服务器故障，恢复这台服务器需要 如果应用负载升高/降低，如何及时按需扩展/收缩所用 资源？ 场景 3 如果业务系统要升级，如何平滑升级？万一升级失败是 否能够自动回滚？整个过程线上业务持续运行不中断。 传统稳态业务环境难以高效承载敏态应用 发现故障 （假死） 创建 新实例 配置 运行环境 部署当前 应用版本 添加 监控 配置 日志采集 测试确认 服务正常运行 实例 加入集群 恢复正常 工作量 成本 新一代架构（微服务）应用的对承载平台提出新要求 的服务间通讯能力和 Serverless 的无服务器运维。 ServiceMesh-7-新发展-Mesh Broker架构 服务消费者 中心化 Mesh Broker 服务提供 者 连接创建 连接创建 服务注册 • 无端口监听 • 占用资源少 • 无网络要求 • 无底层基础设施依赖：任何PaaS间可以通信 • 无服务注册依赖，无负载均衡需求 • 简化运维：中心化后，只需要管理服务器就可以了 •

中的渐进式发布实践 第三部分 面向终态模式--渐进式发布 发布策略定义 Application AppRevision v1 AppRevision v2 AppRevision v3 ① 创建 ② 第一次更新 ③ 第二次更新 控制器 循环 发布完毕 ComponentDefinition TraitDefinition Application snapshot (v1) 根据策略按批自动灰度。 K8s Resource 发布单模式--渐进式发布 Application AppRevision v1 AppRevision v2 AppRevision v3 ① 创建 ② 第一次更新 ③ 第二次更新 发布状 态机 发布单模式下 Application 的更新不 再实际操作资源，只生成版本快照 AppRollout-1 开始 暂停 继续 成功 AppRollout-2 cluster2 cluster1 面向终态的多版本共存 --渐进式发布 Application AppRevision v1 AppRevision v2 AppRevision v3 ① 创建 ② 第一次更新 ③ 第二次更新 多版本模式下 Application 的更新不 再实际操作资源，只生成版本快照 控制器 循环 Application Deployment K8s Resource

结束后，得到管理员和 ⾃动创建的开发者两个⻆⾊默认的账号密码，并输出了 Nocalhost Web 控制台的登陆地址： http://81.71.77.28 打开登陆地址，使⽤默认管理员⽤户名 admin@admin.com 和密码 123456 登陆 Web 控制台，控制台能够 管理⽤户、集群和应⽤。init 阶段⾃动使⽤部署 Nocalhost 的集群作为开发集群，同时创建了 Bookinfo 应⽤和开发者，并为开发者分配了

暴露的是容 器的概要监控数据（普通json协议）， 在 /metrics 暴露的是自身的监控数据 （prometheus协议） • Kubelet 的核心职责就是管理本机的 Pod 和容器，典型的比如创建 Pod、销 毁 Pod，显然我们应该关注这些操作的 成功率和耗时 • Categraf 的仓库中 inputs/kubernetes/kubelet-metrics- dash.json 就是 Kubelet rabbitmq，直接暴露了 /metrics 接口，可以做一个 sidecar 模式的抓取器，与中间件一起部署、一起升级、一起下线销毁 • 动态改配置：比如中间件部署在物理机上，部署中间件的脚本，顺便创建对应的采集配置，然后对采集器 reload， 下线中间件的时候，就是删除对应的采集配置，对采集器 reload • 中心端统一采集：不同的中间件，可以分别使用不同的采集器实例（相当于根据中间件类型做抓取器的分片），

dev：启用开发服务器模式。这对于快速启动Consul代理并关闭所有持久性选项非常有用，可以启 内存服务器，该服务器可用于快速原型设计或针对API进行开发。在此模式下， Connect已启用，默 情况下将在启动时创建新的根CA证书。此模式不适用于生产用途，因为它不会将任何数据写入磁盘。 ● disable-host-node-id：将此设置为true将阻止Consul使用来自主机的信息生成确定性节点ID，而 营商必须选择允许这些检查。如果启用，建议还启用ACL以控制允许哪些用户注册新检查以执行脚本 这是在Consul 0.9.0中添加的。 ● encrypt：指定用于加密Consul网络流量的密钥。该密钥必须是16字节的Base64编码。创建加密 钥的最简单方法是使用 consul keygen。群集中的所有节点必须共享相同的加密密钥才能进行通信。 供的密钥将自动持久保存到数据目录，并在重新启动代理时自动加载。这意味着要加密Consul的八卦

RAINBOND⾃自身⽇日志管理理机制 1.3 ⽇日志来源，以及相关原理理 node服务功能与⻆角⾊色 rbd-eventlog组件功能与⻆角⾊色 NODE服务会监视DOCKERD进程，观察其创建与销毁容器。获取⽂件系统中容器⽇志的路径，
 监视来⾃容器标准输出和标准错误输出，并以UDP协议分发到RBD-EVENTLOG组件。 接收来⾃NODE服务的推送，⽤WEBSOCKET协议将⽇志内容推送到⽤户所操作的应⽤控制台。

6. 登录 harbor, 默认账户密码 admin: Harbor12345 _ by QingCloud 如何开发一个 Helm 应用 • helm create hello-chart: 创建 Chart 目录 chart.yaml: 声明了当前 Chart 的名称、版本等基本信息 values.yaml: 提供应用安装时的默认参数 templates/: 包含应用部署所需要使用的YAML