5G 核心网网元和边缘计 算平台就面临着云原生安全威胁和风险。 在工业互联网方面，构建 IT 和 OT 融合的全互联、扁平化、灵活化的工业 云原生安全威胁分析与能力建设白皮书 18 网络体系结构是工业网络发展的必然趋势，工业互联网连接了 IT 和 OT 环境， 如果一个恶意的容器应用能横向渗透到 OT，则可能会威胁整个工业互联网体系 的安全。 云原生安全威胁分析与能力建设白皮书 19 会引发 相应的安全风险。如开发维护不当导致的安全漏洞，可能为 API 带来严重安全 隐患，不法分子可通过安全漏洞、恶性 Bug 等因素获取敏感信息、造成服务器 失陷。开发过程中引入开源或第三方插件、加载库、模块、框架等存在安全问题 云原生安全威胁分析与能力建设白皮书 33 时，导致代码中出现安全漏洞、恶意代码、“后门”等安全隐患。 2.6 路径 5：Serverless 攻击 无服 实 例 研 究 可 参 考 Top10 Interpretation for Serverless[22]。 2.6.2 敏感数据泄露攻击 在无服务器计算体系结构中，敏感数据的暴露与在其他任何体系结构中一样 令人担忧。传统体系结构中使用的大多数方法，如窃取密钥、执行中间人攻击以 及在静止或传输中窃取可读数据，仍然适用于无服务器应用程序。然而，由于无 服务器计算架构的存储共享特点，攻击者可以利用共享存储权限配置错误或漏洞

场景 数据源 数据日志 消息数据 订单数据 云原生 DB 高并发写入 用户 MR 云DB 用户 日志消息类数据实时分析 支持企业低成本、大容量存储和查询各类日志、消息、交易、用户行为、画像等 结构化/半结构化数据，支持高吞吐量实时入库及数据实时查询，实现数据资源 智慧化运营。 优势 低成本存储： 支持PB级数据存储 高并发： 千亿数据实时分析 数据源 设备监控 传感器 轨迹数据 车联网 业务集群 物联网套件写入 Ceph文件存储 MiniO对象存储 • Operator：实现自动启动存储集群，并监控存储守护进程，并确保存储 集群的健康； • Agent：在每个存储节点上运行，并部署一个 CSI / FlexVolume 插件， 和 Kubernetes 的存储卷控制框架进行集成。Agent 处理所有的存储操 作，例如挂载存储设备、加载存储卷以及格式化文件系统等； • Discovers：检测挂接到存储节点上的存储设备。

SSD 或 NVME 的盘 • 采集方式可以参考 categraf 仓库的 k8s/deployment.yaml，如果是 sidecar 模式，就直接使 用 categraf prometheus 插件即可，大盘可以参考 k8s/etcd-dash.json • etcd_server_has_leader etcd 是否有 leader • etcd_server_leader_changes_seen_total terminated状态，等等 • 资源对象的监控使用 kube-state-metrics，这个开源项目是基于 client-go 开发，轮询 Kubernetes API，并将 Kubernetes 的结构 化信息转换为 metrics • 支持右侧罗列的相关资源对象的指标 • 比如Pod的指标，会有 info、owner、status_phase、status_ready、 status_sched

交付人员学习手册文档，需要在客户 环境做“安装配置”和“与遗留系统集成” 两方面工作。 2. 安装配置：在硬件上安装软件，不乏 针对硬件特性的适配、还需要安装OS 等，最后还要在OS上安装应用，并且 还要保证应用软件依赖拓扑结构不会 出错。 3. 集成点：包括新环境的硬件、软件和 应用与遗留系统的集成，比如，监控、 服务注册中心、文件传输、消息集成、 ITSM等系统的部署集成。 4. 由于上层所依赖的底层环境在不同交 付环境中是不同的，而传统交付方式 AppConfig嵌入到Ansible 的PlayBook中。 Host Inventory 主机清单 PlayBooks 剧本 核心模块 自定义模块 Plugins Email、logging、 other 插件 Ansible 负责解析剧本并通过连 接器执行 Connector 连接受控端 主机 主机 主机 DevOps-CICD 软件制品库 Docker引擎安装包、K8S安 装包、数据库等等 投放剧本(Yaml)

线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 1.3 实际配置 1.2 插件制作 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 以插件的形式，与应⽤⼀起运⾏⼀个 FILEBEAT 。对⽇志⽬录挂载⽂件存储，即可让FILEBEAT
 收集到指定的⽇志⽂件，并上报ELASTICSEARCH。 收集到指定的⽇志⽂件，并上报ELASTICSEARCH。 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.2 插件制作 - 项⽬目地址：https://github.com/goodrain-apps/filebeat - 根据代码，配置环境变量量选项 - 持久化⽬目标应⽤用的⽇日志路路径 - 制作流程⼿手动演示 RAINBOND 线上培训（第⼋八期）

应⽤模型交付实践-交付平台 04. 2B交付版本的DevOps 应⽤模型⼀键交付 交付 ⾃动资源调度 ⾃动数据初始化 分配访问策略 应⽤级持续升级 ⽀持上百个组件⼀键交付 应⽤模型运维实践-插件化运维能⼒ 04. 2B交付版本的DevOps 应⽤治理架构与业务架构解耦合 业务A 治理 SideCar 业务B 业务C （1）业务开发者定义业务架构 （2）运维/架构师定义业务治理架构 ⽇志收集模式 链路跟踪 访问⽇志记录 （3）业务不受治理架构的变化影响 治理 SideCar 治理 SideCar 可拔插的治理 应⽤模型运维实践-插件化运维能⼒ 04. 2B交付版本的DevOps 常⽤运维能⼒插件 欢迎关注开源项⽬： https://github.com/goodrain/rainbond 微信 社区钉钉群 云原⽣且易⽤的应⽤管理平台

摆脱每次修改需要重新 build 新镜像以及⻓时间的循环反馈，修改代码⽴即⽣效 ⼀键部署开发环境，摆脱本地环境搭建和资源不⾜的限制 本地 IDE 编辑器和开发环境联动，⽀持远程调试 图形化的 IDE 插件，⽆需熟悉 kubectl 命令即可完成云原⽣环境下的开发 管理⼈员： 统⼀管理微服务应⽤包，降低应⽤的维护成本 统⼀管理开发环境和集群，提⾼集群资源的利⽤率，同时具备隔离特性 为新员⼯快速分配开发环境，分配环境后⽴刻能进⾏应⽤开发 TKE、Mnikube、Kind 等 已配置好 kubectl 且能访问 Kubernetes 集群 集群开启了 RBAC 安装 Visual Studio Code（1.52+） 和 Nocalhost 插件 安装 nhctl cli ⼯具（https://nocalhost.dev/installation/） 对于 TKE 等⽀持 LoadBalancer 的集群，运⾏以下命令来快速初始化： Nocalhost 阶段⾃动使⽤部署 Nocalhost 的集群作为开发集群，同时创建了 Bookinfo 应⽤和开发者，并为开发者分配了 Bookinfo 应⽤的开发空间。 现在打开 VS Code ，进⼊ Nocalhost 插件，点击上⽅的“地球”按钮，同样输⼊ Web 控制台的地址，回⻋确 定。 点击 “Sign In” 按钮，输⼊开发者的登陆账号：foo@nocalhost.dev，密码：123456，登陆后即可⼀键部

• Chart Version选择 • Chart Values自适配 Helm Chart 云资源规格精准过滤匹配 交付资源生产 Cross-Vendor 组件列表推荐 插件生态与运行时扩展 服务插件扩展体系 服务 组件 规格 运行时 mysql redis alilcoud kubedb aws 云资源规格 OpenAPI 组件版本配置 Terraform 通用服务schema定义

helm package --sign --key 'my signing key' --keyring path/to/keyring.secret mychart 制品安全分发-扫描 [1] 通过插件化的扫描器接入使得用户可以选择自己偏向的扫描器来进行漏洞扫描 Scanner API Harbor core Scanner adapters Image registry Async scan API • 完善的API • 遵循OpenAPI规范 • 通过Swagger生成调用代码 AUTH集成 • AD/LDAP • OIDC 漏洞扫描器 • 扫描器适配API规范 • 插件式扫描器框架 DoSec P2P引擎 • 标准化Adapter接口定义 制品类型 • 遵循OCI规范 • annotation化的数据扩展 • UI自动渲染扩展数据

Golang、Iris、Consul、微服务化设计、 Pongo2模板管理 配置 Consul、Elasticsearch Agent Golang、ELK beats、Logstash、LXC资源管 控、 Consul、其他自定义插件 前端 Agent 后台 配置 Pongo2 23 谢谢大家！