说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段 路径爆炸问题，并一定与实际相符合，误报率较 高。 DAST(动态安全应用 程序安全测试) 黑盒测试，通过模拟业务流量发起请求，进行模糊测试，比如故障注入 云盘挂载、卸载效率提高：可以灵活的将块设备在不同节点进行快速的挂载切换； • 存储设备问题自愈能力增强：提供存储服务的问题自动修复能力，减少人为干预； • 提供更加灵活的卷大小配置能力。 2. 监控能力需求 • 多数存储服务在底层文件系统级别已经提供了监控能力，然后从云原生数据卷角度的监控能力仍需要加强，目前提供的PV监控数据维度较 少、监控力度较低； 具体需求： • 提供更细力度（目录）的监控能力； • 提供更多维度的监控指标：读写时延、读写频率、IO 在大数据计算场景同时大量应用访问存储的需求很高，这样对存储服务带来的性能需求成为应用运行效率的关键瓶颈 具体需求： • 底层存储服务提供更加优异的存储性能服务，优化 CPFS、GPFS 等高性能存储服务满足业务需求； • 容器编排层面：优化存储调度能力，实现存储就近访问、数据分散存储等方式降低单个存储卷的访问压力。 4. 共享存储的隔离性 • 共享存储提供了多个 Pod 共享数据的能力，方便了不同

原生架构的应用程序应该：采用开源堆栈（k8s+Docker）进行容器化，基于微 服务架构提高灵活性和可维护性，借助敏捷方法、DevOps 支持持续迭代和运维 自动化，利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。 云原生安全威胁分析与能力建设白皮书 12 1.1.2 云原生安全 云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题， 其作为一种新兴的安全理念，强调以原生的思维实现云上安全并推动安全与云计 者会使用 扫描工具，比如 SecretScanner 等，探测镜像中存在的敏感信息，发现容器镜 像和文件系统中的敏感数据。 2.2.5 针对镜像不安全配置的攻击 镜像是容器运行的基础，容器引擎服务通过使用不同的镜像来启动容器。镜 像是按层封装好的文件系统和描述镜像的元数据构成的文件系统包，包含应用所 云原生安全威胁分析与能力建设白皮书 23 需要的系统、环境、配置和应用本身。如果镜像配置不当，将会导致运行的容器 程。 存储型 DoS 攻击：针对存储资源，虽然 Docker 通过 Mount 命名空间实现 了文件系统的隔离，但 CGroups 并没有针对 AUFS 文件系统进行单个容器的存 储资源限制，因此采用 AUFS 作为存储驱动具有一定的安全风险。如果宿主机 上的某个容器向 AUFS 文件系统中不断地进行写文件操作，则可能会导致宿主 云原生安全威胁分析与能力建设白皮书 26 机存储设备空

data-dir：此标志为代理程序存储状态提供数据目录。这是所有代理商都需要的。该目录在重新启 后应该是持久的。这对于在服务器模式下运行的代理尤其重要，因为它们必须能够持久化群集状态。 外，该目录必须支持使用文件系统锁定，这意味着某些类型的已安装文件夹（例如VirtualBox共享文 夹）可能不适合。注意：服务器代理和非服务器代理都可以在此目录中的状态中存储ACL令牌，因此 访问可以授予对服务器上的任何令牌以

改造成本低； 研发效率高，灵活性高； GoLang 支持的库比较多（Consul、 Redis、Kafka etc），生态较好 引入 GoLang 扩展后,有一定性能损 耗,业务场景可接受，另外有优化 空间 扩展方案调研 MoE 背景介绍 — 方案分析 方案名称 稳定性 性能 成本 生态 Lua Extension 高 高 高 较低 WASM Extension ES 低 高 活跃 External 展 性、灵活性、生态上的痛点，另外对性能方面也有优化空间： 经济体互通网关蚂蚁侧场景，当前灰度了少量的线上流量，已经平稳运行了 1 个月左右； • 业务代码优化，如减少对象数量 • 内存管理优化，如 jemalloc 替换 tcmalloc、堆外内存 • runtime 相关优化，如 cgocheck 调优、P 分组管理等 • 交互协议优化，如减少 CGO 交互次数等 MoE 社区共建

cgroup cpulimit 定时检测 kill nice值 beats优化 缓存设置 工作协程 设置 资源配额 调整 Agent运行时监控 日志延时分析 Beats cpu/mem管控 ES/kafka容量管理 日志覆盖率分析 13 案例:高并发写入场景下Beats与ES性能优化 日志上报是 否有延时？ Filebeat资 源受限？ ES写入性 能不足？ 界面提交核心参数并结合延时图对比分析 Filebeat性能管控 日志量太大Cpu飙升影响业务 精准控制资源消耗防止异常减少抖动 Es写入性能调优 修改配置文件不断观察数据情况 基于ES压测报告给出专家级es参数优化建议 参数优化体验 修改配置文件、参数调优相对麻烦 全UI化、一站式处理 14 配置UI化 配置UI化开发思路 嵌套式表单 大表单套小表单，所有表单都是以angular组 件形式开发，保证代码的可复用性与质量

协程收敛 epoll 模型 • CGO 性能优化 • 支持 zipkin，Jaeger 等 • 支持 ZK，Nacos 等 • 支持 Dubbo 3.0 • 支持 thrift， kafka 等 协议 • 支持 Istio 1.10 • 支持 Ingress 和 Gateway • 推动 UDPA 多协议建 设 核心能力 微服务 性能优化 MOSN 网络层扩展思考和选型 MOE 力，改造成本低；研发效率高， 灵活性高；GoLang 支持的库比 较多（Consul、Redis、Kafka etc），生态较好 引入 GoLang 扩展后,有一定性 能损耗,业务场景可接受，另外 有优化空间 MoE 背景介绍 — 方案分析 方案名称 稳定性 性能 成本 生态 Lua Extension 高 高 高 较低 WASM Extension ES 低 高 活跃 External Processing 相比于纯 Go 实现的网关处理能力具有 4 倍左右性能提升  MOE 相比于 Envoy 性能下降 20%，虽然牺牲部 分性能，但解决了用户在其可扩展性、灵活性、 生态上的痛点，另外对性能方面也有优化空间 开源进展同步 高性能网络扩展层 — MOE GoLang extension proposal 已支持将 MOSN 部分 filter 运行在 Envoy 中， 欢迎试用 https://github

公平调度、任务拓扑调度、基于SLA调度、作业抢占、回填、弹性调度、 混部等。 3. 细粒度的资源管理 提供作业队列，队列资源预留、队列容量管理、多租户的动态资源共享。 4. 性能优化和异构资源管理 调度性能优化，并结合 Kubernetes 提供扩展性、吞吐、网络、运行时的 多项优化，异构硬件支持x86, Arm, GPU, 昇腾，昆仑等。 Volcano Global Kubernetes Volcano-controller

段，着重在需求设计环节确定关键安全要求，旨在降低风险暴露 并增强产品安全质量。安全团队针对企业内部的业务流程和场景展开威胁建模与风险识别，同时依据实际生产漏洞的运营情况完 善威胁建模知识库，持续优化和维护内部安全需求知识库以适应不断变化的安全挑战。 ①需求分析阶段，分析业务需求，选择相应的安全需求 分类，并添加至安全需求清单列表 ②根据安全需求清单选择安全设计要求，整理为安全设 计清单

的技术，如 RPA、BPM、 微流逻辑等串联在一起， 实现端到端的智能自动 化。是种生态型平台。 高级能力-混合云（资源角度） 控制力 服务、位置、规则可控 高安全 安全自主可控 高性能 硬件加速、配置优化 固定工作负载 私有云 混合云 SLB 工作负载可迁移 敏捷 标准化、自动化、快速响 应 低成本 按需伸缩、按需使用付费 弹性 可弹性无限拓展 弹性工作负载 公有云 ETCD ETCD Image

对于某个具体的资源类型，可以做更细粒度的控制，比如屏蔽某个指标：--metric- denylist=kube_deployment_spec_.* 支持正则的写法，对于几千个node的大集群，几十万个 pod，每个小小 的优化都很值得 • 最后，附赠大家一个我们做好的监控大盘，在 Categraf 仓库的：inputs/kube_state_metrics 目录下 Kubernetes Pod 内的 业务应用的监控