务应用的镜像进行 多维度深度扫描，及时发现新出现的安全问题，及时修正。 业务 容器 业务 容器 业务 容器 业务 容器 业务 镜像 业务 镜像 业务 镜像 业务 镜像 扫描 容器 控制 台 镜像仓库 集群一 集群二 拉取运行 拉取运行 深度扫描 深度扫描 • 检测维度丰富，包括漏洞、软件许可、恶 意文件、敏感信息等 • 策略可深度自定义 • 自动生成评分，对安全进行评级 进程 网络连接 系统调用 文件 配置 安全容器模型 在业务上线后，容器安全工具基于内置检测规则+行为学习+自定义策略，多维度保障容器运行时的安全。 已知威胁方面，通过丰富的内置安全策略，对业务容器行为进行实时监测，及时发现风险。 未知威胁方面，通过对业务容器行为进行学习建模，感知业务行为偏离，发现未知风险。并提供隔离、暂停、重启等处置能力。 DevSecOps安全防护流程 从源

云原生安全威胁分析与能力建设白皮书 12 1.1.2 云原生安全 云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题， 其作为一种新兴的安全理念，强调以原生的思维实现云上安全并推动安全与云计 算深度融合。我们在 2022 年发布的中国联通云原生安全实践白皮书中[2]，对比 分析了不同的组织和企业对云原生安全理念的理解，其中包括 CNCF 认为云原 生安全是一种将安全构建到云原生应用程序中的方法[3]、k8s 云原生安全能力体系 云原生安全作为一种新兴的安全理念，不仅要解决云计算普及带来的安全问 云原生安全威胁分析与能力建设白皮书 17 题，更应强调以原生的思维构建云、端一体化安全，推动安全与云计算的深度融 合，达到安全左移、持续监控与持续响应的目标。 1.3 云原生安全风险 云原生技术的应用带来了更多的安全风险，包括容器化基础设施风险、容器 编排平台的风险、云原生应用的风险等，这些风险对云网构成越来越严重的威胁。 年上半年云安全态势报告》显示[7]，在云环境中容器 资产占比达到 45.06%，攻击者通过攻击容器，就可以进一步获取宿主机系统权 限，威胁宿主机上的其他容器和内网安全。另外，随着各个企业云上业务的快速 发展，越来越多的应用开发深度依赖 API 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API

controller-manager 在 Kubernetes 架构中，是负责监听 对象状态，并与期望状态做对比，如果状态不一致则进行 调谐，重点关注的是各个controller的运行情况，比如任 务数量，队列深度 • controller-manager出问题的概率相对较小，进程层面没 问题大概率就没问题 • 采集方式可以参考 categraf 仓库的 k8s/deployment.yaml，大盘可以参考 k8s/cm- 的耗时分布，histogram类型，按 照 url + verb 统计 • workqueue_adds_total 各个 controller 已处理的任务总数 • workqueue_depth 各个 controller 的队列深度，表示一个 controller 中的任务的数量，值越大表示越繁忙 • process_cpu_seconds_total 进程使用的CPU时间的总量，rate 之后就是 CPU 使用率 Kubernetes控制面

Volcano加速金融行业大数据分析平台 云原生化改造的应用实践 汪 洋, 华为云 Volcano 社区核心贡献者 大数据平台云原生面临的挑战 传统大数据平台云原生化改造成为必然趋势 大数据分析、人工智能等批量计算场景深度应用于金融场景 作业管理缺失 • Pod级别调度，无法感知上层应用 • 缺少作业概念、缺少完善的生命周期的管理 • 缺少任务依赖、作业依赖支持 调度策略局限 • 不支持Gang-scheduling、Fair-share

软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状

传统交付方式的不足之处 手册文档 配置参数 应用 应用 配置参数 应用 应用 软件环境 硬件环境 遗留系统 安装配置点 安装配置点 安装配置点 集成点 集成点 集成点 1. 交付人员学习手册文档，需要在客户 环境做“安装配置”和“与遗留系统集成” 两方面工作。 2. 安装配置：在硬件上安装软件，不乏 针对硬件特性的适配、还需要安装OS 等，最后还要在OS上安装应用，并且 还要保证应用软件依赖拓扑结构不会 F5 路由器 防火墙 .... Ansible Salt Chef Pupet 实际上云原生平台自己也采用了IaC来管理应用， 比如K8S的Yaml，这种方式有利于隔离实现细节。 ITIL 需要具体学习不同软 硬件的知识才能管理 只需要写IaC声明性代码来管 理基础设施 实施 标准化能力-让管理和运维更轻松-基础设施即代码-3-实例 IaC作为胶水，可以将对物理资源的运维直接透出到De

可灵活扩展的其 他能力 • 一个完整的应用描述文件（以 应用为中心） • 灵活的“schema”（参数由 能力模板自由组合） • 放置于应用代码库中（gitops 友好） • 无需学习 K8s 细节（ 完整的 用户侧抽象 ） • 可自动适配任意 k8s 集群与部 署环境（环境无关） 查看“能力模板”的用法 1. 能力模板注册时，KubeVela 控制器会 自动生成 OpenAPI

vesoft-inc/nebula 上⼿ GraphDB on K8s 应⽤场景 - Nebula on Kubsphere - Demo 图数据库的应⽤场景 典型场景 社交⽹络 ⻛险控制 公共安全 知识图谱 机器学习 ⽣化制药 物联⽹ 区块链 数据⾎缘 智能运维 tech.meituan.com/2021/04/01/nebula-graph-practice-in-meituan.html KubeSphere

第二个困难已经被Mesh技术架构解决了 • 第一个困难就需要为研发用户提供高级抽象-IaC 抽象成虚拟服务和目标规则这两种声明性API(Yaml),使得配置非 常形象易懂，并且彻底将左侧需要了解的细节进行了屏蔽和简化， 只需要学习规则，而不需要了解下面很多种实现，大大降低了使 用者的难度，并实现了版本化能力 ServiceMesh-3-新发展-多运行时Mesh架构(机甲) Bilgin Ibryam 分析并总结了分布式应用的四大需求