1 梁成 腾讯云, barryliang@tencent.com 基于Consul的多Beats接入 管控与多ES搜索编排 2 拥抱开源、释放云原生的力量 • 背景与挑战 • 多Beats/Logstash接入管控 • 多ES搜索编排系统 • 日志AIOps探索 3 背景与挑战 产品数量 人员规模 主机规模 100+ 1000 + 10000 + 如何降低日志接入门槛 如何降低日志接入门槛 如何保证日志实时上报 如何保障日志采集不影响业务 如何做配置标准化 如何帮助业务快速排障 如何提供方便便捷的性能分析 调优能力 … 4 多Beats/Logstash接入 管控 提供多产品接入管理，多beats标准 化、界面化、自动化的日志接入方案 5 案例:1000+业务10000+台 主机如何快速实现日志接入？ 业务规模 1000+业务、 10000+业务主机、每天百T日志增量 些进程的 cpu/内存等资源 Agent Consul Master 获取master列表 向master发起Agent注册逻辑 返回agent id 增删改策略 获取策略列表 启动管控收集进程 watch配置变化 9 Agent运行时 10 日志接入 购买云ES 录入ES 创建主机组 添加主机 配置日志主题 选择主机组 日志配置 权限管理 资源设置 提交策略

可信根一般是一个硬件，比如CPU或者TPM，将从 它开始构建系统所有组件启动的可信启动链，比 如UEFI、loader、OS、应用等，可以确保在被入侵 修改时的阻断行为，另外可以将可信启动链的 Hash值上传云端管理，可以做到中心管控验证的 目的。 加密技术 数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但 是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运 行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和 数据源 设备监控 传感器 轨迹数据 车联网 业务集群 物联网套件写入 云原生 DB 轨迹查 询|实时 监测 MR 云原 生DB 统计 分析 物联网数据存储和查询 将车联网数据、设备监控数据、客流分析管控数据、交通数据、传感器数据实时 写入HBase中，分析结果输出到用户的监控前端系统展示，实现物联网数据的实时 监控分析。 优势 易接入： 轻松对接消息系统、流计算系统 高并发： 满足千万级并发访问 存算分离： 量规划，采取按量付费这种更经济的模式将大幅度降低成本。 易用性 （Mesh化） 在云原生时代，消息服务第一步将进化成为一种所见即所得、开箱即用的服务，易用性极大的提高。接下来，消息服务将以网格的形式触达更复 杂的部署环境，小到IoT设备，大到自建IDC，都能以跟公有云同样易用的方式接入消息服务，且能轻易地满足云边端一体化、跨IDC、跨云等互 通需求，真正成为应用层的通信基础设施。 多样性 云原生

提供以项目为单位的逻辑隔离，存储共享 不同角色具有不同的访问权限，可以与其它用户系统集成 配额管理 制品的高效分发-复制 [1] 基于策略的内容复制机制：支持多种过滤器(镜像库、tag和标签）与多种触 发模式（手动，基于时间以及定时）且实现对推送和拉取模式的支持 初始全量复制 增量 过滤器 目标仓库 源仓库 目标项目 源项目 触发器 推送(push)或者拉取(pull)模式

磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps安全能力建设框架 安全开发 • • • 安全测试 • • • 安全管控 • • • 安全运营 • • • 一个体系、两个方向、四个环节 PLAN CODE DEPLOY OPERATE MONITOR RELEASE TEST BUILD DEV 漏 洞 结 果 编 译 解 释 运 行 1 织 入 检 测 逻 辑 2 处 理 H T T P 请 求 ， 获 取 数 据 流 并 收 集 相 关 信 息 3 检 测 漏 洞 I A S T 控 制 台 4 收 集 请 求 （ 主 动 插 桩 补 充 测 试 ） 5 发 送 P a y l a o d , 执 行 检 测 6 展 示 漏 洞 低误报率 高检出率 可实现逻辑漏洞检测 文件中的SSH密钥 、 环境变量中的密码等敏感 信息进行发现，防止敏感 信息泄露。 构建历史命令审计 对镜像文件构建的历史命 令进行审计扫描，对高危 操作进行标记并告警。 镜像发布管控 镜像在被发布之前，依据 安全策略对镜像进行检测 ， 或者依据检测结果对镜像 发布流程进行放行或者阻 断、忽略操作，防止危险 镜像通过发版。 安全测试-APP扫描 移动应用安全检测和个

1、信息管理 MIS、ERP… 2、流程规范 BPM、EAI… 3、管理监控 BAM、BI 4、协作平台 OA、CRM 5、数据化运营 SEM、O2O 6、互联网平台 AI、IoT 数据化运营 大数据 智能化管控 互联网平台 跨企业合作 稳态IT：安全、稳定、性能 敏态IT：敏捷、弹性、灵活 各行业IT应用系统不断丰富与创新 总部 机关 内部员工 分支 机构 内部员工 移动 接入 内部员工/合作伙伴 并保留各自的优点和克服了 前面所分析的缺点。 SM 控 制 面 Service A Service B Enovoy Enovoy Token Zuul 网关 Hystrix 熔断限流 Nacos Config 熔断监控 Turbine Zipkin EFK prometheus SM 控 制 面 Service A Service B 无底层基础设施依赖：任何PaaS间可以通信 • 无服务注册依赖，无负载均衡需求 • 简化运维：中心化后，只需要管理服务器就可以了 • 业务异步化 缺点： 单点故障，需要提供高可用方案，如Broker部署在K8S中，HPA控 制器可以保证其高可用性，因为它本身无状态。 标准化能力-API网关 Web应用 移动应用 第三方应用 Gateway （如K8S的 Ingress） Catalog服务 REST Recom服务

提供節點、服務以及健康檢查的詳細信 息，⽅便⾃動化⼯具與服務進⾏適時交互 負載均衡 ⾃動對應⽤內的東⻄向業務進⾏負載均衡. Consul Architecture Consul Architecture 分布式監控 Consul Architecture RPC and HTTP Traffic with Raft Consensus Algorithm Consul Connect Architecture

ASM 服务⽹格 Istio 控制面 MCP 流量治理 业务进程 Envoy Sidecar 用户POD 应用多活最佳实践 MSE微服务引擎 Nacos 云原⽣⽹关 异地多活 管控 MSHA Nacos MSE微服务引擎 Nacos 云原⽣⽹关 Nacos 用户VPC 业务节点 业务节点 用户VPC 业务节点 业务节点 同Region，同AZ优先，Region内容灾；

解决方案： • API资产梳理（暴露面、风险分析） • API链路调用威胁阻断 • OWASP API安全 TOP 10（权限控制、注入等） RASP——应用出厂免疫 轻量级探针端 + 统一管控中心 + 积极防御插件 运营时威胁与攻击 注入攻击 URL黑名单 跨站脚本攻击 …… 恶意文件访问 反序列化攻击 扫描器攻击 OWASP Top 10 文件读写 数据库访问 表达式执行 本地命令执行

漏洞，将会导致网关能够使用无效 或自定义证书连接到远程服务。 2.5.3 微服务应用攻击 微服务最终也是一个个独立的应用，也是通过代码方式进行编写的，也会使 用一些开源的组件。因此在开发期间如果未做好安全开发管控与检测依然会引发 相应的安全风险。如开发维护不当导致的安全漏洞，可能为 API 带来严重安全 隐患，不法分子可通过安全漏洞、恶性 Bug 等因素获取敏感信息、造成服务器 失陷。开发过程中引入开源