Chunk，采用去中心存储，单体失败不影响数 据的完整性，并且自动自愈(Serverless)。 • 通过跨域数据同步能力，实现多地域数据多活。 这个例子，也给数据库云原生化上的技术架构演进提 供了一个范本，并不是原封不动的迁移就变成云原生 高级能力-云原生数据库-应用的基石-3-场景 数据源 数据日志 消息数据 订单数据 云原生 DB 高并发写入 用户 MR 云DB 用户 日志消息类数据实时分析 支持企业低成本、大 高级能力-云原生数据库-应用的基石-5-应用迁移 IDC 应用 A B C Oracle|MySQL 用于Oracle|MySQL 的JDBC Cloud 应用 A B C 多模云原生数据 库 用于云原生DB的 JDBC 极少量 改动 修改驱 动包 数据迁 移 • 由于云原生数据库支持多模，所以通过 ETL或者DTC等工具迁移数据是非常方便的 • 应用程序只需要修改JDBC的依赖即可以在 新环境中运行，迁移成本低。 • 或者由于云原生数据库支持多协议能力， 容器镜像这项云原生的核心技术轻易地实现了不可变基础设施，不可变的镜像消除了IaaS层的差异，让云原生应用可以在不同的云厂商之间随意 迁移。但实际上，很多云服务提供的接入形式并不是标准的，所以依赖这些非标准化云服务的应用形成了事实上的厂商锁定，这些应用在运行时 是无法完成真正的按需迁移，所以只能称为某朵云上的原生应用，无法称为真正的云原生应用。因此，消息服务需要做到标准化，消除用户关于 厂商锁定的担忧，云原

标准化能力-工程能效-DevOps-研发平台和应用传送带 • 提高协作效率和质量(关注的不是部署效率、而是协作研发效率) • 减少变更带来的风险:制品一致性、配置一致性、环境一致性 • 打通研发与运维:谁定义谁负责，平台提供业务OPS工具，减少研发和运维视角割裂带来的高成本 • 可以作为研发人员的唯一工作台，将底层技术收敛到统一平台上，减少企业研发管理成本。 运行态 任何微小的变化都可能引发故障，如何避免？ 任何变更都需要提交到git中，并经过版本管理后 A Service B Service C Nacos Config 熔断监控 Turbine Zipkin EFK prometheus • 适合大部分客户希望原封不动的低成本迁移上云。 • 大部分周边依赖无法做到平台化，导致管理碎片化严重，并与 微服务框架直接关联，成本较高。 Ingress Service A Service B Service C k8s-ETCD 注册中心、配置中心、跟踪链、日志分析、性能分析、流量网 关等都是平台提供的，也需要碎片化适配，并与微服务框架直 接关联，治理能力也必须委托给微服务框架。 有没有可能集成两种部署方式的优势呢，即可以实现透明化迁移同时可以保证标准化能力呢？ 本质而言，我们是需要一个可以托管各类微服务的通用云原生应用架构治理平台 标准化能力-微服务PAAS-应用架构治理-运行态稳定性管理-2 Ingress k8s-ETCD

为了进一步加速业务APP交付速度，而专业业务人员并不熟悉IT领域知识，但是低代码可以使得非IT人员快速构建业务系统成为可能，低代码平台是业 务研发和运行一体的平台，其内部实现并不容易，想落地更不容易，关键在于人们现在存在巨大的误区！工具思维导致落地艰难！ 业务沟通、需求分析与设计的交流平台 低代码平台表达的是业务逻辑。低代码平台的作用是将业务需求中的逻辑关系理清楚，帮助企业实现这个逻辑。 好的低代码平台要能适应企业的需求变化，提供需求变更管理 实现端到端的智能自动 化。是种生态型平台。 高级能力-混合云（资源角度） 控制力 服务、位置、规则可控 高安全 安全自主可控 高性能 硬件加速、配置优化 固定工作负载 私有云 混合云 SLB 工作负载可迁移 敏捷 标准化、自动化、快速响 应 低成本 按需伸缩、按需使用付费 弹性 可弹性无限拓展 弹性工作负载 公有云 ETCD ETCD Image Image Data X • 企业可以在业务高峰时使用混合云补充 但是，目前真正落地的企业很少，原因 在于大部分企业组织或者文化问题在落 实上的顾虑，因为“机器人”比人是否可靠 仍然在争论中，可参考或者背书的实例 少，导致落地缓慢。 • 组织结构升级 • 企业IT文化、工作流程、知识体系、工具集的总合升级 • 应用架构升级 • re-platform • re-build • re-host • 运维模式升级 • 从传统面向操作规则的运维转变为面向观测数据的自动化运维 • 重新定义软件交付模式

....................................................................................26 2.4 路径 3：编排工具攻击................................................................................26 2.4.1k8s 组件攻击 云原生安全威胁分析与能力建设白皮书 10 使云原生技术更好的赋能企业数字化发展，需要明确云原生和云原生安全。 1.1.1 云原生 2015 年，Pivotal 的高级产品经理 Matt Stine 发表新书《迁移到云原生 应用架构》，探讨了云原生应用架构的 5 个主要特征：符合 12 因素应用、面 向微服务架构、自服务敏捷架构、基于 API 的协作和抗脆弱性。同一年，Google 作为发起方成立 CN 这打破了原有的信息安全视角。在应对不断出现的针对云原生基础设施、平台及 容器的安全威胁过程中，原有的安全体系也产生了变革。主要表现在如下几个方 面：  防护对象产生变化 安全管理的边界扩展到了容器层面，需要采用新的安全策略和工具来保护容 器的安全性，如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。  架构的变化 多云及混合云下的应用架构及工作负载更加复杂，需要采用分布式安全策略 和技术，如服务间的身份验证和授

轻量级，不需要额外的资源和机器。 1.数据库框架 1、改造对业务系统具有较大侵入性； 2、对于复杂的SQL，可能不支持； 3、对于跨库和跨分片的数据，需要额外机制保障一致性； 4、缺乏较好的数据平滑迁移和过渡方案； 5、Java Only（或其他）。 数据库框架使用的约束： 2.数据库中间件 2.数据库中间件 作为中间件，独立部署，对业 务端透明。 任何语言平台的系统都可以接 入，可以使用mysql命令或者

同Region，同AZ优先，Region内容灾； 跨Region异地容灾，通过网关打通跨region服务 云原⽣⽹关 云原⽣⽹关 Region1 Region2 AZ1 AZ2 AZ3 AZ4 注册中心平滑迁移最佳实践 ZK/Nacos/Eur eka/Consul Consumer Provider Dubbo/Spring Cloud MSE ZK/Nacos/Eure ka 方案一：双注册双订阅

多用户公平分配资源，快速响应高优先级作业 解决方案: • K8s + Volcano 统一调度所有工作负载； • Queue动态资源共享，DRF、优先级抢占 用户收益： • 大数据作业从Yarn平滑迁移至K8s； • 云原生DAP平台服务于17个国家/地区，1100用户，年增长率8.1%； • DAP平台运行项目450+ Volcano大幅度提高大数据平台资源利用率 Kubernetes +

磐舟DevSecOps平台定位 基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从 “需求-开发-测试-发布-运维-运营”端到端的协同服务和研发工具支撑。助力企业产品快速创新迭代，进行 数智化化转型、实现业务价值。 • 端到端自动化交付流水线 • 开发过程自主可控 • 一键发布上磐基，实现“乘舟上云，稳如磐基” • 沉淀IT软件资产，核心代码掌控 沉淀IT软件资产，核心代码掌控 • 提升开发交付效率 一键 上磐基 构建 打包 容器 化镜 像 自动化 部署 研发安 全扫描 需求 设计 敏捷 开发交付协同 云原生DevSecOps 安全工具链 国产化 双平面调度 敏捷开 发过程 统一代 码仓库 依赖制 品仓库 统一 镜像库 云原生 验证环境 磐基 生产运行 核心价值 核心能力 灵活的低代码能力 实现页面组件、数据组件、功能组件的快 安全管控-镜像扫描 在自动、增量、批量进行镜像上线前的扫描后，生产节点拉取安全镜像，运行后提供服务，但漏洞问题日新月异，有很多迭代 速度慢的业务应用随着时间的推移，一些新的漏洞也需及时发现整改。镜像扫描工具会自动、周期性对已上线业务应用的镜像进行 多维度深度扫描，及时发现新出现的安全问题，及时修正。 业务 容器 业务 容器 业务 容器 业务 容器 业务 镜像 业务 镜像 业务 镜像 业务

Kubernetes 集群中即可，通常作为一个单副本的 Deployment • 可以为 ksm 分配一个 ClusterIP，当做一个普通服务配置静态目标地址即可，也可以不分配，不分配就是用 PodIP 采集，容器迁移 PodIP 会变，所以只能走 kubernetes 的服务发现机制 • ksm 采集的监控指标数据量很大，请求其 /metrics 接口可能要拉取十几秒甚至几十秒，对于一些不关注的资源， 我们可以不采集，典型的手段是通过

分布式跟踪:哪些调用 故障或者拖慢了系统 监控与告警： 主动告诉我 问题发生了！ 微服务部署后就像个黑盒子，如何发现问题并在 远端运维是主要的课题，那么就需要从宏观告知 研发人员，并且提供日志、跟踪、问题根因分析 等工具进一步从微观帮助研发人员定位和解决问 题，这是这里在业务上的价值-稳定性赋能。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-2 可观察性是云原生特别关注的运维支撑能力，因为 渗透到了PaaS本身， 或者大家常说的定制化场景，如果不进行解耦就会有长期存在的矛盾。 • 为了应付定制化，客户需要等待平台研发的排期，因为平台研发需要定制 化处理定制化场景下的软件、运维工具或者规范等等，并需要不断的测试。 • 为了应付各类的环境的问题，势必要求交付人员的能力非常强，也是成本 居高不下的原因之一。 在K8s这种环境中，存在两种定制化的手段：其一是Deployment API，但是它却 交付的方式都是一致的。 DevOps是一种文化，是一种组织赋能，在无所不在，OAM除了在交付过程中提供了基于应用的 交付方案，同时将CICD与底层实现解耦，可以插接无限制的工具组件，使得可以对应不同交付 场景所要求的不同工具链。比如叠加serverless能力加快镜像构建速度、叠加安全左移能力等等。 OAM使得整体PAAS在通用化的情况下，向多种客户环境交付赋能。 OAM应用实例 从基础设施