性增长；CGO 中增加 Go 自身计算逻辑时, 其 Go 的计算消耗也 呈线性增长 CGO 开销调研 MOE 解决方案及实践介绍 MOE 方案介绍 — 整体架构 proxy_golang API spec proxy_golang_request • params headers body trailers • returns C.Response{ headers, body, trailers 复用 xDS 服务元数据通道 • 复用 L4/L7 filter • 复用 Cluster LB • 复用 State 统计 Proxy-golang 扩展能力 • Proxy-golang API • Filter manager MOE 方案介绍 — TraceID 事例 相关问题点 Envoy 和 MOSN 如何交互(1、2、 4、5) 内存如何管理(2、4) 阻塞操作处理(2) proxy_golang API spec proxy_golang_request • params headers body trailers • returns C.Response{ headers, body, trailers, optionFlags} …… 将 Envoy 的请求使用 GoLang L7 extension filter 的 proxy_golang API 进行封装，通过

全生命周期API管理-1 服务是从内研发视角来看的，但是对于外部消费者只想找到并集成API而已，并不想了解API背后的运维细节或者需要协调运维能力！API成了一 种可以交易的商品，可以购买增强自己APP的能力，比如在自己APP里显示天气预报数据，从外部去管理应用平台，形成了一种新PaaS组织方式。 • 逻辑API：已有API的组 合，形成一个新API • 声明API：需要生成代 码框架（任何语言）， 码框架（任何语言）， 契约驱动研发 • BaaS API:数据库接口、 中间件接口外化成API • API门户：消费者可以 根据领域-能力查询到 想要的API。 • 自动生成SDK方便集成。 • 发行计划：向下兼容， 对比发布 • API文档：每一个API有 一个活档，指导集成。 形成市场，能力 互补 全生命周期API管理-2-Azure API Management 配置Http Header， Header， 比如CORS等 配置入站协议转 换等 配置后端治理策略 等，比如限流规则 定义API或者导入 API 全生命周期API管理-3-Azure API Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布 或者实施与自己 APP的集成。 • API作为产品，可 以给订阅、可以 被交易。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-1

开箱即用 + 经过阿里双十一考验的默认高可用能力 服务治理最佳实践 • 服务元信息 运行态Ops 开发态Dev 安全态Sec 发布态 高可用 测试态Test • 服务契约管理 • 服务调试 • 服务Mock • 端云互联 • 开发环境隔离 • 服务压测 • 自动化回归 • 流量录制 • 流量回放 • 无损上下线 • 服务预热 • 金丝雀发布 • A/B Test Agent mse-tag:base mse:gray mse-tag:base mse-tag:base gray base base mse-tag:gray 网关最佳实践 K8s（API-Server） App3（服务网格） VPC2 云原生网关 VPC1 Nacos（业务域1） App2（微服务） 云原生网关 1、网络不通 2、业务边缘部署 3、协议不同 4、安全域不同 阿里服务网格（简称 ASM）是一个统一管理微服务应用流量、兼容Istio的托管式平台 ASM 中Istio通过标准 MCP协议跟MSE 中 Nacos打通； MSE服务治理基于ASM流量治理原子API 做服务治理 MSE微服务引擎 Nacos Ingress（Envoy） 云原⽣⽹关 服务治理 ASM 服务⽹格 Istio 控制面 MCP 流量治理 业务进程 Envoy Sidecar

兼容市面绝大多数开发语言制品，提供公 用、内部共享、私有等多种使用方式。兼 容市面上制品管理客户端。 全功能云IDE开发 每个云IDE都是一个云端小笔记本，一人一 本，多人可形成云端小局域网。可独立编 写调试代码，可团队协作。 安全代码仓库托管 统一的安全代码仓库，按项目级别分级管 理，落盘加密，云IDE防护，显示水印等多 重防护。 云原生虚拟化开发集群 利用虚拟化技术实现开发集群，分钟级交 发布流程进行放行或者阻 断、忽略操作，防止危险 镜像通过发版。 安全测试-APP扫描 移动应用安全检测和个人信息合规检测能力，基于磐舟平台，容器化部署，紧邻租户业务系统，支持浏览器 访问及API。已对接磐舟CI/CD流程，资源可弹性管理，可满足高可用、高扩展、高容错等特征。 待检测APP APP自动化检测 APP安全检测报告 APP安全检测 个人信息保护专项检测 按照安全检测报告对APP进行整改

跨部⻔协作，也变得 越来越复杂，问题在想要新增需求时尤为突出。 “微服务”带来便利的同时，对开发⼈员⽽⾔，还带来了额外的挑战：如何快速启动完整的开发环境？开发的 需求依赖于其他同事怎么联调？如何快速调试这些微服务？ ⽽对于管理⼈员来说，也同样带来了⼀系列的挑战：如何管理开发⼈员的开发环境？如何让新⼊职的同事快 速进⾏开发？ 试想⼀下，要开发由 200 个“微服务”组成的云原⽣应⽤，会遇到哪些困难呢？ 带来什么。 开发⼈员： 摆脱每次修改需要重新 build 新镜像以及⻓时间的循环反馈，修改代码⽴即⽣效 ⼀键部署开发环境，摆脱本地环境搭建和资源不⾜的限制 本地 IDE 编辑器和开发环境联动，⽀持远程调试 图形化的 IDE 插件，⽆需熟悉 kubectl 命令即可完成云原⽣环境下的开发 管理⼈员： 统⼀管理微服务应⽤包，降低应⽤的维护成本 统⼀管理开发环境和集群，提⾼集群资源的利⽤率，同时具备隔离特性 - 重新定义云原⽣开发环境.md 2021/1/20 4 / 7 P. 克隆业务代码或选择本地代码⽬录打开 Q. 进⼊开发模式，本地修改代码并保存，⽆需重新构建镜像，远端开发环境实时⽣效，⽀持远程调试 Nocalhost - 重新定义云原⽣开发环境.md 2021/1/20 5 / 7 快速体验 想要快速体验 Nocalhost ，有以下⼏点前置条件： 准备⼀个 Kubernetes 集群（1

................................ 29 2.5.1API 攻击.................................................................................................30 2.5.2API 网关攻击...................................... .................................................................................53 4.2.1Web 应用和 API 安全...........................................................................54 4.2.2 云原生运行时安全... 应用架构》，探讨了云原生应用架构的 5 个主要特征：符合 12 因素应用、面 向微服务架构、自服务敏捷架构、基于 API 的协作和抗脆弱性。同一年，Google 作为发起方成立 CNCF，指出云原生应该包括容器化封装、自动化管理、面向 微服务。到了 2018 年，CNCF 又更新了云原生的定义，把服务网格和声明式 API 给加了进来。后来，随着云计算的不断发展，云原生的簇拥者越来越多，这 一体系在反复的修正与探索中逐渐成熟。VMware

L7 extension SDK GoLang On High Performance Network Framework CGO Request Response proxy_golang API spec proxy_golang_request • params headers body trailers • returns C.Response{ headers, body, trailers Others Control Plane MCP Data flow Control flow xDS Discovery Client Metrics Admin REST API Request Request MOSN 做业务扩展 • 扩展非 xDS 服务发现 • 扩展 L4/L7 filter • 扩展 Xprotocol 支持 • Debug 及 Admin 管理 复用 xDS 服务元数据通道 • 复用 L4/L7 filter • 复用 Cluster LB • 复用 State 统计 Proxy-golang 扩展能力 • Proxy-golang API • Filter manager MoE 方案介绍 — TraceID 事例 Other http filter AntVip/Pilot Trace ID filter Other http

S O A > 微 服 务 代 码 实 现 ： 闭 源 > 开 源 > 混 源 服 务 器 ： 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 供基础，即分析开 发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并精准识 别系统中存在的已知安全漏洞或者潜在的许可证授权问题。 IAST——API安全检测 doubo fosf://xxx.services.id 网关 nginx doubo java java java web /etc/nginx/conf.d/* ciaapi refer:https://A.com/xx fosf://...... Web 部署IAST agent java 部署IAST agent • API用于内部/外部应用可调用的接口，包括 http/https、定制TCP、RPC等协议。 • 微服务架构下，暴露API指数级增加 doubo java 部署IAST agent 其他外部应 用直接访问 a.html 移动APP、 外部Web、 外部服务等

源平台，更容易成为通用性市 场选择。通用性才能做到普适 定制化能力，才能成为云原生 的操作系统。 标准化能力-分布式操作系统核心-容器服务-Operator API Server Kubectl Controller Pod,Deploymen t,etc. API Server Kubectl Custom Controller Custom Resource(CR) Operator机制 Pod 务治理的碎片化以及基础设施耦合问题。 • 但是Sidecar（数据面）在国际化组织和企业联盟的努力下，也形成了叫做UDPA （Universal Data Plane API）的标准，使得在不同场景下的数据面在API层面达成统 一，比如云端Mesh和边缘Mesh由于API的统一，可以使用统一的控制面(配置下发管 理)来实现统一管理和统一服务化抽象，并向应用角度抽象，降低用户使用成本。 iptable iptable eBPF 务治理能力不全、 只能绑定在一种语 言进行研发、升级 怎么办？ 1 2 • 第二个困难已经被Mesh技术架构解决了 • 第一个困难就需要为研发用户提供高级抽象-IaC 抽象成虚拟服务和目标规则这两种声明性API(Yaml),使得配置非 常形象易懂，并且彻底将左侧需要了解的细节进行了屏蔽和简化， 只需要学习规则，而不需要了解下面很多种实现，大大降低了使 用者的难度，并实现了版本化能力 ServiceMe

防火墙 负载均衡 服务器 单体应用 SLB / NAT SLB 云 原 生 传统网络 连接服务器 (#IP) 服务器上架 (数天) 交换-路由 (物理) 云原生网络 连接微服务 (#API/函数) 微服务CI/CD (数分钟) Mesh-NAT-SLB-... (Overlay) 传统应用 云原生应用 è规模100xè è速度1000xè è距离10xè 80%看代码 20% 看流量 标准SDK/JavaAgent， 流量分光镜像。 云原生下的难题： 微服务迭代快， 侵入式监控效率低； 云网络虚拟化， 东西向流量监控难。 挑战/必要性：网络的动态性和复杂性，不监控流量谈何应用可观测 机遇/有效性：云网络连接API/函数，监控流量可零侵入实现应用可观测 è 云原生应用可观测“原力”，流量监控能力是机遇、基石 simplify the growing complexity © 2021, YUNSHAN Networks 由业务代码驱动的可观测性数据、云API数据 调用关系 知识图谱 链路追踪 黄金指标 关联 应用链路（Tracing） 应用日志（Logging） 应用链路 TraceID 私 有 云 物 理 公 有 云 企业混合云 控制器 10W采集器 20+云平台 采集器 1% CPU 0.01% 带宽开销 ︹ 零 侵 入 ︺ 流 量 采 集 云平台API 容器编排API TKE