云原⽣技术在2B软件交付的实践 曾庆国 北京好⾬科技有限公司 技术负责⼈ ⽬ 录 2B软件交付的困局 01 云原⽣与云原⽣应⽤ 02 ⾯向交付的应⽤模型 03 2B交付版本的DevOps 04 2B软件交付的困局 第⼀部分 SaaS 服务模式⾼速发展，但⽬前⼤多数2B领域的软件 交付，依然以传统交付模式为主。 产业互联⽹升级使得2B软件服务市场需求旺盛 什么是2B软件交付 01. 2B软件交付的困局 ⾯向企业⽤户交付软件价值的过程 （1）产品研发流程管理 （2）产品版本管理 （3）概念验证，POC 管理 （4）客户个性化定制（价值最⼤化的关键） （5）客户应⽤的持续交付 （6）客户应⽤⽣产稳定性保障 (SLA) 追求价值最⼤化 A. ⾼效的产品交付模式； B. ⾼效的产品定制开发模式； 微服务应⽤成为2B软件的架构主流 01. 2B软件交付的困局 64% SpringCloud Dubbo 其他微服务架构 传统架构 微服务应⽤成为2B软件的架构主流 01. 2B软件交付的困局 微服务是⽬前⼤多数B端业务的⾸选架构 组件复⽤ 按需运维 灵活定制 客户/项⽬要求 运维困难 交付困难 分布式难题 2B软件交付需求多样性 01. 2B 软件交付的困局 交付模式 定制化独⽴交付 标准独⽴交付 SaaS交付+定制交付

1 梁成 腾讯云, barryliang@tencent.com 基于Consul的多Beats接入 管控与多ES搜索编排 2 拥抱开源、释放云原生的力量 • 背景与挑战 • 多Beats/Logstash接入管控 • 多ES搜索编排系统 • 日志AIOps探索 3 背景与挑战 产品数量 人员规模 主机规模 100+ 1000 + 10000 + 如何降低日志接入门槛 现网配置是否全部一致？ 日志上报是否有延时？ Filebeat是否资源消耗过多？ Filebeat异常退出如 何处理？ 如何做上报性能调优？ 6 系统架构 云Kafka Api-server2 Consul 云ES Agent-1 Agent-N Agent-1 Agent-N 数据流 配置监听 Agent注册 配置下发 Web-UI Api-server1 HostGroup CgroupQuota Action … … 配置对象转化 对象引用 Pipeline 归属 Business Agent Agent Filebeat2 Packetbeat FileCleaner Filebeat1 … Logstash2 Metricbeat FileCleaner Logstash1 … ConfigGroup Configs CgroupQuato

企业生产落地 关键特性： 1. 统一的作业管理 提供完善作业生命周期管理，统一支持几乎所有主流的计算框架，如 Pytorch, MPI, Horovod, Tensorflow、Spark等。 2. 丰富的高阶调度策略 公平调度、任务拓扑调度、基于SLA调度、作业抢占、回填、弹性调度、 混部等。 3. 细粒度的资源管理 提供作业队列，队列资源预留、队列容量管理、多租户的动态资源共享。 4 Queue2 QueueN 动态资源共享 • 队列资源预留/队列容量 • 基于权重提供队列间资源共享 Cluster resources Queuer1 with weight=2 Cluster resources Queuer1 with weight=2 Queuer2 with weight=1 Submit job to Queue 2 Queuer2 with with weight=1 CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU Queue2 is empty. Q1 can borrow resources from Queue2. Queue2 has workload, it will reclaim resources from Queue1. capacity Queue guarantee

steven zou 目录 - 开场：云原生与制品管理 - 初识Harbor：云原生制品仓库服务 - 使用Harbor搭建私有制品仓库服务 - 资源隔离与多租户管理模型 - 制品的高效分发(复制、缓存与P2P集成) - 制品的安全分发(签名、漏洞扫描与安全策略) - 资源清理与垃圾回收 - 构建高可用(HA)制品仓库服务 - Harbor集成与扩展 - 路线图 - 参与贡献Harbor社区 云原生与制品管理 镜像-应用软件打包与分发 OCI: https://opencontainers.org/ OCI制品（artifact）：镜像，Helm Chart，CNAB，OPA bundle等等 云原生与制品管理 [2] Registry: •制品存储仓库 •分发制品的媒介 •访问控制与管理的节点 初识Harbor [1] 官方网站：goharbor.io CNCF毕业项目 落地在很多企业级 产品中 Apache 4000+ 下载* 5K+ *: 数据周期10/02-10/16 (2周) 初识Harbor [2] – 社区 初识Harbor [3] – 整体架构 截止：v2.0 初识Harbor [4] – 功能 … 项目N 制品管理 访问控制(RBAC) Tag清理策略 Tag不可变策略 P2P预热策略 缓存策略 机器人账户 Webhooks

.22 2.2.5 针对镜像不安全配置的攻击................................................................ 22 2.3 路径 2：容器攻击....................................................................................... 23 2.3 ............................................................................25 云原生安全威胁分析与能力建设白皮书 2 2.3.4 容器网络攻击...................................................................................... 1 云原生四要素.....................................................................................10 图 2 云原生四要素的基本含义..................................................................11 图 3 云原生安全框架.......

Discovery 1 2 4 1 2 Envoy MOSN Data flow Control flow GoLang L7 extension SDK GoLang L7 extension filter 5 Other http filter(via GoLang) CGO 1 2 xDS Control Plane Data Plane MoE 2 4 3 Request Request Rest Http 相关问题点  Envoy 和 MOSN 如何交互(1、2、4、5)  内存如何管理(2、4)  阻塞操作处理(2)  GMP 中 P 资源问题(3)  服务发现如何兼容（1、2）  如何 Debug  recover 失效如何处理 …… MoE 方案介绍 — MOSN 和 Envoy如何交互 proxy_golang API metadata http filter Router http filter 2 4 Envoy MOSN GoLang L7 extension SDK GoLang L7 extension filter Other http filter(via GoLang) CGO Data Plane MoE Request 2 CGO request 4 CGO response 1

Kubernetes/Deployment K8s 的原生资源组合 1. 复杂、难懂、门槛高 2. 能力局限，不同场景各不相同 3. 不统一，每一个模式需要重新编 写发布对接 K8s-sigs 的 Application 1. 只描述了应用产品元数据， 研发、运维无从入手。 2. 无人维护、缺乏活跃度。 3. 信息不足以对接发布。 kubernetes-sigs/application cation 几乎成为事实标准的应用打包工具 helm 1. 黑盒，不明确内部有哪些 资源。 2. 无法使用/对接云资源。 3. 发布能力缺失，使用 helm upgrade 没有灰度 能力。 Helm Chart 基于 CRD 自定义实现 需要大量 K8s 经验才能开发 某游戏公司自定义workload Pinterest 构建一个渐进式发布能力需要解决哪些 问题？ • 版本化 可自动适配任意 k8s 集群与部 署环境（环境无关） 查看“能力模板”的用法 1. 能力模板注册时，KubeVela 控制器会 自动生成 OpenAPI v3 的 json schema 文件和文档。 2. 通过 vela 的命令行工具可以查看。 3. 用户也可以自己基于 json schema 去 渲染集成进自己的前端。 KubeVela 的能力模板 – 组件类型 抽象封装方式 K8s 对象模板

标准化能力-承载无忧-E2E云原生纵深安全保障DevSecOps-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 由于云原生DevOps环境追求效率以及运行态的动态治理能力，导致传统安全实施方法、角色、流程、技术 都发生了很多变化，适应这些变化是落地云原生安全的关键！ 标准化能力-承载无忧-E2E云原生纵深安全保障-2-商业价值 腾讯安全战略研究部联合腾讯安全联合实验室近日共同发布《产业互联网安全十大趋势(2021)》(下简称《趋势》)，基于2020年的产业实践和行业风向， 从政策法规、安全技术、安 全 局 D e v O p s 效 率 。 依 赖 于 人 员 个 人 经 验 来 先 验 的 进 行 实 施 ， 而 很 多 入 侵 风 险 是 不 可 预 知 的 ！ 标准化能力-承载无忧-E2E云原生纵深安全保障-3-与传统安全方案的差 异 安全问题左移一个研发阶段，修复成本就将 提升十倍，所以将安全自动化检查和问题发 现从运行态左移到研发态，将大大提高效率 和降低成本 默认安全策略，可以天然的规避大部分

com/s/0aVgtVCmBmtAgZE_oQkcPw © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 1. 可观测性的成熟度模型 2. 构建内生的可观测性能力 3. 在混合云、边缘云中的实战 4. Talk is cheap, show me the demo! 目录 simplify the growing complexity simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 问题2：重复建设 业务团队A 业务团队B 业务团队C 业务团队D simplify the growing complexity © 2021, YUNSHAN Networks 1x ClickHouse DeepFlow 5.7 3x 300x 100K 300K 100M DeepFlow的演进之路 (每秒列读写速率) InfluxDB+ DeepFlow 5.5 30x 2M 18mon 18mon 18mon Metrics Tracing Logging Tag, Exemplars Tag Tag, Exemplars Tag Tag, TraceID Tag, TraceID

装完成请忽略略： macos 1 2 3 4 curl -LO https://kubectl.oss-cn-hangzhou.aliyuncs.com/macos/kubectl chmod +x ./kubectl sudo mv ./kubectl /usr/local/bin/kubectl kubectl --help linux 1 2 3 4 curl -LO https://kubectl age 部署v2 - 灰度发布 运⾏行行以下命令部署v2： 1 kubectl apply -f addedvalues-v2.yaml 部署DestionationRule： 1 kubectl apply -f destination-v2.yaml 部署VirtualService： 1 kubectl apply -f virtualservice-v1-v2.yaml 当前v1和v2的流量量分别为50% 当前v1和v2的流量量分别为50%. 然后，通过以下命令v2接管所有流量量： 1 kubectl apply -f virtualservice-v2.yaml 完成灰度发布，切换到v2。 请求路路由 接下来会把特定⽤用户(登录名称以yunqi开头的)的请求发送给 v3 版本，其他⽤用户则不不受影响。 运⾏行行以下命令部署v2： 1 kubectl apply -f addedvalues-v3