对于数据存储的高性能、高稳定性、高拓展、资源成本 等等都需要同时满足（和传统CAP相悖） • 接入层需要能够根据规则的路由，以及兼容各类协议接 口以及数据模型，并能根据应用的规模来自动拓展。 • 实现HTAP(OLTP+OLAP)，将在线事务|分析混合计算模型 基础上，实现多模数据模型，使得集成成本经一步降低。 • 计算层，与存储彻底剥离开来，实际是微服务化架构， 可以自由伸缩，并自动故障转移，采用读写分离，适应 高负荷 数字化支撑，这是新时代数字化的核心平台， 唯有数据才是企业的资产。 • 大数据平台大体分成两层：数据应用和数据 工程化引擎 • 在云原生场景下，希望应用能够适应敏态化 的业务场景，数据应用也不例外，目前都在 进行服务化改造和云原生改造 • 大数据引擎早就上云了(IaaS),但是并未云原 生化。 • 但是大数据引擎平台，架构思路过时、组件 众多、体系完整等，以及组织认知和能力、 在线业务的依赖等等，大量的历史包袱导致

性能 • 单机成为性能瓶颈 可用性 • 单机成为可用性瓶颈 挑战 • 技术复杂度上升 • 运维成本上升 • 可定位性变差 • 快速迭代难以控制风险 阿里微服务解法和优势 MSE微服务引擎 Nacos Ingress（Envoy） 云原⽣⽹关 Sentinel 用户容器 用户POD Tracing Prometheus 全链路压测 PTS AHAS ARMS ACK/ASK • 日常环境隔离最佳实践 • 网关最佳实践 微服务最佳实践 MSE微服务引擎 Nacos/Zookeeper/Eureka 注册中⼼+配置中⼼ Dubbo/Spring-Cloud-Alibaba/Envoy 服务框架+服务⽹格 Ingress（Envoy） 云原⽣⽹关 服务治理 控制面 微服务引擎（Micro Service Engine，简称 MSE）是一个面向业界主流开源微服务生态的一站式微服务平台 MSE服务治理基于ASM流量治理原子API 做服务治理 MSE微服务引擎 Nacos Ingress（Envoy） 云原⽣⽹关 服务治理 ASM 服务⽹格 Istio 控制面 MCP 流量治理 业务进程 Envoy Sidecar 用户POD 应用多活最佳实践 MSE微服务引擎 Nacos 云原⽣⽹关 异地多活 管控 MSHA Nacos MSE微服务引擎 Nacos 云原⽣⽹关 Nacos

云原生对业务的支撑实例(数据来源于阿里云) 4982亿，2020年天猫双11再创消费新纪录。58.3万笔/秒，双11交易峰值再创新高，阿里云又一次扛住全球最大规模流量洪峰。这一切背后支撑的 “技术引擎”又是如何为近十亿全球购物者的狂欢提供着“无感知护航”？ 近日，在阿里巴巴双11技术沟通会上，阿里云研究员、阿里云云原生应用平台负责人丁宇表示，今年双11实现了核心系统全面云原生化的重大技术 突破， 提升了100%。阿里巴巴在2020双11完成了全球最大规模的云原生实践。 与2019年全面云化相比，2020年全面云原生化革命性重构了双11“技术引擎”。从产品和技术两方面来看，产品侧，阿里云通过提 供容器服务ACK、云原生数据库PolarDB/Redis、消息队列RocketMQ、企业级分布式应用服务EDAS、微服务引擎MSE、应用监控服 务ARMS等数十款云原生产品全面支撑双11。技术侧，云原生四大核心技术实现规模和创新的双重突破，成为从技术能力向业务

................... 15 云原生安全威胁分析与能力建设白皮书 7 前 言 在数字化转型的大潮中，云计算作为实现创新和提高运营效率的关键技术， 成为了新一代信息技术的核心引擎。随着云计算的飞速发展和广泛应用，以及万 千企业数字化转型换挡提速，企业对云计算的使用效能提出新的需求。云原生以 其独特的技术特点，很好地契合了云计算发展的本质需求，正在成为驱动云计算 质变的技术内核。 安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 生技术的广泛应用，带来了一系列云原生安全问题，因此，要保障云原生的安全， 击者会使用 扫描工具，比如 SecretScanner 等，探测镜像中存在的敏感信息，发现容器镜 像和文件系统中的敏感数据。 2.2.5 针对镜像不安全配置的攻击 镜像是容器运行的基础，容器引擎服务通过使用不同的镜像来启动容器。镜 像是按层封装好的文件系统和描述镜像的元数据构成的文件系统包，包含应用所 云原生安全威胁分析与能力建设白皮书 23 需要的系统、环境、配置和应用本身。如果镜像配置不当，将会导致运行的容器

健康检查 • 多版本部署 • 多版本流量灰度 • 多集群/多环境灰度 • … KubeVela 具备全部发布能力 的标准化应用管理引擎 KubeVela 简介 第二部分 What is KubeVela？ KubeCon NA 发布 一个标准化的云原生应用平台构建引擎。 • 基于 Kubernetes 和 OAM 模型构建 • 纯 Golang 编写 • 社区发起，社区构建 • 正式发布第

络直接获得 • 基于策略实现自动化 • Repository过滤器 • Tag过滤器 • 标签（label）过滤器 • 漏洞状态条件 • 签名状态条件 • 基于事件触发或者定时触发 • 支持P2P引擎： • Dragonfly • Kraken Harbor基于开源的Notary项目实现镜像的签名（兼容DTR） 制品安全分发-签名 [1] $ export DOCKER_CONTENT_TRUST=1 • 通过Swagger生成调用代码 AUTH集成 • AD/LDAP • OIDC 漏洞扫描器 • 扫描器适配API规范 • 插件式扫描器框架 DoSec P2P引擎 • 标准化Adapter接口定义 制品类型 • 遵循OCI规范 • annotation化的数据扩展 • UI自动渲染扩展数据 路线图 管理 分发 扩展性

OWASP Top 10 文件读写 数据库访问 表达式执行 本地命令执行 … 检测/响应 虚拟补丁 攻击分析 扫描拦截 威胁出厂免疫 攻击态势分析 安全事件监测 攻击来源回溯 Java Web 积极防御引擎 Tomcat SpringBoot XX Java AS 字 节 码 注 入 + 检 测 算 法 语言覆盖Java、PHP、Python、NodeJS、GO、.Net等 安全防御设备联动

可观测性 - What & Why 云原生社区可观察性SIG-定义 https://i.cloudnative.to/observability/prologue/definition 阿里可观测性数据引擎的技术实践 https://mp.weixin.qq.com/s/0aVgtVCmBmtAgZE_oQkcPw © 2021, YUNSHAN Networks Technology Co., Ltd

理计算位于BOX端，并 且能够适应各类算法 和硬件的要求，形成 一个通用计算平台， 更普遍的为客户场景 赋能。 • 一切围绕如何将算力 输送到业务场景为中 心思想，构建技术体 系。 高级能力-业务双引擎循环驱动-业务数据化、数据业务化 互联网业务、万物互联业务等等造就了海量数据，而海量数据应该也必须能够提炼出价值为业务反向赋能，形成正向业务价值循环 云原生平台(PaaS+Caas+IaaS)

主要关注CPU和内存使用情况，Pod 层面主要 关注网络IO的情况，因为多个容器共享Pod的net namespace，Pod内多个容器的网络数据相同 • 容器的监控数据可以直接通过 docker 引擎的接口读取到，也可以直接读取 cAdvisor 的接口，Kubelet 里 内置了cAdvisor，cAdvisor 不管是 docker 还是 containerd 都可以采集到，推荐 { 抓取方案一