Specification：CPU、Mermory、StorageType （Local/SSD/…）、StorageSize、Network、QPS、… • Provisioning：Package、Image、helm、OpenAPI、… 交付环境 • 公有云: 阿里云、华为云、腾讯云、AWS、… • 专用云：政务、税务、电信、… • 自建机房：VMWare、OpenStack、…ost Effectiveness 云原生-应用交付的难题 Kubernetes：使⽤Kubernetes add-on 将集群打造为通⽤控制平⾯。 • 跨⼚商：⽀持多个⼚商基础设施资源 的管理· Terraform不⾜之处 • ⾯向业务应⽤不够友好。 • 云服务⽆跨⼚商规范标准。 Crossplane不⾜之处 • 概念复杂，扩展不易。 CNBaaS既需要Terraform IaC架构的简洁强⼤ 还需要有Crossplane跨⼚商的特性 CNBaaS is better Plugins(IaC+Runtime) Manage DSL IaC Engine Schema | Validator | Adapter Execute Plan Scheduler OpenAPI | Helm | Terraform CNBaaS Engine Service API Schema | Service | Component | Version | Schedule

小佑科技 • 探针科技 制品安全分发-扫描 [2] 扫描报告有助于实时了解所管理镜像的相关漏洞信息和安全威胁程度 制品安全分发-安全策略 可在项目级别设置相关安全策略以阻止不符合安全规范的镜像的分发 基于漏洞严重程度或者签名状态 通过设置不可变规则来避免特定Tag被覆盖或者误删除 制品安全分发-不可变Tag 资源清理与垃圾回收 [1] 通过Artifact保留策 Restful API • 完善的API • 遵循OpenAPI规范 • 通过Swagger生成调用代码 AUTH集成 • AD/LDAP • OIDC 漏洞扫描器 • 扫描器适配API规范 • 插件式扫描器框架 DoSec P2P引擎 • 标准化Adapter接口定义 制品类型 • 遵循OCI规范 • annotation化的数据扩展 • UI自动渲染扩展数据

• 从传统面向操作规则的运维转变为面向观测数据的自动化运维 • 重新定义软件交付模式 • 整体打包交付 • Git=Single Version Of Truth • 声明式API • 尽量采用OpenAPI作为系统集成胶水 • 重塑研发流水线 • 任何变更都提交git，有迹可循 • 变更经过几层验证，生产验证后自动合并，保证Single Version Of Truth • 随时可以集成测试 • 成熟度评估方法 样例:深信服-整体评估 企业业务战略一部分 赋能企业快速上云、业务 连续性、业务安全性、边 缘计算赋能，关注中小企 业市场 风险集中点，前期不建议 用平台规范企业组织架构。 传统云商业模式 云原生，国内越来越多的创业公司跑步入局，新推出的云计算产品都要带上“云原生”的标签。各路资本也狂扫云原生“公司”，试图寻找 中国的“Snowf

K8s 细节（ 完整的 用户侧抽象 ） • 可自动适配任意 k8s 集群与部 署环境（环境无关） 查看“能力模板”的用法 1. 能力模板注册时，KubeVela 控制器会 自动生成 OpenAPI v3 的 json schema 文件和文档。 2. 通过 vela 的命令行工具可以查看。 3. 用户也可以自己基于 json schema 去 渲染集成进自己的前端。 KubeVela

安全模型[4]、腾讯所理解的云原生安全指云平台安全原生化和云安全产品原生化 [5]，并给出我们对于云原生安全的理解，即云原生安全是云原生理念的延伸，旨 在解决云原生技术面临的安全问题。 CSA 发布的《云原生安全技术规范》中给出了云原生安全框架[6]，如图 3 所示。其中，横轴是开发运营安全的维度，涉及需求设计（Plan）、开发（Dev）、 运营（Ops）,细分为需求、设计、编码、测试、集成、交付、防护、检测和响 性检查等工具，以确保安全策略和控制的持续有效性。 面对这些新的挑战，国内外都开展了云原生安全技术的研究和相关标准规范 的制定完善工作，CNCF、CSA 等组织以及行业联盟等纷纷提出云原生安全标 准及参考技术规范。同时，主要经济体国家的标准也在制订和完善过程中，使得 行业逐步走向规范，推动了产品和解决方案逐步走向成熟。 在中国信息通信研究院、云安全联盟和相关企业的共同努力下，云原生的安 全 全标准陆续制定和颁布，当前相关主要的标准如表 1： 表 1 云原生安全相关标准 序号 标准名称 简要内容 1 云原生安全配 置基线规范 由云安全产业联盟提出并归口，规定了云原生安全配置基线扫描应具备的基 础规范要求。云原生安全配置基线扫描规范要求包括 API Server 安全配置 要求、控制管理器安全配置要求、调度器安全配置要求、工作负载安全配置 要求、 etcd 安全配置要求、

资源模型定义 模型使⽤定义 模型驱动器 模型关联 抽象化 申明式 ⽣命周期 上下游联动 按照云原⽣技术规范设计研发的业务应⽤，覆盖了应⽤ 运维、交付等层⾯的要求。 云原⽣应⽤ 云原⽣应⽤定义 02. 云原⽣与云原⽣应⽤ ⾯向开发 单个服务 云原⽣ 12 因素应⽤规范 基础规范 云原⽣应⽤定义 02. 云原⽣与云原⽣应⽤ ⾯向交付的 “三级” 云原⽣应⽤定义 L1: 基础云原⽣应⽤ 研发平台 交付平台 测试平台 应⽤模型定义实践-开发者 04. 2B交付版本的DevOps 应⽤组装和研发 应⽤模型定义实践-开发者 04. 2B交付版本的DevOps 源码定义规范 属性识别 智能赋值 UI化管理 模型打包 开发者 云原⽣平台 源码持续构建 选择中间件 实现数据初始化 实现业务可配置 应⽤模型交付实践-交付平台 04. 2B交付版本的DevOps

云应用交付最难的还不是RT的 碎片化，最难的是环境依赖的 碎片化，比如，硬件环境、网 络环境、运维规范等的碎片化。 尤其是运维方面的差异化，必 然导致私有Paas的出现！ • 虽然服务网格、虚拟化等正在 努力解决交付困难的问题，但 是依然对除RT外的环境依赖碎 片化无能为力。 • 背后的原因在于特定环境依赖或者运维规范问题渗透到了PaaS本身， 或者大家常说的定制化场景，如果不进行解耦就会有长期存在的矛盾。 在的矛盾。 • 为了应付定制化，客户需要等待平台研发的排期，因为平台研发需要定制 化处理定制化场景下的软件、运维工具或者规范等等，并需要不断的测试。 • 为了应付各类的环境的问题，势必要求交付人员的能力非常强，也是成本 居高不下的原因之一。 在K8s这种环境中，存在两种定制化的手段：其一是Deployment API，但是它却 把研发和运维的描述放在了一起；其二是Operator（CRD），我们不得不为不同 =Workload+运维特性+.......多种东西的集成，也无法在应用级别上进行管理。 ISV研发团队 标准化能力-微服务PAAS-OAM-万花筒PAAS-2 阿里和微软在19年发布了一个叫做OAM的规范，这是基于10年云原生道路锤炼得到的自动化交付方案 构建镜像 多区域分发 配置 ApplicationConfiguration Component 微服务 数据库 MQ Cache

request 4 CGO response 1 Request before go 5 Request after go 同 Envoy、Cilium、WASM 社区合作共建 API 规范： MoE 方案介绍 — MOSN 和 Envoy 内存如何管理 【请求链路】将 Envoy 中的请求信息拷贝一 份传递给 MOSN ? 需要额外内存分配和拷 贝？ 【响应链路】请求到 MOSN 2021.1 2022 • Mesh 架构逐步向 MoE 演进 • MoE 部署形态 Node 化演进 • MoE 作为中间件运 行时底座 • L4 扩展支持 • WASM API 规范支 持及完善 理念：通用能力回馈社区，同社区共建标准 Q ? A : E MOSN 官网 http://mosn.io MOSN Github http://github.com/mosn/mosn

cOps平台的建设只是提供一个工具抓手。真正要 把安全工作做好，离不开管理、流程和团队的建设。 意识为先，警钟长鸣 通过不断的宣贯，让整个团队建立安全 意识 建立规范，严格执行 制定并发布《平台能力中心安全编码规范》 定期演练，检测有效性 定期演练，检验防护措施的有效性 持续运营，持续更新 漏洞规则要更新，病毒库要更新，防御手段也 要更新 乘舟上云 稳如磐基 CMIT云原生公众号

实践要点——使用标准化格式 美国国家电信和信息管理局（NTIA）发布的《构建软件 组件透明度：建立通用软件物料清单（SBOM）》第二版 中提出：SBOM 是一个包含软件组件列表和层次依赖信 息且机器可读的规范性清单。 实践要点——固化到流程和体系 围绕SBOM建立管理流程 轻量方案 落地方案 开发测试：将SCA工具对接到 DevOps流程里，对编译构建环节卡 点，保障软件构建时所依赖组件的安