Virtualization Servers Storage NetWorking PaaS BpmPaas iPaas MFT Paas Baas Container Service RDS Service Cache|MQ Service Big Data Service aPaas 专业PaaS(2B) 技术Paas(2D) IaaS+ • Paas可以看做是从应用角度管理资源的平台 • Paas可以看做是应用运行态稳定性保障的平台 熔断限流 Service A Service B Service C Nacos Config 熔断监控 Turbine Zipkin EFK prometheus • 适合大部分客户希望原封不动的低成本迁移上云。 • 大部分周边依赖无法做到平台化，导致管理碎片化严重，并与 微服务框架直接关联，成本较高。 Ingress Service A Service B Service 前面所分析的缺点。 SM 控 制 面 Service A Service B Enovoy Enovoy Token Zuul 网关 Hystrix 熔断限流 Nacos Config 熔断监控 Turbine Zipkin EFK prometheus SM 控 制 面 Service A Service B Enovoy Enovoy k8s-ETCD

生技术的广泛应用，带来了一系列云原生安全问题，因此，要保障云原生的安全， 云原生安全威胁分析与能力建设白皮书 10 使云原生技术更好的赋能企业数字化发展，需要明确云原生和云原生安全。 1.1.1 云原生 2015 年，Pivotal 的高级产品经理 Matt Stine 发表新书《迁移到云原生 应用架构》，探讨了云原生应用架构的 5 个主要特征：符合 12 因素应用、面 向微服务架构、自服务敏捷架构、基于 API 的协作和抗脆弱性。同一年，Google 权限过大，便可以以高权限和 API Server 通信，则有可 能查看集群的一些敏感信息或者执行高权限操作，甚至进一步控制集群。 攻击其他服务：集群中往往会有一些通过 ClusterIP 暴露在内部的 Service，这些服务在集群外部是扫描不到的，但是在内部 pod 中通过前文提到 的信息搜集方法就有可能发现一些敏感服务，比如通过扫描端口或查看环境变量 等。 2.4.5k8s 管理平台攻击 除了官方推出的 3：在容器内部创建一个新的容器，并将宿主机目录挂载到新的容器 docker run -it --name container_in_container -v /:/host ubuntu /bin/bash 操作结果如图 13 所示，可以看出，新启动的容器 container_in_container 可以越权查看到主机相关目录信息。 云原生安全威胁分析与能力建设白皮书 40 图 13 容器逃逸结果展示

SKILLS 1. Autonomy Autonomy Containerization 1. Single Operations per Container Containerization 1. Single Operations per Container 2. Use Parameterize Data Flow • Data Inputs • Data Outputs Distributing pachyderm.io/dsbor.html Azure Container Registry Build: https://docs.microsoft.com/en-us/azure/container-registry/container- registry-tasks-overview Azure Kubernetes Service: https://azure.microsoft.co com/en-us/services/kubernetes-service/ Pipeline Images: https://github.com/pachyderm/pachyderm/tree/master/doc/examples/ml/hyperparameter 谢谢！

Broker Envoy MQ Broker Envoy 注册 Service Service Service Pub sub Pub sub Pub sub xDS Config • MQ Broker把Envoy作为 它与服务之间的代理 • Envoy拓展兼容了PubSub 通信的协议，比如 RocketMQ的通信协议 • Service的代码依然使用 MQ的SDK与其他服务进 行通信 • 由于Envoy把MQ当做服 迁移风险高：一次变更引入的改动越多，引发故障的几率也越多。在Hadoop领域，大数据应用的资源，由 Hadoop Yarn负责管理和调度，具体来说，大数据应用运行在Yarn提供的Container之中，这里的Container，是Yarn中资源的抽 象，并非Linux Container，将其迁移至以容器为技术的云原生架构，跨越了底层基础架构，改动面比较大，风险相 对也更高。 组织架构造成额外的成本：企业里负责开发和运维Hadoo

（3）版本可回滚 （4）业务⾼观测性 ⾯向交付的应⽤模型 第三部分 K8S资源的模型定义 03. ⾯向交付的应⽤模型 Deployment Pod Container ⾯向交付的应⽤模型 03. ⾯向交付的应⽤模型 Container Network Volume Device Pod Template Ingress ServiceMonitor Logger Workload Kubernetes模型 K8S控制器 其他资源资源模型 逐级封装，向上透明 Application ComponentDefinition WorkloadResource Deployment Service Ingress ServiceMonitor Component 模版化 逻辑化 应⽤模型定义⽤例 03. ⾯向交付的应⽤模型 type RainbondApplicationConfig AppImage ImageInfo `json:"service_image"` ComponentID string `json:"service_id"` DeployType DeployType

A的实例在一段时间内做了多少次GC？ ① 看云网更清晰 Simplify the growing complexity. 数据打通并不简单 ② 应用、系统、网络的Metrics之间 例如：某个Service的Pod的QPS、IOPS、BPS分别是多少？ 例如：Pod所在的KVM宿主机的CPU、内存指标？ ② 看云网更清晰 Simplify the growing complexity. 数据打通并不简单 POD DeepFlow的典型客户环境中，两个微服务通信涉及到的标签多达上百个 Namespace Service Service Deployment Pod Container Node Cluster Ingress Deployment Pod Container 服务 app version env group owner stage commitId deployId deployType=canary Version=1.4.0 group=iot owner=xiangyang cluster=devops deployId=287115 level=low layer=service taskEnv=prod 看云网更清晰 Simplify the growing complexity. AutoTagging：自动同步资源和服务属性 资源池 区域 可用区 云平台 租户

sum( irate(container_cpu_usage_seconds_total[3m]) ) by (pod,id,namespace,container,ident,image) / sum( container_spec_cpu_quota/container_spec_cpu_period ) by (pod,id,namespace,container,ident,image) 内存使用量除以内存限制量，就是使用率，但 是后面跟了 and container_spec_memory_limit_bytes != 0 是因为有些容器没有配置 limit 的内存大小 container_memory_usage_bytes / container_spec_memory_limit_bytes and container_spec_memory_limit_bytes != 0 increase(container_cpu_cfs_throttled_periods_tota l[1m]) / increase(container_cpu_cfs_periods_total[1m]) * 100 Pod网络出入向流量 irate(container_network_transmit_bytes_total[1m]) * 8 irate(container_network_

Function Build ⽤ Tekton 管理镜像制作流⽔线 1. 获取源代码 2. 制作镜像 3. 上传镜像 如何管理 Build pipeline？ K8s 弃⽤ Docker 作为 Container Runtime 不能再以 Docker in docker 的⽅式以 Docker build 构建镜像 还有什么选择？ Function Build 如何在这些⼯具直接进⾏选择和切换？ ��docker�password=$REGISTRY_PASSWORD kubectl ��namespace kourier�system edit service kourier # externalIP vim config/samples/function�sample.yaml # container image registery kubectl apply �f config/samples/function�sample 9669�32669/TCP,19669�32001/TCP 3m57s $ kubectl edit svc nebula�graphd�svc�nodeport service/nebula�graphd�svc�nodeport edited Nebula Graph 数据导⼊ [root@wey wey.gu]# ~/.nebula�kind/bin/console

如何选择混沌测试工具 混沌工具 混沌工具 为什么是 Chaos Mesh 为什么是 Chaos Mesh ● PodChaos: kill / fail / container/... ● NetworkChaos: delay / lose / dup / partition / … ● IOChaos: latency / fault / … ● TimeChaos:

付？这个我还是第 ⼀次遇到，有谁可 以教教我？ 混合云？这个 ⽹络拓扑是？ ？？ 应用交付问题分析 服务依赖 Database Storage MessageQueue Micro Service ... 组件 • Specification：CPU、Mermory、StorageType （Local/SSD/…）、StorageSize、Network、QPS、… • Pro .. Service Lifecycle Multiple Cloud Vendor Service Catalog/Definition Service Provisioining/ Vendor adapter Service Binding/Consumer Service Runtime/Service Mesh & Dapr Service Reclaim Service Devops Devops IaC (hcl / cuelang) AutoOps Service Upgradle Service Monitoring … CNBaaS：我们致力于站在面向业务应用友好的角 度，在云厂商之上，统一定义和管理Backend Service。 云产品 规格自 动匹配 服务自 适配云 厂商 服务支 持多种 生产方 式 CNBaaS使命 One definition can