Servers Storage NetWorking PaaS BpmPaas iPaas MFT Paas Baas Container Service RDS Service Cache|MQ Service Big Data Service aPaas 专业PaaS(2B) 技术Paas(2D) IaaS+ • Paas可以看做是从应用角度管理资源的平台 • Paas可以看做是应用运行态稳定性保障的平台 熔断限流 Service A Service B Service C Nacos Config 熔断监控 Turbine Zipkin EFK prometheus • 适合大部分客户希望原封不动的低成本迁移上云。 • 大部分周边依赖无法做到平台化，导致管理碎片化严重，并与 微服务框架直接关联，成本较高。 Ingress Service A Service B Service 前面所分析的缺点。 SM 控 制 面 Service A Service B Enovoy Enovoy Token Zuul 网关 Hystrix 熔断限流 Nacos Config 熔断监控 Turbine Zipkin EFK prometheus SM 控 制 面 Service A Service B Enovoy Enovoy k8s-ETCD

编排工具的工作依赖于容器及容器镜像技术，所以用户在使用编排工具时， 同样会面临容器及容器镜像的安全风险。在针对编排工具的攻击一节，我们重点 介绍编排工具本身存在的安全风险。目前，常见的开源编排工具包括 k8s[10]、 OpenShift[11]等，其中 k8s 在功能性、通用性以及扩展性方便表现良好，同时 具有较强的社区支持，使其得到广泛的应用。图 8 以 k8s 为例展示了编排工具 的架构，以及攻击者可能对编排工具进行攻击的方式 权限过大，便可以以高权限和 API Server 通信，则有可 能查看集群的一些敏感信息或者执行高权限操作，甚至进一步控制集群。 攻击其他服务：集群中往往会有一些通过 ClusterIP 暴露在内部的 Service，这些服务在集群外部是扫描不到的，但是在内部 pod 中通过前文提到 的信息搜集方法就有可能发现一些敏感服务，比如通过扫描端口或查看环境变量 等。 2.4.5k8s 管理平台攻击 除了官方推出的 （2）流量隔离能力 在传统基于 IP 的安全策略不适用云原生环境背景下，组织需建立新的技术 手段，实现对东西向以及南北向流量的隔离，对常用资源对象的出入站流量进行 隔离，包括但不限于集群、命名空间、service、宿主机、Pod、容器等资源对 象。还应建立基于 Lable 标签的隔离策略下发，适应云原生动态变化的特性。 （3）流量预发布能力 由于网络隔离的特殊性，一旦策略下发将直接影响业务环境，组织在建立相

可以考虑⽤云上服务 '()*#$C 我们主要服务国外客户， 根据当地政府的监管要求，我 们必须使⽤aws⼚商提供的中 间件服务 主角：工程师小明负责公司XX系统的客户交付 阿里公有云交付 混合云交付 海外友商交付 我需要掌握阿⾥云 产品 & 技术 & 计量 计费体系…… 要在AWS上海外交 付？这个我还是第 ⼀次遇到，有谁可 以教教我？ 混合云？这个 ⽹络拓扑是？ ？？ 应用交付问题分析 MessageQueue Micro Service ... 组件 • Specification：CPU、Mermory、StorageType （Local/SSD/…）、StorageSize、Network、QPS、… • Provisioning：Package、Image、helm、OpenAPI、… 交付环境 • 公有云: 阿里云、华为云、腾讯云、AWS、… • 专用云：政务、税务、电信、… .. Service Lifecycle Multiple Cloud Vendor Service Catalog/Definition Service Provisioining/ Vendor adapter Service Binding/Consumer Service Runtime/Service Mesh & Dapr Service Reclaim Service Devops

云原生社区Meetup 第三期·杭州站 The incident in the production environment Incident happens anywhere anytime AWS Incident happens on MySQL Github Incident happends on Github Chaos Engineering conditions in production. 2014 Netflix open position of Chaos Engineer 2016 2020 Netflix / AWS / Tencent / Netease in practice of Chaos Engineering 2010 2019 2015 Principles of Chaos Engineering the client can’t write data into the replica now ○ Other replicas will elect a new leader soon to service the client’s write again ○ The QPS will be recovered ● Run experiment ○ Kill one TiDB instance randomly

同一服务或者应用。 • 避免厂家锁定，客户可以自由选择 资源分布和费用组合，更加灵活。 • 中心云统一纳管运维和输出服务。 • 是一种以资源视角的云交付形式， 不同于混合云，底层云的资源使用 地位等同。 AWS Aliyun Azure 云中立 高级能力-分布式云(交付角度） 分布式云（Distributed Cloud）就是分布在不同地理位置的云，是公有云“进化”的最新形态 中心Region 传统公有云

个应用，除了本身的容器之外还有许 多的依赖，常见的依赖有RDS，LB，MNS（SNS，SQS）等这类非容器资源。OAM在使用一体的“编排”语言即可将容器资源和非容器资源定义在一起。 比如要使用AWS的块存储 后续如果某个应用需要存储，可以直接引用。 而不需要关心底层到底是如何管理存储的。 OAM让应用本身从研发 的视角来声明“我是谁”、 “我要使用什么样的云 服务”，至于背后的实 现交个各个开源项目和

We can manage Istio and our services with Helm! values .yaml go- template > helm template my-service | kubectl apply -f - k8s yaml Istio yaml k8s yaml Istio yaml k8s yaml Istio yaml Sprig functions #IstioCon Demo - Bookinfo What did we see? ● Single entry point for each service’s configuration ● Install each service with a single command ● Single source of truth for auth and egress policy ● with how we think about Istio #IstioCon Demo - Bookinfo What didn’t we see? ● Deployment ● Service ● HorizontalPodAutoscaler ● PodDisruptionBudget ● ConfigMap ● ServiceAccount ● VirtualService

Copyright © 2019 HashiCorp Consul及Consul Connect介紹 Service Mesh Made Easy 劉宇雷-Hashicorp Solutions Engineer Agenda 1. 服務網格是什麼? 簡要歷史回顧 2. 什麼是Consul，它如何工作? 3. 演示: 如何在非容器化的環境下使用Consul的服 務網格 4. 問&答 Enlightenment? Service Oriented Architecture / Enterprise Services Buses The Renaissance Google Trends: ESB, SOA, Service Mesh 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 enterprise service bus service service oriented architecture service mesh 單體式與微服務軟體架構對比 The Reformation 服務網格是一個輕量級的基礎架構組件，用來解決以下問題： ▪ 服務都在哪裡運行? ▪ 它們都健康嗎? ▪ 怎樣保證服務之間客戶無障礙安全互聯? ▪ 整個軟件的所有功能模塊是否都能夠容器化？ ▪ 是不是所有容器化了的微服務都能夠在同一個集群/數據中心/公有雲運帷？

MOSN 云原生演进历程 MOSN 简介 — 演进历程 MOSN 从 Service Mesh 技术调研，到产品孵化，历经重重困难，最终通过双 11 规模化验证。借力开源、反哺开 源，进行 Cloud Native 生态融合，在实践的道路上一步步的走向云原生。 2018年3月 MOSN 诞生 支持 Service Mesh 核心支付链路覆 盖 MOSN 宣布独立运营 CNCF landscape 背景介绍 — 什么是 MOE 处理性能高 （C++） 研发效能高 (GoLang、生态) 高性能、高研发效能、生态打通 MOE = MOSN + Envoy 相互融合，各取所长 在 Service Mesh 领域，Envoy 和 MOSN 作为 其数据面 Sidecar 之一 ，用于解决传统服务治 理体系下的痛点如：多语言中间件组件开发适配 成本高、SDK 升级困难、技术复用度差、治理体 服务相关元数据如何管理 MOSN 和 Envoy 的相关服务元 数据信息，是如何交互管理的? 通过扩展 Envoy 中的 Admin API 使其支持 xDS 同等功能的 API, MOSN 集成的 Service Discovery 组件通过该 API(rest http) 和 Envoy 交互 使其 MoE 的服务发现能力也 具备“双模”能力，可同时满足 大规模及云原生的服务发现通 道 MOE

Kubernetes模型 K8S控制器 其他资源资源模型 逐级封装，向上透明 Application ComponentDefinition WorkloadResource Deployment Service Ingress ServiceMonitor Component 模版化 逻辑化 应⽤模型定义⽤例 03. ⾯向交付的应⽤模型 type RainbondApplicationConfig AppImage ImageInfo `json:"service_image"` ComponentID string `json:"service_id"` DeployType DeployType `json:”extend_method"` ServicePluginConfigs []ComponentPluginConfig `json:"service_related_plugin_config,omitempty"` ComponentMonitor []ComponentMonitor `json:"component_monitors"`