VMware主任工程师/Harbor 核心维护者和架构师 Harbor-助你玩转云原生 关于我 Steven(佳) Zou(邹)，VMware中国研发中心主任工程师， Harbor开源项目架构师及核心维护者，拥有十多年软件研发及 架构经验，获得PMP资格认证及多项技术专利授权。曾在HPE、 IBM等多家企业担任资深软件工程师和架构师，专注于云计算及 云原生等相关领域的研究与创新。著有《Harbor权威指南》等 目录 - 开场：云原生与制品管理 - 初识Harbor：云原生制品仓库服务 - 使用Harbor搭建私有制品仓库服务 - 资源隔离与多租户管理模型 - 制品的高效分发(复制、缓存与P2P集成) - 制品的安全分发(签名、漏洞扫描与安全策略) - 资源清理与垃圾回收 - 构建高可用(HA)制品仓库服务 - Harbor集成与扩展 - 路线图 - 参与贡献Harbor社区 云原生与制品管理 [1] 云 •分发制品的媒介 •访问控制与管理的节点 初识Harbor [1] 官方网站：goharbor.io CNCF毕业项目 落地在很多企业级 产品中 Apache 2.0协议下 开源 GitHub代码库: https://github.com/goha rbor/harbor/ 一个开源可信的云原生制品仓库项目用来存储、签名和管理相关内容。 Harbor社区 有来自于5家公司的14位维护者

3：编排工具攻击................................................................................26 2.4.1k8s 组件攻击.........................................................................................27 2.4.2 管理平台攻击.................................................................................29 2.4.6 第三方组件攻击....................................................................................29 2.5 路径 4：微服务攻击 3：攻击者对编排工具发起攻击，通过利用编排工具存在的漏洞，实现 入侵宿主机的目的。路径 3 显示针对编排工具可能存在的攻击手段，包括：攻 击 k8s 组件、服务对外暴露攻击、业务 pod 攻击、集群环境下的横向攻击、k8s 管理平台攻击和第三方组件攻击 路径 4：攻击者针对微服务发起攻击，如通过利用存在安全风险的 API 网关、 API 以及微服务应用本身，实现入侵的目的等。路径 4 显示针对微服务可能存在

• 安装 Harbor 1. helm repo add harbor https://helm.goharbor.io 2. helm fetch harbor/harbor 3. 修改 values.yaml 4. helm install my-harbor harbor -n harbor 5. helm list -n harbor 6. 登录 harbor, 默认账户密码 默认账户密码 admin: Harbor12345 _ by QingCloud 如何开发一个 Helm 应用 • helm create hello-chart: 创建 Chart 目录 chart.yaml: 声明了当前 Chart 的名称、版本等基本信息 values.yaml: 提供应用安装时的默认参数 templates/: 包含应用部署所需要使用的YAML 文件，比如 Deployment

软件物料清单 • 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 容器环境 开 发 模 式 ： 瀑 布 > 敏 捷 > D e v O p s 应 用 架 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工

RAINBOND 线上培训（第九期） 2019/8/8 1. 同⼀一个节点可以复⽤用哪些属性 2. 服务组件依赖关系 3. rbd-dns 组件使⽤用技巧之下游dns服务器器设置 4. rbd-dns 组件使⽤用技巧之⽆无⽹网环境下解析域名 5. 组件配置如何⽣生效 6. 快速获悉组件⽣生效参数 1. RAINBOND安装与运维原理理解读 RAINBOND 线上培训（第九期） 群呢？答案是3 2. 服务组件依赖关系：详⻅见依赖关系列列表
 https://www.rainbond.com/docs/troubleshoot/concrete-operations/service-depend/ 3. rbd-dns 组件使⽤用技巧之下游dns服务器器设置： rbd-dns 配置 —nameservers 4. rbd-dns 组件使⽤用技巧之⽆无⽹网环境下解析域名： 问题的答案： RAINBOND 线上培训（第九期） 2019/8/8 5. 组件配置如何⽣生效： 修改 /opt/rainbond/conf/*.yml ⽂文件后，执⾏行行 node service update 6. 快速获悉组件⽣生效参数: ps -ef | grep 服务组件名称 2. RAINBOND安装与运维经验分享 RAINBOND 线上培训（第九期）

8% 14% 64% SpringCloud Dubbo 其他微服务架构 传统架构 微服务应⽤成为2B软件的架构主流 01. 2B软件交付的困局 微服务是⽬前⼤多数B端业务的⾸选架构 组件复⽤ 按需运维 灵活定制 客户/项⽬要求 运维困难 交付困难 分布式难题 2B软件交付需求多样性 01. 2B 软件交付的困局 交付模式 定制化独⽴交付 标准独⽴交付 SaaS交付+定制交付 ServiceMonitor Logger Workload Type/ Controller Type 能⼒模型 平台开发者/运维 应⽤模型 业务员开发者 容器模型 K8S模型 业务组件 业务组件 业务组件 流量治理 服务治理 运维能⼒ 应⽤ 应⽤模型定义⽤例 03. ⾯向交付的应⽤模型 应⽤模型 PaaS平台 Kubernetes模型 K8S控制器 其他资源资源模型 逐级封装，向上透明 定义业务组件运⾏、运维等需求 应⽤模型定义的UI化 04. 2B交付版本的DevOps 应⽤模型定义的UI化 04. 2B交付版本的DevOps 2B交付版本的DevOps 第四部分 2B交付版本的DevOps全景图 04. 2B交付版本的DevOps 应⽤研发阶段 应⽤测试阶段 应⽤交付阶段 源码持续集成 业务组件组装 应⽤组件库 运维能⼒组装 （1）组件库获取通⽤能⼒

⼀次遇到，有谁可 以教教我？ 混合云？这个 ⽹络拓扑是？ ？？ 应用交付问题分析 服务依赖 Database Storage MessageQueue Micro Service ... 组件 • Specification：CPU、Mermory、StorageType （Local/SSD/…）、StorageSize、Network、QPS、… • Provisioning： 可基于Cue语法，声明服务基础信息 以及组件扩展信息，支持最优规格匹配 自适配云组件配置&规格 声明式 服务规格需求 需求自适配 需求自适配 On Premise On VPC eg. Kube DB • Chart Version选择 • Chart Values自适配 Helm Chart 云资源规格精准过滤匹配 交付资源生产 Cross-Vendor 组件列表推荐 插件生态与运行时扩展 服务插件扩展体系 服务 组件 规格 运行时 mysql redis alilcoud kubedb aws 云资源规格 OpenAPI 组件版本配置 Terraform 通用服务schema定义 服务版本管理 面向组件Vendor Schema定义 组件注册 CNBaaS 统一服务目录 Helm CNBaaS Engine根据组件 支持的运行时动态调度 云资源生产

安全右移是为了恰到好处的安全，一些非严 重安全问题，没有必要堵塞主研发流程，可 以交于线上安全防御系统。提高了整体实施 效率！ 安全编排自动化和响应作为连接各个环 节的桥梁，安全管理人员或者部分由 AIOps组件可以从全局视角观察，动态 调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 式，IAST可以像SAST一样精准的发现问题点 SCA（软件成分分析） 有大量的重复组件或者三方库的依赖，导致安全漏洞被传递或者扩散， SCA就是解决此类问题的办法，通过自动化分析组件版本并与漏洞库相 比较，快速发现问题组件，借助积累的供应链资产，可以在快速定位的 同时，推动业务快速修复。 安全左移的一种，在上线前发现依赖组件的安全 问题，快速借助供应链资产库，帮助业务修复问 题。 需要进行大量的安全特征以及资产库的建设或者 定的安全状态。尤其是像边缘计算BOX这种安全防护，根据唯一Hash值验 证，可以实现极为简单的边云接入操作，运行态并不会影响性能。 可信根一般是一个硬件，比如CPU或者TPM，将从 它开始构建系统所有组件启动的可信启动链，比 如UEFI、loader、OS、应用等，可以确保在被入侵 修改时的阻断行为，另外可以将可信启动链的 Hash值上传云端管理，可以做到中心管控验证的 目的。 加密技术 数据的安全

个人主页：https://ulricqin.github.io/ 大纲 • 云原生之后监控需求的变化 • 从Kubernetes架构来看要监控的组件 • Kubernetes所在宿主的监控 • Kubernetes Node组件监控 • Kubernetes控制面组件监控 • Kubernetes资源对象的监控 • Pod内的业务应用的监控 • 业务应用依赖的中间件的监控 云原生之后监控需求的 变化 •Kubernetes体系庞大，组件众多，涉及underlay、overlay两层网络，容器内容器外两个namespace，搞懂需要花些时间 •Kubernetes的监控，缺少体系化的文档指导，关键指标是哪些？最佳实践是什么？不是随便搜索几个yaml文件能搞定的 平台侧自身复杂度变高， 监控难度加大 从 Kubernetes 架构来 看要监控的组件 Kubernetes架构 l 服务端组件，控制面：API kubelet 和 kube-proxy l 业务程序，即部署在容器中的业务程序的监控，这 个其实是最重要的 随着 Kubernetes 越来越流行，几乎所有云厂商都提供 了托管服务，这就意味着，服务端组件的可用性保障交 给云厂商来做了，客户主要关注工作负载节点的监控即 可。如果公司上云了，建议采用这种托管方式，不要自 行搭建 Kubernetes，毕竟，复杂度真的很高，特别是 后面还要涉及到升级维护的问题。既然负载节点更重要，

Components：在 OAM 中，“应用”是由多个概念共同组合而成。第一个概念是： 应用组件（Components），它是整个应用的重要组成部分。应用组件既可以包括 应用运行所依赖的服务：比如 MySQL 数据库，也包括应用服务本身：比如拥 有多个副本的 PHP 服务器。开发者可以把他们写的代码“打包”成一个应用组件。 • Trait描述了应用在具体部署环境中的运维特征，比如应用的水平扩展的策略和 Ingress 统一通用PaaS成为可能 组件市场|仓库 平台运维特性 应用编排 运维特性编排 版本化 应用 • 两端解耦之后，两端方面都可以形成一个没有 私有PaaS特征依赖的市场，而强大的开源社区 比平台提供商自己还要强大，利用容器底座的 承载能力和OAM抽象化编排能力，可以不等排 期的构建各种特征的Paas。业务应用由于不依 赖于运维特性，也实现了标准化，也可以加入 组件市场，此时开放PaaS+开放应用市场可以 的情况，而不论底层容器云实现如何，应用的 交付的方式都是一致的。 DevOps是一种文化，是一种组织赋能，在无所不在，OAM除了在交付过程中提供了基于应用的 交付方案，同时将CICD与底层实现解耦，可以插接无限制的工具组件，使得可以对应不同交付 场景所要求的不同工具链。比如叠加serverless能力加快镜像构建速度、叠加安全左移能力等等。 OAM使得整体PAAS在通用化的情况下，向多种客户环境交付赋能。 OAM应用实例