提高整体资源利用率 集群高负载场景 通过静态划分的资源池保证大数据业务和通用 业务的资源配额 通过Volcano提供的队列保证各类业务资 源配额 资源共享：Queue • 集群级别资源对象，与用户/namespace解耦 • 可用于租户/资源池之间共享资源 • 支持每个队列独立配置Policy，如 FIFO, fair share, priority, SLA等 K8S CLUSTER Submit 基于Volcano二次开发，支持特定业务场景 公平调度 • Job间资源共享 • namespace之间资源共享 • 队列级Policy(FIFO, Priority, Fair share , …) Namespace 1 weight:1 user1 user2 Namespace 2 user3 user4 small job-1 Namespace 3 Fair-share between job job ns2 ns3 Fair-share between namespace big job-2 Job-3 Job-4 Job-5 Queue1 Queue2 weight:2 Running task Pending task Nodes node 1 node 2 node 3 Scheduler user Job-3 Job-4 Job-5 SLA 避免大作业饿死

•新一代监控系统更加关注应用侧的监控，没有维度标签玩不转，每个指标动辄几个、十几个标签 指标维度更为丰富 •Kubernetes体系庞大，组件众多，涉及underlay、overlay两层网络，容器内容器外两个namespace，搞懂需要花些时间 •Kubernetes的监控，缺少体系化的文档指导，关键指标是哪些？最佳实践是什么？不是随便搜索几个yaml文件能搞定的 平台侧自身复杂度变高， 监控难度加大 从 Kubernetes Node - 容器负载监控 抓取方案 • Pod或者容器的负载情况，是一个需要关注的点，容器层面主要关注CPU和内存使用情况，Pod 层面主要 关注网络IO的情况，因为多个容器共享Pod的net namespace，Pod内多个容器的网络数据相同 • 容器的监控数据可以直接通过 docker 引擎的接口读取到，也可以直接读取 cAdvisor 的接口，Kubelet 里 内置了cAdvisor，cAdvisor irate(container_cpu_usage_seconds_total[3m]) ) by (pod,id,namespace,container,ident,image) / sum( container_spec_cpu_quota/container_spec_cpu_period ) by (pod,id,namespace,container,ident,image) 内存使用量除以内存限制量，就是使用率，但

过高，从而引起容器逃逸等安全风险。 2.3 路径 2：容器攻击 容器提供了独立隔离的环境来打包和运行应用程序，容器的隔离和安全措施 使得用户可以在给定主机上同时运行多个容器。通过 Namespace、Cgroup、 Capability、内核强访问控制等多种安全机制以及隔离措施，保证容器内应用程 序的安全与隔离。图 7 展示了攻击者可能利用的直接对容器进行攻击的方式。 图 7 容器运行时安全风险 云原生安全威胁分析与能力建设白皮书 43 def _try_to_get_privilege(ssock, namespace, pod): payload1 = http_delimiter.join( (f'GET /api/v1/namespaces/{namespace}/pods/{pod}/exec HTTP/1.1', host_header, auth_header, send(payload1.encode('utf-8')) 正常的请求地址中带有 stdin、stout 和 tty 三个参数，该代码中构造的错误 请求/api/v1/namespaces/{namespace}/pods/{pod}/exec 未包含对应的参 数，由此利用系统漏洞代理到 Kubelet 的高权限 websocket 连接[28]。 3.4Istio 认证策略绕过攻击 3.4.1

Harbor Operator提供基于K8s集群的all-in-one HA解决方案(也支持使用外部共享服务) Kubernetes Cluster User Defined Namespace Operator Namespace(s) CR: HarborCluster CR: Harbor CR: Postgresql Persistent Volume CR: RedisFailover

R \ ��docker�username=$REGISTRY_USER \ ��docker�password=$REGISTRY_PASSWORD kubectl ��namespace kourier�system edit service kourier # externalIP vim config/samples/function�sample.yaml # container container image registery kubectl apply �f config/samples/function�sample.yaml $ kubectl get function NAMESPACE NAME BUILDSTATE SERVINGSTATE BUILDER SERVING

Apply using kubectl apiVersion: chaos-mesh.org/v1alpha1 kind: NetworkChaos metadata: name: network namespace: chaos-testing spec: action: partition mode: one selector: labelSelectors: "app.kubernetes.io/component":

空间、发布名称； 通过勾选来确认是否安装相应的模块，注意勾选下Kiali Kiali； 点击 部署Istio 按钮，⼏几⼗十秒钟之后即可完成部署。 ⾃自动 Sidecar 注⼊入 查看namespace： 点击编辑，为 default 命名空间打上标签 istio-injection=enabled。 创建Ingress查看Kiali 路路由-> 命名空间istio-system,点击创建。输⼊入名称为kiali

容器节点 命名空间 容器服务 Ingress Deployment StatefulSet ReplicaSet POD DeepFlow的典型客户环境中，两个微服务通信涉及到的标签多达上百个 Namespace Service Service Deployment Pod Container Node Cluster Ingress Deployment Pod Container