f|f& };f # WARNING: Don't try this! Things We Have Done 1. Hardware Isolation 2. Security Tools - SELinux, Seccomp, AppArmor, Capabilities, Cgroup 3. Intrusion Detection - Monitor runtime CRI-O kubelet kubelet io.kubernetes.cri-o.TrustedSandbox=true containerd- shim-kata-v2 O C I C R I K8s Runtime io.kubernetes.cri-o.TrustedSandbox=false Firecracker- containerd runnc+Nabla container container Pod QEMU VMM Firecracker VMM Rust-VMM container container Pod Sandbox Agent gVisor Guest Kernel O C I Gofer container container Pod Sandbox Sentry KVM/ptrace File Access

service. ● Reviews-v2 ○ calls ratings, black stars ● Reviews-v3 ○ calls ratings, red stars Initializing services 1) Deploy bookinfo services with istio sidecar without reviews-v2 2) Deploy bookinfo reviews-v2 service without istio sidecar （ kubectl label namespace default istio-injection=disabled/enabled ） Initializing services 1) Deploy bookinfo services with istio sidecar without reviews-v2 2) reviews-v2 service without istio sidecar （ kubectl label namespace default istio-injection=disabled/enabled ） http http http http http http http Result: can access reviews-v1, reviews-v2 and reviews-v3

Peter Zaitsev Analyzing MySQL Logs with ClickHouse CEO, Percona April 27,2018 © 2018 Percona. 2 ClickHouse is my love at the first sight © 2018 Percona. 3 Why ? Fast and Efficient Built through Event Analyzes Cheerleader” Meet Charity Majors © 2018 Percona. 12 Honeycomb’s Open Source Agent https://github.com/honeycombio/honeytail Nice and Simple Self Contained GoLang Application Query audit_log_format=JSON • audit_log_rotate_on_size=1G • audit_log_rotations=2 • Customize Filtering as needed • audit_log_exclude_accounts = ‘app1@%,app2@localhost'; © 2018 Percona. 20 Clickhouse/ClickTail Setup

CallResult { let mut req = foo_unmarshall::(msg)?; let re = Regex::new(r”/v2/matches/([a-zA-Z0-9_-]+)/info").unwrap(); if let Some(cap) = re.captures(&req.HttpPath){ } req unwrap(); reg.insert(“\/v2\/matches\/.*\/info_modify_req”.into(),echo_req_js on); reg.insert(“\/v2\/matches\/.*\/info_modify_res”.into(),echo_res_jso n); reg.insert(“\/v2\/matches\/.*\/info_fiddler_ab” do_nothing); } waPC in rust in HTTP(MITM) curl -X POST “http://$MockServer: $Port/call/$Operation?targets=\/v2\/m atches\/.*\/info" \ --header "Content-Type:application/octet- stream" \ --data-binary "@target/wasm32-

版本归档 xN 交付追踪 xN 数据度量 xN 服务、工单管理 事件、缺陷管理 想 法 用 户 运行阶段 需求阶段 研发阶段 现代软件交付挑战：开发 5 分钟，上线 2 小时 服务一：设计 | 代码编写 | 构建 | 测试 | 部署 | 发布 服务二：设计 | 代码编写 | 构建 | 局限性大、全流程安全性低 维护成本高 支持多个服务并行构建部署、产品级发布，可灵活 安全接入多个代码仓及周边工具链 Zadig 与现存 DevOps 方案对比 来自客户的评价： 2 Zadig 产品特性 Zadig 核心特性 面向开发者的云原生环境 灵活易用的高并发工作流 高效协同的测试管理 云原生 IDE 插件（ VS CODE) 客观精准的效能洞察 强大免运维的模版库 / 跨项目共享服务 • 开发者共享环境 - 自测子环境 扫码查看 TT 语音最佳实践 面向开发者的云原生环境 扫码查看飞书集成测试案例 • 无缝对接主流测试框架 / 平台 • API/E2E/UI 自动化测试管理 • 与开发协同自动化验收 • 自动化测试效益分析 高效协同的测试管理 • 一套 YAML/Chart 模板管理数百微服务 • 每个技术栈抽象一套构建模板 • 运维统一工作流规范，开发自主使用

能不能在遍历的同时删除元素？安全吗？ emplace ， emplace_hint ， try_emplace 的区别？ 课程安排 1. vector 容器初体验 & 迭代器入门 (BV1qF411T7sd) 2. 你所不知道的 set 容器 & 迭代器分类 (BV1m34y157wb) 3. string ， string_view ， const char * 的爱恨纠葛 (BV1ja411M7Di) 4 int> counter; • for (auto const &key: input) { • counter[key]++; } • 则 counter 最后为： • {“hello”: 2, “world”: 1}; [] 运用举例：归类 • vector input = {“happy”, “world”, “hello”}; • map> • for (pair tmp: m) • 如果要单独访问 K 或者 V 怎么办？我们看一下 pair2> 的定义，里面只有两个成 员： • struct pair2> { • T1 first; T2 second; • }; map 的遍历：用 C++17 range-based loop • 所以 for (auto tmp: m)

Metrology  marc.gregoire@nuonsoft.com  Microsoft VC++ MVP Since 2007  Author of Professional C++, 2nd, 3rd, 4th, and 5th Edition  Co-author of C++ Standard Library Quick Reference& C++17 Standard Library With deducing this: auto fibonacci = [](this auto self, int n) { if (n < 2) { return n; } return self(n - 1) + self(n - 2); };12 Agenda  C++23 Core Language  Explicit Object Parameters  if g.: void do_something(int number_that_is_only_0_1_2_or_3) { switch (number_that_is_only_0_1_2_or_3) { case 0: case 2: handle_0_or_2(); break; case 1: handle_1(); break;

e 上期回顾： https://www.bilibili.com/video/BV1qF411T7sd 课程安排 1. vector 容器初体验 & 迭代器入门 (BV1qF411T7sd) 2. 你所不知道的 set 容器 & 迭代器分类 ( 本期 ) 3. string ， string_view ， const char * 的爱恨纠葛 4. 万能的 map 容器全家桶及其妙用举例 5 ，内存管理与对象生命周期 set 和 vector 的区别 • 都是能存储一连串数据的容器 。 • 区别 1 ： set 会自动给其中的 元素从小到大排序，而 vector 会保持插入时的顺序。 • 区别 2 ： set 会把重复的元素 去除，只保留一个，即去重。 • 区别 3 ： vector 中的元素在内 存中是连续的，可以高效地按 索引随机访问， set 则不行。 • 区别 4 ： set 中的元素可以高 std::distance(it1, it2) 相当于 it2 - it1 ，注意顺序和 - 相反 。 • 注意： distance 要求 it1 < it2 。 迭代器系列帮手函数一览 帮手函数 等价于 it2 = std::next(it1, n) it2 = it1 + n it2 = std::prev(it1, n) it2 = it1 - n it2 = std::next(it1) it2 = it1

manage so many clusters ,resources and businesses How to ensure load balancing of cluster nodes 1 2 Improper resource requests 3 Multi-tenant resource preemption How to expand horizontally more quickly Cluster1 Cluster2 Cluster2 … Region N … Cluster1 Cluster2 … Cluster2 Business 1 Business 2 Business 3 Business N … How to ensure load balancing of cluster nodes ？ Dynamic-Scheduler Node1 Node2 Kube-scheduler Kube-scheduler Pod Request Load Level Request Load Level Real Load Level Real Load Level Assigned to Node2 The native K8S scheduling is based on the resource request of Pod. However, in many cases, some nodes

pointer A SRC A hazard pointer is a single-writer multi-reader pointer. set HP to A if SRC == A clear HP 2 3 6 if HP != A HP Safe to delete A A 7 8 SAFE ACCESS If a hazard pointer points to an object Beyond Concurrency TS2 – Maged Michael Protector Remover / Reclaimer Hazard pointers protect access to objects that may be removed concurrently. SAFE RECLAMATION Concurrency TS2 Essential Hazard Pointer Hazard Pointer Synchronous Reclamation Beyond Concurrency TS2 – Maged Michael See N4895 (wg21.link/n4895) for working draft of Concurrency TS2 Example Using Hazard Pointers class Foo : public hazard_p