金融级云原生 PaaS 探索与实践 王成昌（晙曦）蚂蚁金服技术专家2/20 一、业务背景 二、多集群管控 三、发布运维体系 目 录 contents 目录3/20 一、业务背景 业务背景4/20 业务背景 业务架构 演进 • 容量  应用|数据库|机房 • 容灾  机房|地域5/20 业务背景 业务架构 单元化 • 高可用 • 一致性 • 可扩展 • 业务可复制  业务敏捷  SaaS 面向站点级别输出7/20 PaaS 能力 • 面向多租户多环境； • 基础资源管控； • 应用发布运维体系； • 业务实时监控，日志收集； • 机房级和地域级容灾能力; 业务背景业务背景 CAFÉ API Server Aggregation Layer 异地多活架构 同城双活架构 K8S API Server 基础发布运维 跨集群应用 资源管理 灰度分组发布 中间件变配 （DRM/Scheduler/Message） Mesh流调拨和治理 弹性建站/下站 容器腾挪/迁移 容灾切换和恢复 应急预案管理 … 分钟级容灾切换和恢复 全面变更风险管理 无限弹性可扩展 业务架构 产品层 云原生 PaaS 产品架构方案 7/209/20 二、多集群管控 多集群管控10/20 为什么要有集群联邦 • 异构屏蔽：  底层集群变化； • 统一管控：

Li Ma 云原生企业级安全的最佳实践 Cloud Native Security Cluster Security • Securing the cluster components that are configurable • Securing the applications which run in the cluster AKS Security Network Security Secret Store CSI Driver Log & Monitor Log & Monitor Azure Policy Secure Center Li Ma Microsoft 云原生企业级安全的最佳实践

腾讯基于kubernetes的企业级容器 云实践 罗韩梅 腾讯 专家工程师 自我介绍 罗韩梅，腾讯 T4 专家工程师，2009 年加入腾讯，现任数据平台部容器云开发组组长。 拥有多年分布式系统研发经验，对大数据、云计算、容器等有深刻理解。从事过自研容 器云平台，大数据云平台，以及面向公司内外的通用容器云平台，从无到有，从自研到 开源生态，从公司内部平台到同时面向To B市场。目前专注于容器云平台领域，负责腾 B市场。目前专注于容器云平台领域，负责腾 讯企业级容器云平台 。 2009年-2013年 2014年-今 2015年-今 自研容器云平台 腾讯大数据云 通用云平台 目录 • 架构简介 • 企业级容器云解决方案 • Next 企业级容器云架构 产品功能 企业级容器云解决方案 企业级 场景 易用 • 全组件自动化部署、统一配置管理、多策略灰度升级 • 提供可视化、自动化的运维能力，降低使用者的人力成本和学习成本 可靠 ① 存活探针 ② 就绪探针 • 负载均衡 • 重启机制 ① 区分异常原因 ② 本地重启/跨机重启 • 黑名单机制 • 集群核心数据的备份和恢复 ① Etcd ② 核心数据库 • 云盘机制保护应用数据 • 举例：1.4升级1.9版本 • Pod Hash发生变化 • Container名称发生变化，点分隔改为了下划线分隔 • 容器标签发生变化 pause容器的标签io.kubernetes.container

ServiceComb在华为消费者云的 亿级用户微服务实践 website: http://servicecomb.incubator.apache.org/ gitter: https://gitter.im/ServiceCombUsers/Lobby AGENDA 微服务化总体策略 01 微服务化实践 02 微服务化收益 03 关于我 Website: http://servicecomb 经历：2008年加入华为，从事多年平台中间件、云计算和PaaS平台设计和开发  目前在华为终端消费者云业务从事华为手机应用市场的云化、微服务化架构设计  《Netty权威指南》、《分布式服务框架原理与实践》作者  热爱技术写作和分享 联系方式： Email: li_linfeng@huawei.com 微信号：右侧扫码 华为消费者云服务简介 Website: http://servicecomb 极大的提升了消费者云业务研发效率 需求的研发和交付周期缩短，业务更敏捷应对变化 可独立交付和升级的服务越来越多，业务之间逐步解耦，可独立演进 服务之间的接口契约可视化、可度量和管控，架构看护和优化更有章可循 服务无状态，微服务数据自治，天生的弹性伸缩架构，高效支撑业务快速发展 提供微服务维度的监控大盘和细粒度的治理措施，运维更得心应手 个人级、微服务团队级、项目级三级微服务流水线体系，基础设施自动化

Harbor - 企业级 Docker 私有仓库 一、安装底层需求 一、安装底层需求 Python应该是 应该是2.7或更高版本 或更高版本 Docker引擎应为 引擎应为1.10或更高版本 或更高版本 Docker Compose需要为 需要为1.6.0或更高版本 或更高版本 docker-compose： ：curl -L https://github.com/docker/comp 原理说明 1、软件资源介绍 、软件资源介绍 Harbor是 是VMware公司开源的企业级 公司开源的企业级DockerRegistry项目，项目地址为 项目，项目地址为https://github.com/vmware/harbor。其目 。其目 标是帮助用户迅速搭建一个企业级的 标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以 服务。它以Docker公司开源的 公司开源的registry为基础，提供了管理

基于kubernetes的企业级容器云 周彩钦 | 联想PaaS团队资深工程师 2017/04/18 2 2016 Lenovo Internal. All rights reserved. 3 2017 Lenovo Internal. All rights reserved. 大纲 • 背景和挑战 • 企业级容器云设计与思考 • 让一切自动化 • 监控与日志 • Showcase 企业级容器云设计与思考 • 设计思路 从需求出发 需求驱动，勿求大而全，没有银弹 从用户的角度思考 简单，学习成本低，改变成本小 从技术的角度评估 从成本方面衡量 资源利用率，人力成本，投入产出比 从长远技术方向考虑 未来方向，新技术潮流，公司战略 高效，稳定，可扩展 9 2017 Lenovo Internal. All rights reserved. 企业级容器云设计与思考 reserved. 容器云设计--多集群支持的容器云 • What? – 多个K8S容器云集群统一管理 • Why？ 技术和管理难度大 跨数据中心 2 物理机，VMWare，OpenStack，AWS，Azure 混合基础架构 多集群统一管理，无需切换平台系统 统一用户体验 11 2017 Lenovo Internal. All rights reserved. 容器云设计--多集群支持的容器云

q=servicecomb 华为企业级PaaS 微服务应用 2019-6 田晓亮 servicecomb.apache.org github.com/apache?q=servicecomb 个人介绍 10年软件⾏业经验，2012年进⼊云计算领域，对PaaS， DevOps， APM等有深⼊的研究和实践经验。 负责华为公司微服务框架的设计，开发和落地，微服务引擎云服务商⽤ 上线公有云，开发国内首个Go语言微服务框架与Service 上线公有云，开发国内首个Go语言微服务框架与Service mesh商用方案， 并助力企业在生产环境中使用。 现任公有云PaaS服务ServiceStage首席工程师 3 github.com/apache?q=servicecomb servicecomb.apache.org 1 2 3 4 从主机为中心到应用为中心 微服务架构模式 ServiceComb实践 案例 Agenda servicecomb.apache 面向开发者的数据中心演进 数据中心服务器虚拟化： Google，亚马逊等公司 以资源为中心： • AWS EC2，S3，Route53 • OpenStack • CloudStack • 混合云 以应用为中心： • Heroku • GAE • CloudFoundry 容器时代： • Docker • Kubernetes • CaaS • Container Instance

Service Mesh 在蚂蚁金服生产级安全实践 彭泽文 蚂蚁金服高级开发工程师 2019.8.11 Service Mesh Meetup #6 广州站基于 Secret Discovery Service Sidecar 的证书管理方案 使用可信身份服务构建敏感数据下发通道 Service Mesh Sidecar 的 TLS 生产级落地实践 分享内容基于 Secret Discovery Agent请求证书  Citadel Agent 会将Sidecar 的请求包装成CSR 请求Citadel ，Citadel 会先检查缓存中是否已有证书，如果不 存在的话，会基于Citadel 启动时配置的二级ROOTCA签发证书基于 Secret Discovery Service Sidecar证书管理方案 Istio With Envoy SDS Benefits:  The private key 通信的Grpc服务获取密钥等敏感信息Service Mesh Sidecar 的TLS 生产级落地实践 TLS 实践难点 证书管理 开关切换 灰度控制 SDS 证书管理方案 ISTIO Policy | Mesh Policy ScopeConfigService Mesh Sidecar 的TLS 生产级落地实践 开关切换 RPC 通信场景下，为保证平滑无损的TLS切换能力，需 要分别控制

云原生边云协同AI框架实践 普杰 华为云边缘云创新Lab 高级工程师 KubeEdge SIG AI Tech Lead 目 录 Edge AI现状与趋势 01 Sedna：边云协同AI框架 02 Sedna-GM：K8S Operator 03 实践案例 04 Edge AI现状与趋势 第一部分 Why Edge AI？ • Cloud中心化的AI计算范式不足以应对端上AI 边缘服务 器、云服务器，利用分布式乃至分布式协同方式实现人工智能的技术 数据在边缘产生 边侧逐步具备AI能力 分布式协同AI 核心驱动力 分布式协同AI核心驱动力 • 随着边侧算力逐步强化，边缘AI持续演变至分布式协同AI 分布式协同AI技术挑战 1. 边缘资源碎片化 2. 边缘数据孤岛 3. 边缘样本少 4. 边缘数据异构 分布式协同AI 技术挑战 边云协同AI框架 第二部分 首个分布式协同AI开源项目Sedna 基于KubeEdge提供的边云协同能力，支持现有AI类应用无缝下沉到边缘 为分布式协同机器学习服务 ✓ 降低构建与部署成本 ✓ 提升模型性能 ✓ 保护数据隐私 SIG成员近年发表分 布式协同AI顶会论文 10+ SIG成员在AI顶会IJCAI 上分享分布式协同AI论文 Sedna斩获中国信通院云边协 同应用创新大赛最佳创新奖 ✓ 数据集管理 ✓ 模型管理

Egg & Node.js 从⼩小⼯工坊⾛走向企业级开发 天猪 / 阿⾥里里游戏前端负责⼈人，Egg 核⼼心开发者 ⾃自我简介 ▸ 天猪 ▸ 阿⾥里里游戏前端负责⼈人，@⼴广州 @Alibaba UC ▸ Node.JS / EggJS / Scrat / Vue ▸ Follow me at : @atian25 @liuyong25 @liuyong25 功能之间的顺序不不能简单的交给开发者，需要统⼀一编排，管理理。 ▸ 对于企业级应⽤用来说，还⽐比较基础，往往还需要⾮非常多的上层封装才能使⽤用。 WIKI：koa-vs-express.md Specification [3/8] 先思考⼏几个问题： 企业级开发中需要关注的有哪些点？ ⽽而开发⼈人员和团队技术负责⼈人，关注点⼀一样么？ 理理想的企业级 Web 开发的核⼼心要素 编程模型约束 丰富的扩展点 passport validate socket.io logger sequelize schedule cluster loader 微内核 + 插件机制 绝⼤大部分功能由插件实现 → 企业级开发要素 插件⽣生态 - 进程管理理 ▸ 健壮性，处理理未捕抓异常，优雅退出 ▸ Master / Worker 之外，还多了了个 Agent 进程 ▸ 只有⼀一个 Agent，负责脏活累活