多雲一體就是現在: GOOGLE CLOUD 的 KUBERNETES 混合雲戰略 安玟宇 Wayne An Customer Engineer, Google Cloud WayneAn@google.com 安玟宇 Wayne An Customer Engineer, Google Cloud WayneAn@google.com 多雲一體就是現在: Google Cloud Cloud 的 Kubernetes 混合雲戰略 分散一切 的世界即將來臨 #容器化 / #分散式 / #微服務 #混合雲 / #新世代開發監控工具 # Cloud Native 使命 Meet customers where they are and partner with them in their transformation to cloud native Rigid Infrastructure event driven functions web apps & APIs orchestrate containers infrastructure 使用多層次的架構重塑雲端佈署 應用佈建於 IaaS / PaaS 的思考方向 高 應用 模組化程度 低 低 自動化成熟度 高 VMs (GCE) Kubernetes (GKE) PaaS (GAE) Serverless

務的頂尖開放原始碼平台，不過 Kubernetes生態系統既龐大又複雜，不但有許多不同版本的Kubernetes可供選 擇，此外也難以瞭解哪種版本最適合組織的特定需求。 本白皮書的目標是因應這項挑戰，提供撰寫本文時Kubernetes版圖的當下狀態， 並比較三種企業級的Kubernetes發行版本，分別是Canonical Kubernetes、 Red Hat OpenShift及SUSE 開始踏上Kubernetes的旅程時，如果沒有思考要如何長期維護叢集，很容易就會 在開發和部署期間遭遇困難。許多以Kubernetes為中心的解決方案，雖然處理了 Kubernetes生命週期的初期階段，也就是第0天和第1天，但真正的挑戰要到第2 天才開始。 就第2天作業而言，Canonical Kubernetes及OpenShift都利用運算子提供完整的 生命週期自動化。不過OpenShift運算子大多設計為隔離作業，而Canonical l Kubernetes運算子則可共同組合，提供高度複雜的應用程式及服務。Canonical Kubernetes是以Juju部署，設計時將運算子列入考量，因此能夠更輕鬆解決維護和 升級等長期挑戰。 Rancher支援上游運算子，但無法在開箱後立即提供與Canonical Kubernetes或 OpenShift相同程度的生命週期自動化。 3. 高可用性 高可用度有助於盡量減少停機時間，並達到最高的可靠度及生產力，因此是所

operational complexity Observability Observability Demo 3 Day2 運營 定義與說明 Kubernetes Day2 運營的挑戰 馴服運營 複雜性 可觀測性 實踐與思維 可觀測性 關聯演示 Click to edit Master title style 4 Day2 Operation 定 義 與 說 明 求改進，以最大限度地提高收益。 5 Click to edit Master title style 6 什麼是 Kubernetes Day 2 • 當組織遷移到 Kubernetes 時，最明 顯、最緊迫的挑戰與 Day 0 和 Day 1 有關 • 推動 Kubernetes 的動力通常是： • 提高開發人員的敏捷性 • 提高開發人員的開發速度 • 通過讓開發人員訪問自助服務配置 來消除開發過程中的摩擦 to edit Master title style 8 Challenge of Kubernetes Day 2 Operation 運 營 K u b e r n e t e s 的 挑 戰 8 Click to edit Master title style 9 Kubernetes Day2 Ops 要作那些事? • 集群標準化和生命週期管理 • 安全訪問和環境隔離 •

也不多，最擅長把老闆交代的工作， 以及找不到老師教的技術，想辦法變 成自己的專長。 目前負責 Java 與 .NET 雲端運算相 關技術的推廣，主要包括 Hadoop Platform 與 NoSQL 等 Big Data 相關 應用，Google App Engine、Microsoft Azure 與 CloudBees 等雲端平台的運 用，以及 Android、Windows Phone 等 Smart Phone 的應用程式開發。 Google Search，版權歸原來各網站與企業所 有，謝謝。 Bio 2 / 74 Agenda 0. 前情提要 1. 進擊的 Hadoop 2. Hadoop 家族 3. Hadoop 戰隊 4. Hadoop 富二代 5. Hadoop 小圈圈 6. 喝咖啡騎大象建議 因為這個題目其實包山包海，所以我們今天只把焦點放在 Hadoop 身上。 3 / 74 前情提要 4 / Cloudera 主導 整合 Hadoop 裡頭的資料跟 RDBMS 裡頭的資料 透過 JDBC 與 MapReduce 進行彼此的資料轉換 38 / 74 不論是人數或顏色，實在都很難分辨。 Hadoop 戰隊 39 / 74 Hadoop Distribution Doug Cutting 先生在 2011 年 Hadoop World 的 Keynote 說： The similarity between

從微軟角度看 Kubernetes 對公有雲所帶來的改變與挑戰 Tom Lee 雲端解決方案架構師 合作夥伴暨商務事業群 台灣微軟 Policy Routing Telemetry 智慧端點卻連接著笨管線 Smart endpoints, dumb pipes 過去 25 年都是如此運作 服務數量越來越多，端點越來越多，該如何管理 ? 服務網格 Service Mesh 更聰明的管線 io/ Open Service Mesh (OSM) 以 CNCF Envoy 為基礎，實作 Service Mesh Interface 輕量化，開放源碼服務網格計畫 Kubernetes 實戰工作坊 Azure Kubernetes Service Workshop（L300） 13:00 ~ 15:00、15:00 ~ 17:00 兩梯次

cpl.thalesgroup.com 挑戰：保護 Kubernetes 環境的應用 程式安全 容器是為服務架構套件配置和軟體相依性的必要元素。 Kubernetes 是用於部署和管理這些容器的開源軟體。 使 用 Kubernetes 可以更快地交付、部署和管理容器化應用 程式，透過可重複使用的模組化元件提高效率、優化資源利 用和降低授權費用以節省成本。 然而還是存在各種風險： • 特權用戶濫用 風險。如果管理員能夠不受限制的存取容器映像和其中 儲存的資料，則企業可能遭受針對特權層級的攻擊。 • 跨容器存取 - 不當的權限配置可能造成多個容器存取應 該保持隱私的機敏資料。此外，當容器被託管在共享的 虛擬化或雲端環境中，關鍵資訊可能會暴露給第三方。 • 合規風險 - 許多合規性要求有嚴格的存取控制與稽查規 範。然而，許多資安團隊在管理和追蹤容器與映像內留 存資料，控制權受到限制。因此，這些資安團隊發現很 難遵守相關的資安政策與法規命令。 制的加密，讓特權用戶如 Docker 或 OpenShift等群組 管理員，能夠像一般用戶執行操作，不會獲得未經授權 的機敏資料存取。 • 實現強大的安全性 - 無論容器在資料中心、虛擬環 境、甚至是雲端，任何地方儲存或使用，CipherTrust Transparent Encryption for Kubernetes 都將實現強 大的資料安全政策。無需對應用程式、容器或基礎架構 進行任何變更的情況下，企業可以選擇部署並使用容器

是不是所有容器化了的微服務都能夠在同一個集群/數據中心/公有雲運帷？ Hashicorp聯合創始人 Armon Dadgar Mitchell Hashimoto Co-Founders and Co-CTOs Products: Terraform, Vault, Consul, Nomad, Packer, Vagrant 公有雲出現之前的軟件網絡安全 軟體所運行在企業的數據中心中固定的服務器 軟體所運行在企業的數據中心中固定的服務器 上，由防火牆和負載均衡器保護。 軟體的網絡安全是基於IP地址和端口，以及防 火牆來控制的。 軟體網絡安全-在雲上引入微服務後 單體式軟體被分割成了小的功能模塊（可能是 容器化了的微服務），這些模塊在雲上更容易 實施也更容易擴展 但是網絡邊界怎麼辦? 零信任網絡 安全 數據加密, 認證, 授 權 ⁄ How does Consul work? Consul是什麼

contributor •8 年 System, DevOps 與 Backend 開發與 維護經驗 •資展國際、工研院: Kubernetes, DevOps 講師 2 GitOps •雲原生 Continuous Deployment •所有部署都使用聲明式(declarative)腳本 •所有部署環境yaml皆存放至Git repository 3 GitOps •所有對環境的調整，皆應由調整Git

力強的人能夠順利將地雷逐個排掉，而基礎不足的人很可能被炸得焦頭爛額，並在挫折中步步退縮。通讀教 材也是一種常見做法，但對於面向求職的人來說，畢業論文、投遞履歷、準備筆試和面試已經消耗了大部分 精力，啃厚重的書往往變成了一項艱鉅的挑戰。 如果你也面臨類似的困擾，那麼很幸運這本書“找”到了你。本書是我對這個問題給出的答案，即使不是最 佳解，也至少是一種積極的嘗試。本書雖然不足以讓你直接拿到 Offer，但會引導你探索資料結構與演算法 ，學習不同演算法的原理、流程、用途 和效率等方面的內容。 2. 階段二：刷演算法題。建議從熱門題目開刷，先積累至少 100 道題目，熟悉主流的演算法問題。初次刷 題時，“知識遺忘”可能是一個挑戰，但請放心，這是很正常的。我們可以按照“艾賓浩斯遺忘曲線”來 複習題目，通常在進行 3～5 輪的重複後，就能將其牢記在心。推薦的題單和刷題計劃請見此 GitHub 倉庫。 3. 階段三：搭建知識 1]/???[? − 1] 。 圖 15‑4 物品在單位重量下的價值 1. 貪婪策略確定 最大化背包內物品總價值，本質上是最大化單位重量下的物品價值。由此便可推理出圖 15‑5 所示的貪婪策 略。 1. 將物品按照單位價值從高到低進行排序。 2. 走訪所有物品，每輪貪婪地選擇單位價值最高的物品。 第 15 章 貪婪 www.hello‑algo.com 350 3. 若剩餘背包容量不足，則使用當前物品的一部分填滿背包。

力強的人能夠順利將地雷逐個排掉，而基礎不足的人很可能被炸得焦頭爛額，並在挫折中步步退縮。通讀教 材也是一種常見做法，但對於面向求職的人來說，畢業論文、投遞履歷、準備筆試和面試已經消耗了大部分 精力，啃厚重的書往往變成了一項艱鉅的挑戰。 如果你也面臨類似的困擾，那麼很幸運這本書“找”到了你。本書是我對這個問題給出的答案，即使不是最 佳解，也至少是一種積極的嘗試。本書雖然不足以讓你直接拿到 Offer，但會引導你探索資料結構與演算法 ，學習不同演算法的原理、流程、用途 和效率等方面的內容。 2. 階段二：刷演算法題。建議從熱門題目開刷，先積累至少 100 道題目，熟悉主流的演算法問題。初次刷 題時，“知識遺忘”可能是一個挑戰，但請放心，這是很正常的。我們可以按照“艾賓浩斯遺忘曲線”來 複習題目，通常在進行 3～5 輪的重複後，就能將其牢記在心。推薦的題單和刷題計劃請見此 GitHub 倉庫。 3. 階段三：搭建知識 1]/???[? − 1] 。 圖 15‑4 物品在單位重量下的價值 1. 貪婪策略確定 最大化背包內物品總價值，本質上是最大化單位重量下的物品價值。由此便可推理出圖 15‑5 所示的貪婪策 略。 1. 將物品按照單位價值從高到低進行排序。 2. 走訪所有物品，每輪貪婪地選擇單位價值最高的物品。 第 15 章 貪婪 www.hello‑algo.com 349 3. 若剩餘背包容量不足，則使用當前物品的一部分填滿背包。