Chaos Mesh 在网易伏羲私有云自动化故障注入实践 Speaker Name：张慧 网易伏羲 Speaker Title：网易伏羲私有云质量保障负责人、Chaos Mesh 布道师、云原生社区 Stability SIG 发起人 Email：zhangui05@corp.netease.com 云 原 生 学 院 目录  网易伏羲私有云简介  为什么混沌测试  什么是混沌测试 识别出来。通过主动制 造故障，测试系统在各种压力下的行为，识别并修复故障问题，避免造成严重后果。 混沌工程将预想的事情和实际发生的事情进行对比，通过“有意识搞破坏”来提升系统稳定性。 鲁棒性 故障注入 如何选择混沌测试工具 混沌工具 混沌工具 为什么是 Chaos Mesh 为什么是 Chaos Mesh ● PodChaos: kill / fail

Docker 格式容器镜像的工具。它通过将应用程序源 代码注入容器镜像并汇编新镜像来生成可随时运行的镜像。新镜像融合了基础镜像（构建器）和构建的源 代码，并可搭配 buildah run 命令使用。S2I 支持递增构建，可重复利用以前下载的依赖项和过去构建的 工件等。 S2I 的优点包括： 镜像灵活性 可以编写 S2I 脚本，将应用程序代码注入到几乎所有现有的 Docker 格式容器镜像，以此利用 格式容器镜像，以此利用 现有的生态系统。请注意，S2I 目前依靠 tar 来注入应用程序源代码，因此镜像需要能够处理 tar 压缩的内容。 OpenShift Container Platform 4.4 构 构建（ 建（build） ） 4 速度 使用 S2I 时，汇编过程可以执行大量复杂操作，无需在每一步创建新层，进而能实现快速的流 程。此外，可以编写 S2I 脚本来重复利用应用程序镜像的旧版本，而不必在每次运行构建时下 类型的操作。因为这类操作可能 会减慢开发迭代速度。 生态系统 S2I 倡导共享镜像生态系统，您可以将其中的最佳实践运用于自己的应用程序。 可重复生成性 生成的镜像可以包含所有输入，包括构建工具和依赖项的特定版本。这可确保精确地重新生成 镜像。 1.1.3. Custom 构建 采用 Custom 构建策略时，开发人员可以定义负责整个构建过程的特定构建器镜像。通过利用自己的构建 器镜像，可以自定义构建流程。

准备安装 SERVICE MESH 1.7. 安装 OPERATOR 1.8. 创建 SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： Proxyless Service Mesh 是一个技术预览功能。 Telemetry API 是一个技术预览功能。 发现选择器功能不受支持。 外部 control plane 不受支持。 网关注入不受支持。 1.2.2.4.8. Kubernetes Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 要启用这个功能，请在 ServiceMeshControlPlane

过信任度不同的网络进行传输。 策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥 遥测 测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.3.3. Red Hat OpenShift Service Mesh 1.1.2 版中包含的组件版本 组 组件 件 版本 版本 Istio sidecar 注入。在创建 pod OpenShift Container Platform 4.2 Service Mesh 6 MAISTRA-453 如果创建新项目并立即部署 pod，则不会进行 sidecar 注入。在创建 pod 前，operator 无法添加 maistra.io/member-of ，因此必须删除 pod 并重新创建它以执行 sidecar 注入操作。 MAISTRA-193 istio-proxy 中的分段错误。 MAISTRA-932 添加了 requires 元数据，以添加 Jaeger operator 和 Elasticsearch operator 之间 的依赖关系。确保在安装 Jaeger operator 时，它将自动部署 Elasticsearch operator（如果不可 用）。 MAISTRA-862 Galley 在多次命名空间删除和重新创建后丢弃了监控并停止了向其他组件提供配

5：Serverless 攻击...........................................................................33 2.6.1 事件注入攻击........................................................................................34 2.6.2 年上半年云安全态势报告》显示[7]，在云环境中容器 资产占比达到 45.06%，攻击者通过攻击容器，就可以进一步获取宿主机系统权 限，威胁宿主机上的其他容器和内网安全。另外，随着各个企业云上业务的快速 发展，越来越多的应用开发深度依赖 API 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企 发起攻击，无服务器架构颠覆性的变化，给应用 服务开发商和拥有者带来了全新的安全挑战。路径 5 显示了攻击者利用 Serverless 存在的安全风险进行攻击的路径，可能存在的攻击手段包括：事件 注入攻击、敏感数据泄露攻击、身份认证攻击、权限滥用攻击、拒绝服务攻击和 针对函数供应链的攻击。 云原生安全威胁分析与能力建设白皮书 21 下面我们对威胁全景中攻击路径 1 至路径 5 的具体攻击手段，进行详细的

errors.Is(eerrors.FromError(err), UserErrNotFound()) 微服务的开发阶段 • protobuf lint的注释，利于阅读文档 • 调试gRPC，服务中注入reflection.Register的方法 • 通过K8S API，选择环境、应用、pod， 配置 对接 Debug • 配置驱动 • 配置补齐 • 配置工具 • Proto的管理 . 单元测试大部分的玩法，都是在做解除依赖 • 面向接口编程 • mock • 依赖注入 解除依赖很好，但成本很高 基础设施将所有依赖构建起来，就不要让研发用代码去实现 微服务的部署阶段 注入信息 版本信息 发布版本 • 注入应用名称、应用版本号、编译所在机器、编译时间配置 • 启动应用，获取debug.ReadBuildInfo，注入框架版本号 https://ego.gocn vip/ micro/chapter1/build.ht ml 微服务的部署阶段 注入信息 版本信息 发布版本 • 执行./bin/hello --version • 查看线上使用框架版本 https://ego.gocn.vip/ micro/chapter1/build.ht ml 微服务的部署阶段 注入信息 版本信息 发布版本 • 配置 • 过去自己实现agent读取etcd，写文件

组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 现 ： 闭 源 > 开 源 > 混 源 服 务 器 ： 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； 软件生产商使用SBOM来协助构建和维护他们提供的软件； 〇 软件采购商使用SBOM来进行采购前参考、协商折扣和制定采购策略； 〇 软件运营商使用SBOM为漏洞管理和资产管理提供信息，管理许可和 合规性，并快速识别软件和组件依赖关系以及供应链风险。 2）从企业角色类型来看，对SBOM有不同的使用需求： 〇 开发团队：用于管理软件资产，在开发早期即可评估安全风险，筛选 适合的组件/软件，并持续更新SBOM； 〇 安全

Source-to-Image (S2I) 是一种用于构建可重复生成的容器镜像的工具。它通过将应用程序源代码注入容 器镜像并汇编新镜像来生成可随时运行的镜像。新镜像融合了基础镜像（构建器）和构建的源代码，并可 搭配 buildah run 命令使用。S2I 支持递增构建，可重复利用以前下载的依赖项和过去构建的工件等。 2.1.1.3. Custom 构 构建 建 采用自定义构建策略时，开发人员可 13 CI/CD 12 要在现有构建配置上设置源克隆 secret，请输入以下命令： 2.3.4.2.3. 从 从 .gitconfig 文件 文件创 创建 建 secret 如果克隆应用程序要依赖于 .gitconfig 文件，您可以创建包含它的 secret。将它添加到 builder 服务帐户 中，再添加到您的 BuildConfig 。 流程 流程 从 .gitconfig 文件创建 和配置映射 重要 重要 要防止输入 secret 和配置映射的内容出现在构建输出容器镜像中，请使用 Docker 构 建和源至镜像构建策略中的构建 卷。 有时候，构建操作需要凭证或其他配置数据才能访问依赖的资源，但又不希望将这些信息放在源代码控制 中。您可以定义输入 secret 和输入配置映射。 例如，在使用 Maven 构建 Java 应用程序时，可以设置通过私钥访问的 Maven Central

Platform 中默认部署。 这些工具可组合使用，因此您可自由选择对您有用的工具。 2.1.3. Operator 成熟度模型 Operator 内部封装的管理逻辑的复杂程度各有不同。该逻辑通常还高度依赖于 Operator 所代表的服务类 型。 对于大部分 Operator 可能包含的特定功能集来说，可以大致推断出 Operator 封装操作的成熟度等级。就 此而言，以下 Operator 成熟度模型针对 yaml 文件为准，因为依赖这些注解的集群 Operator Registry 只能访问此文件。 2.2.1.3. 依 依赖项 Operator 的依赖项列在捆绑包的 metadata/ 目录中的 dependencies.yaml 文件中。此文件是可选的，目 前仅用于指明 Operator-version 依赖项。 依赖项列表中，每个项目包含一个 type 字段，用于指定这一依赖项的类型。支持以下 Operator 依赖项： olm.package 这个类型表示特定 Operator 版本的依赖项。依赖项信息必须包含软件包名称以及软件包的版本，格式 为 semver。例如，您可以指定具体版本，如 0.5.2，也可指定一系列版本，如 >0.5.1。 olm.gvk 使用这个类型，作者可以使用 group/version/kind(GVK)信息指定依赖项，类似于 CSV 中现有 CRD