-for-global-co 企業Kubernetes的關鍵考量因素 1. CNCF符合性 CNCF認證是一項符合性計畫，確保每家廠商的Kubernetes發行版本，都支援所需 的API並提供及時更新。選擇通過CNCF認證的Kubernetes安裝，可協助企業保證 產品的適應性、可預測性及互通性，此外也能避免受到廠商限制，並可提供彈性， 依據功能和需求的演進發展改用替代解決方案。 Canonical 必要確保解決方案具有可靠的升級策 略，跟隨上游保持最新狀態，並且無需犧牲穩定性或中斷持續營運。就此而言， Canonical Kubernetes、OpenShift及Rancher均提供無需停機的自動化升級。 其中Canonical Kubernetes居於領先的部分，就是能夠讓企業對升級流程進行精細 控制。使用者可精確排序及交錯進行各項元件的更新作業，因此能夠完全升級叢集， 同時確保不會影響在叢集執行的工作負載。 同時確保不會影響在叢集執行的工作負載。 2 5. 支援生命週期 有時候企業無法跟上最新的上游Kubernetes版本，未能完全保持最新狀態。為了 確保Kubernetes部署維持安全，必須瞭解廠商支援各個版本的時間長度。 OpenShift支援最新的3個次要Kubernetes版本，支援各個版本的時間總計9個月。 在前3個月期間，特定版本會獲得「完整支援」，緊急修復一旦可用就會發行提供， 其他修復則是以

cpl.thalesgroup.com 挑戰：保護 Kubernetes 環境的應用 程式安全 容器是為服務架構套件配置和軟體相依性的必要元素。 Kubernetes 是用於部署和管理這些容器的開源軟體。 使 用 Kubernetes 可以更快地交付、部署和管理容器化應用 程式，透過可重複使用的模組化元件提高效率、優化資源利 用和降低授權費用以節省成本。 然而還是存在各種風險： • 特權用戶濫用 提供用於加密、存取控制和資料存取日誌記錄的容器內核 功能，使企業能夠對Kubernetes 環境中的資料建立堅實 穩固的防護。 透過 CipherTrust Transparent Encrypton 的擴展，資料保護可以在每個容器的基礎上應用，兼具保 護容器的內部資料，以及經過容器存取的外部儲存資料， 都統一經由 CipherTrust Manager 集中管理。 優勢 CipherTrust Transparent Transparent Encryption for Kubernetes 效益有 : • 合規性 - CipherTrust Transparent Encryption 的這 項擴充，解決了保護機敏資料的合規要求與法規命令， 例如支付卡、健康照護紀錄或者其他機敏資產。 • 防止受到特權用戶的威脅 - 該解決方案提供資料存取控 制的加密，讓特權用戶如 Docker 或 OpenShift等群組 管理

资源域A 资源域B 资源域A 资源域B 空闲资源 资源域A 资源域B 资源域A 资源域B 保活态 运行态 资源域A 资源域B 运行态 保活态 常规方案操作步骤 分时调度操作步骤23 分时调度-MOSN价值 MOSN 作用：保活态节点流量转发，降低保活态节点内存占用 保活意义： * 应用长连接维持 * DB 连接维持 * 缓存维持 * 无需预热可快速恢复 MOSN MOSN APP MOSN APP Client Pod 运行态 Pod 保活态 100% 100% 100% 1% 99%24 双十一成果 覆盖双十一核心链路数十万容器 双十一大促 0新增 机器 QPS 数千万 处理 RT < 0.2ms MOSN: https://github.com/sofastack/sofa-mosn25 对 Service

程序镜像中不存在的实用程序或设置脚本。您可以在部署 pod 的其余部分之前，使用初始容器执行任务。 除了在节点、pod 和容器上执行特定任务外，您还可以使用整个 OpenShift Container Platform 集群来保 持集群效率和应用程序 pod 高可用性。 第 第 1 章 章 节 节点概述 点概述 11 第 2 章 使用 POD 2.1. 使用 POD pod 是共同部署在同一主机上的一个或多个容器， 第 2 章 章 使用 使用 POD 17 作为管理员，您可以为 pod 创建和维护高效的集群。 通过确保集群高效运行，您可以使用一些工具为开发人员提供更好的环境，例如，pod 退出时的行为，确 保始终有所需数量的 pod 在运行，何时重启设计为只运行一次的 pod，限制 pod 可以使用的带宽，以及 如何在中断时让 pod 保持运行。 2.3.1. 配置 pod 重启后的行为 pod 重启策略决定了 ，可保留大于十亿 亿的数 的数值 值。默 。默认 认情况下， 情况下，OpenShift Container Platform 有 有两 两个保留 个保留优 优先 先级类 级类，用于 ，用于 需要保 需要保证调 证调度的关 度的关键 键系 系统 统 pod。 。 输 输出示例 出示例 system-node-critical -

我们就需要保存和恢复模 型了。 model.state_dict() 函数可以得到模型的状态字典，里面包含了模型的参数权重与 bias 等信 息，我们可以用下面的代码来保存和恢复模型： # 保 存 模 型 torch . save ( model . state_dict () , path ) # 恢 复 模 型 model . load_state_dict ( torch . load load ( path ) ) 其中，path 是保存模型的路径。有时候我们希望能同时保存模型的一些其他信息，比如 epoch 和优化器的类型，这时我们可以生成一个状态字典： # 保 存 模 型 state = { ’ model ’ : model . state_dict () , ’ optimizer ’ : optimizer . state_dict () , ’ epoch 现在我们希望能够看一下训练的分类结果，为了方便起见我们的源码里删除了上一节的内容。 我们先实现一下模型的保存功能，否则每次都重新训练会非常麻烦： # 从 第 900 轮 恢 复 模 型 （取 决 于 保 存 好 的 模 型 文 件） path = ’ ./ model ’ + s t r (900) +’ . pth ’ 24 4.3. 分类结果的可视化 checkpoint = torch

No.202303 中国信息通信研究院 2023年7月 云计算白皮书 (2023 年) 版权声明 本白皮书版权属于中国信息通信研究院，并受法律保 护。转载、摘编或利用其它方式使用本白皮书文字或者观 点的，应注明“来源：中国信息通信研究院”。违反上述声 明者，本院将追究其相关法律责任。 前 言 党的二十大报告提出，要构建新一代信息技术等一批新的增长 引擎，打造具有国际竞争力的数字产业集群。云计算是信息技术发 沙 盒大赛十强中，近两年涌现出多家云原生安全初创厂商，引起了业 界的广泛关注。 生态建设方面，合作伙伴成为云服务商扩大市场的新方式。合 作伙伴作为连接云厂商与企业的桥梁，是云厂商长期稳定发展的保 障。过去一年，全球主流云服务商积极汇聚伙伴生态、变革伙伴合 作模式、坚持伙伴优先战略，合作伙伴生态被提升到新高度。一是 云服务商关注到上云企业对 ISV 等合作伙伴依赖突出，通过“赢得 伙伴 等先进架构升级应用范式；二是数据架构现代化，以云原生为底座 优化数据摄取、数据存储、数据分析、数据消费、数据治理等能力， 云计算白皮书（2023 年） 16 充分挖掘数据价值等；三是技术架构现代化，从资源管理、运维保 障、研发测试、应用服务等方面构建通用的对上赋能的技术底座； 四是组织流程现代化，通过工作思维、管理方式、协作模式的革新， 从组织、人员层面适配现代化发展思路；五是用户体验现代化，重 视用户诉

Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。 注意 注意 将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图中列出的实例类型，请确 保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。 例 例 6.16. 基于 基于 64 位 位 x86 架 架构 构的机器 的机器类 类型 型 c4.* c5.* c5a.* Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。 注意 注意 将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图中列出的实例类型，请确 保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。 例 例 6.18. 基于 基于 64 位 位 x86 架 架构 构的机器 的机器类 类型 型 c4.* c5.* c5a.* Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。 注意 注意 将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图中列出的实例类型，请确 保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。 例 例 6.20. 基于 基于 64 位 位 x86 架 架构 构的机器 的机器类 类型 型 c4.* c5.* c5a.*

Platform 4.9 节 节点 点 18 作为管理员，您可以为 pod 创建和维护高效的集群。 通过确保集群高效运行，您可以使用一些工具为开发人员提供更好的环境，例如，pod 退出时的行为，确 保始终有所需数量的 pod 在运行，何时重启设计为只运行一次的 pod，限制 pod 可以使用的带宽，以及 如何在中断时让 pod 保持运行。 2.3.1. 配置 pod 重启后的行为 pod 重启策略决定了 都在专 专用的 用的 cgroup 层 层次 次结构 结构中 中启动 启动，与系 ，与系统 统守 守护进 护进程隔离。 程隔离。 管理 管理员应该 员应该像 像对 对待具有保 待具有保证 证服 服务质 务质量的 量的 pod 一 一样对 样对待系 待系统 统守 守护进 护进程。系 程。系统 统守 守护进 护进程可能会在其限定控 程可能会在其限定控 制 制组 组中爆 中爆发 TLS 安全配置集定 安全配置集定义 义了 了 Kubernetes API 服 服务 务器 器连 连接 接 kubelet 时 时必 必须 须使用的 使用的 TLS 密 密码 码，以保 ，以保护 护 kubelet 和 和 Kubernetes API 服 服务 务器之 器之间 间的通信。 的通信。 注意 注意 默 默认 认情况下，当 情况下，当 kubelet

Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。 注意 注意 将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图中列出的实例类型，请确 保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。 例 例 6.17. 基于 基于 64 位 位 x86 架 架构 构的机器 的机器类 类型 型 c4.* c5.* c5a.* Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。 注意 注意 将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图中列出的实例类型，请确 保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。 例 例 6.21. 基于 基于 64 位 位 x86 架 架构 构的机器 的机器类 类型 型 c4.* c5.* c5a.* Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。 注意 注意 将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图中列出的实例类型，请确 保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。 例 例 6.28. 基于 基于 64 位 位 x86 架 架构 构的机器 的机器类 类型 型 c4.* c5.* c5a.*

service mesh 單體式與微服務軟體架構對比 The Reformation 服務網格是一個輕量級的基礎架構組件，用來解決以下問題： ▪ 服務都在哪裡運行? ▪ 它們都健康嗎? ▪ 怎樣保證服務之間客戶無障礙安全互聯? ▪ 整個軟件的所有功能模塊是否都能夠容器化？ ▪ 是不是所有容器化了的微服務都能夠在同一個集群/數據中心/公有雲運帷？ Hashicorp聯合創始人 Armon Terraform, Vault, Consul, Nomad, Packer, Vagrant 公有雲出現之前的軟件網絡安全 軟體所運行在企業的數據中心中固定的服務器 上，由防火牆和負載均衡器保護。 軟體的網絡安全是基於IP地址和端口，以及防 火牆來控制的。 軟體網絡安全-在雲上引入微服務後 單體式軟體被分割成了小的功能模塊（可能是 容器化了的微服務），這些模塊在雲上更容易 實施也更容易擴展