Apache APISIX 在安信 PaaS 平台的应用 卢勇辉 安信证券网关产品负责人 01 网关选型 02 APISIX 在安信 PaaS 平台的应用 03 一些思考 04 下一步 CONTENT 网关选型 需求、场景与匹配度 01 安信技术平台演进 O U R B E G I N N I N G S 技术平台室成立 服务化平台建设（脚手架、 链路、监控、配置中心） 中间件PaaS规划 DBaaS规划 安信PaaS平台规划 API网关规划 2 0 2 1 2 0 2 2 安信PaaS平台建设 中间件PaaS建设 DBaaS建设 API网关建设 信创容器云建设 ~ CICD工具链 Docker gRPC框架 为什么选择Apache APISIX 1、高性能 2、可扩展性强，对开发者友好 3、云原生发展规划与安信证券技术路线符合 4、社区活跃 o m e t h i n g a b o u t APISIX 在安信 PaaS 平台的应用 既是使用者，也是管理者 02 front cas casbin eaas appcenter upms IAM skywalking prometheus kafka-logger ... APISIX在安信PaaS平台的应用 1、路由转发 2、认证 3、鉴权 4、链路

安信证券 蒋渐峰 安信证券DevOps探索与实践 转型背景 01 工具平台建设 02 试点项目实践 03 目录 CONTENTS 持续改进 04 目标：以研发团队为中心，在端到端流程串联、流程自动化、度量精化、质量增强、资源自助化几个重点方面发力， 打造研发管理平台，提供具备快速交付、高质量、过程透明、可度量的IT研发服务供应链。 证券业务的复杂性： 证券业务种类多，业务规则复杂，业 是业务开展的速度、广度以及深度的保证， 这恰恰是行业所缺失的 IT规模扩展带来的管理问题： 近年证券行业的IT规模不断扩展，特别是在自 研领域，系统建设模式逐步转变为自主研发、 合作研发为主，开发团队规模逐渐壮大，安信 目前自主研发和合作研发的比例已经超过50%， 研发团队也超过了500人，各个二级团队都有 自研的项目，亟待建立研发管理体系，统一研 发过程和工具 外部 内部 转型背景 转型背景-实施思路

能够审视影响 Thoughtworks 技术战略和技术人员的各种主题。本期技术雷达内容 基于 2023 年 8 月的 TAB 线上会议创建。 中国区技术雷达汉化组： 边晓琳、陈亮、程显通、樊田、樊卓文、冯炜、符雨菡、高晓、管英杰、何蜜、何蔚、何向东、纪扬、郏李鹏、 蒋亦雄、李辉、李天舒、李妍、李昱桦、林晨、刘钊、秦睿、孙郁俨、童圣、王鹏熹、王芹芹、熊晓荟、杨琛、 杨阳、姚瑶、于海源、余琦、余 混合设置。Orca 拥有广泛的安全查询和规则，以持续监控已部署的工作负载，检测配置错误、漏洞和合规性问 题。它支持云虚拟机、无服务器函数、容器以及已部署工作负载的 Kubernetes 上部署的应用。这些内置的安 全规则会定期更新，以跟上不断演进的合规标准和威胁向量。由于 Orca 无需代理，因此提供了良好的开发者 体验，并且易于设置。另一个显著的特点是它促进了安全的左移。我们的团队使用 Orca CLI 或特定操作，以便与其他工具集成来启动账户创建流程。我们的团队通过整合一组开箱即用的账户配置项，一 劳永逸地为 GitHub Actions 的角色做了基础设置和访问权限的配置。这可为开发者提供一个完全集成 VPC 安 全基线、可用于 GitHub Actions 接收工作负载的账户。我们的团队报告说，使用 AWS Control Tower 和 AFT 统一管理多个团队的账户非常方便。 47. Bloc

ReleaseMan 手机APP自动化测试 TestBird 服务端测试 TestMan 云部署 DeployMan 服务端发布 服务端部署 下载 APP发布 下载服务端 AppStore 安卓市场 （华为） 发布 发布 测试管理 TestMan 23 案例：容器服务助力腾科教育，构建新型实验平台，提升课程运营效率 实验环境配置复 杂，基础运维工作 繁多 为闲置资源付费，无

与任何其他深度学习框架相比，你的 Keras 模型可以轻松部署在更广泛的平台上： • 在 iOS 上，通过 Apple’s CoreML（苹果为 Keras 提供官方支持）。这里有一个教程。 • 在安卓上，通过 TensorFlow Android runtime，例如：Not Hotdog app。 • 在浏览器上，通过 GPU 加速的 JavaScript 运行时，例如：Keras.js 和 如果你不确定是否安装了 h5py，则可以打开 Python shell 并通过下面的命令加载模块 import h5py 快速开始 38 如 果 模 块 导 入 没 有 错 误， 那 么 模 块 已 经 安 装 成 功， 否 则 你 可 以 在 http://docs.h5py.org/en/latest/build.html 中找到详细的安装说明。 模型 39 4 模型 4.1 关于 Keras

的安装过 过程 程 默认安装类型为使用安装程序置备的基础架构。默认情况下，安装程序充当安装向导，提示您输入它无法 自行确定的值，并为其余参数提供合理的默认值。您还可以自定义安装过程来支持高级基础架构场景。安 装程序将为集群置备底层基础架构。 您可以安装标准集群或自定义集群。对于标准集群，您要提供安装集群所需的最低限度详细信息。对于自 定义集群，您可以指定有关平台的更多详细信息，如 control plane Container Platform 4.10 安装 安装 90 参数 参数 描述 描述 值 值 apiVersion install-config.yaml 内容的 API 版本。当前版本为 v1。安 装程序还可能支持旧的 API 版 本。 字符串 baseDomain 云供应商的基域。基域用于创 建到 OpenShift Container Platform 集群组件的路由。集 群的完整 DNS 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置 FIPS 模式的更 多信息，请参阅在 FIPS 模式中安装该系 统。只有在 x86_64 架 构的 OpenShift Container Platform 部 署中才支持使用

的安装过 过程 程 默认安装类型为使用安装程序置备的基础架构。默认情况下，安装程序充当安装向导，提示您输入它无法 自行确定的值，并为其余参数提供合理的默认值。您还可以自定义安装过程来支持高级基础架构场景。安 装程序将为集群置备底层基础架构。 您可以安装标准集群或自定义集群。对于标准集群，您要提供安装集群所需的最低限度详细信息。对于自 定义集群，您可以指定有关平台的更多详细信息，如 control plane AWS, or bare metal 的受限网络中的详细说 明。您还可以按照针对 AWS, GCP, Nutanix, VMC on AWS, RHOSP, RHV, 和 vSphere 中的信息，使用安 装程序置备的基础架构将集群安装到受限网络中。 如果需要将集群部署到 AWS GovCloud 区域、AWS 中国区域或 Azure 政府区域，您可以在安装程序置备 的基础架构安装过程中配置这些自定义区域。 下表描述了所需的安装配置参数： 表 表 5.1. 所需的参数 所需的参数 参数 参数 描述 描述 值 值 apiVersion install-config.yaml 内容的 API 版本。当前版本为 v1。安 装程序可能还支持旧的 API 版 本。 字符串 baseDomain 云供应商的基域。基域用于创 建到 OpenShift Container Platform 集群组件的路由。集 群的完整 DNS

的安装过 过程 程 默认安装类型为使用安装程序置备的基础架构。默认情况下，安装程序充当安装向导，提示您输入它无法 自行确定的值，并为其余参数提供合理的默认值。您还可以自定义安装过程来支持高级基础架构场景。安 装程序将为集群置备底层基础架构。 您可以安装标准集群或自定义集群。对于标准集群，您要提供安装集群所需的最低限度详细信息。对于自 定义集群，您可以指定有关平台的更多详细信息，如 control plane registry 时使用的凭证相同。例如，如果使用 --quayHostname 安 安 装了 装了 Red Hat OpenShift 的镜像 registry，则必须包括该字符串才能正确地升 级镜像 registry。 3.6.1. 为 Red Hat OpenShift 卸载镜像 AWS 上安装 OpenShift Container Platform 的方法 您可以在安装程序置备的基础架构或用户置备的基础架构上安装 OpenShift Container Platform。默认安 装类型使用安装程序置备的基础架构，其中安装程序为集群置备底层基础架构。您还可以在您置备的基础 架构上安装 OpenShift Container Platform。如果不使用安装程序置备的基础架构，您必须自己管理和维

的安装过 过程 程 默认安装类型为使用安装程序置备的基础架构。默认情况下，安装程序充当安装向导，提示您输入它无法 自行确定的值，并为其余参数提供合理的默认值。您还可以自定义安装过程来支持高级基础架构场景。安 装程序将为集群置备底层基础架构。 您可以安装标准集群或自定义集群。对于标准集群，您要提供安装集群所需的最低限度详细信息。对于自 定义集群，您可以指定有关平台的更多详细信息，如 control plane registry 时使用的凭证相同。例如，如果使用 --quayHostname 安 安 装了 装了 Red Hat OpenShift 的镜像 registry，则必须包括该字符串才能正确地升 级镜像 registry。 3.6.1. 为 Red Hat OpenShift 卸载镜像 Telemetry，该服务会自动授权您的集群。 访问 Quay.io，以获取安装集群所需的软件包。 获取执行集群更新所需的软件包。 重要 重要 如果您的集群无法直接访问互联网，则可以在置备的某些类基础架构上执行受限网络安 装。在此过程中，您要下载所需的内容，并使用它在镜像 registry（mirror registry） 中填 充安装集群并生成安装程序所需的软件包。对于某些安装类型，集群要安装到的环境不需 要访问互联网。在更新集群之前，要更新

以实际行动践行“国家队、主力军、排头兵”的责任担当。2022 年，我们在“联 通合作伙伴大会”发布了《中国联通云原生安全实践白皮书》，该书系统阐述了 云计算所面临的新型安全问题，介绍了云原生安全防护体系，并给出了云原生安 全防护体系建设实践。 过去一年来，我们持续深耕云原生安全领域，联合多家单位共同编写了《云 原生安全威胁分析与能力建设白皮书》。白皮书从攻击者视角介绍了云原生所面 临的安全威胁，通过具体的实例 段，并会同时覆盖 DevSecOps 中运营阶段的能力。 云原生安全威胁分析与能力建设白皮书 13 图 3 云原生安全框架 由此可见，云原生安全可以简要归纳为两个方面，一是面向云原生环境的安 全，其目标是防护云原生环境中的基础设施、编排系统、微服务、无服务和服务 网格等安全。二是具有云原生特征的安全，指具有云原生的弹性敏捷、轻量级、 可编排等特性的各类安全机制。在此基础上，未来云原生环境必将与云原生技术 历如下三个发展阶段： （1）安全赋能于云原生体系，构建云原生的安全能力。当前云原生技术发 展迅速，但相应的安全防护匮乏，最基础的镜像安全和安全基线都存在很大的安 全风险。因此，应该将现有的安全能力，如隔离、访问控制、入侵检测、应用安 全等，应用于云原生环境，构建安全的云原生系统； （2）安全产品具有云原生的新特性，如轻/快/不变的基础设施、弹性服务 云原生安全威胁分析与能力建设白皮书