云原生开放智能网络代理 MOSN 金融级云原生架构助推器 肖涵（涵畅） 蚂蚁金服高级技术专家 SOFAMosn 项目负责人1/10 MOSN，云原生时代的安全网络代理 Service Mesh 控制面 Galley Pilot Pod SOFA 服务 MSON Kubernetes TLS，国密 服务鉴权 Mirror Ingress Controller Pod Msg 项目名开源 2018年11月 内部正式启动落地 Service Mesh 2019年4月 落地第一个应用 2019年618 核心支付链路灰度 2019年双十一 核心支付链路全覆盖5/10 开放是手段，不是目的 加拉帕戈斯综合征 水族馆与大自然的杀人鲸 德尔菲法6/10 CNCF Landscape7/10 SOFAMosn GitHub Insights8/10 从 SOFAMosn RocketMQ、gRPC、HTTP3、 MQTT、QUIC、TLS1.3 等 多协议 支持模块化 自适应限流 多协议深度扩展能力 多进程 WAF WebAssembly 兼容用户态协议栈 Lua 支持 核心和开放能力 适配 Istio，兼容 UDAP 协议 Zookeeper，Etcd Open Tracing, Jaeger Prometheus, StatsD 生态融合 支持 K8s Ingress，Edge

1 阿里云 — 云原生应用平台团队 孙健波/周正喜 基于 Kubernetes 构建标准可扩展的云原生应用管理平台 2 3 有奖品？ 我的工作内容？ • 构建云原生应用管理平台 @ 阿里巴巴 Kubernetes 工程师 PaaS 工程师 基础设施运维工程师 … YAML 工程师 我们是如何构建的？ PaaS Serverless Operator Platform AutoScaling Route Job Deployment 缺乏交互、复用、可移植能 力。不同重复造轮子只是适 配不同 API 如何基于 K8s ，构建出一个既用户友好，又高可扩展，还 统一、标准化的应用管理平台？ 简单的“客户端”抽象： DCL (Data Configuration Language) 对 K8s 资源进行抽象实际上就是在操纵 YAML 数据，通过 DCL 来完成相比于 简单直观：schema 和 value 语法一致 完整的 k8s YAML 抽象数据 PaaS 层 UI (e.g. dashboard, cli) 用户 CUE schema/模板 “客户端”抽象 标准化的“服务端”抽象 – 应用模型 Open Application Model (OAM) • 通过 OAM spec 定义“以应用为中心”的原语 • 打破“谷仓”! Common Traits

直接从集群访问REGISTRY 4.3. 检查 REGISTRY POD 的状态 4.4. 查看REGISTRY日志 4.5. 访问REGISTRY的指标数据（METRICS） 4.6. 其他资源 第 第 5 章 章 开放 开放REGISTRY 5.1. 手动公开默认 REGISTRY 5.2. 手动公开受保护的REGISTRY 3 3 4 4 5 5 7 7 7 8 9 9 10 10 12 12 14 2. 集成的OPENSHIFT CONTAINER PLATFORM REGISTRY OpenShift Container Platform 提供了一个内建的镜像 registry，它作为一个标准的工作负载在集群中运 行。这个 registry 由一个 infrastructure Operator 配置并管理。它为用户提供了一种现成的解决方案，供 用户管理在已有集群基础架构上运行的，用于处 其他组件就可以对更新的镜像做出反应。 镜像数据会存储在两个位置。实际镜像数据存储在可配置的存储位置，例如云存储或一个文件系统卷中。 镜像的元数据被保存为标准的API资源（镜像(image)及镜像流(imagestream)），它们可以通过标准的集 群 API 进行访问。 其他 其他资 资源 源 OpenShift Container Platform中的Image Registry Operator

年就撰写了有关此主题的文章，但问题并没有消失。在 这期雷达中，我们讨论了许多现代工具和技术，它们采用更加细致入微的方法来衡量软件的创造过程，但这仍 然不够。幸运的是，业界已经不再使用代码行数作为产出衡量标准。然而，衡量框架 SPACE 中 A（Activity，活 动）的替代方法，例如拉取请求的数量或已解决的问题的数量，仍然不足以成为衡量生产力的良好指标。相反， 行业已经开始关注“工程效能”：我们 感知产生影响的条件。新的工具，比如 DX DevEx 360，通过关注开发者体验而不是一些虚假的产出衡量标准解 决了这个问题。然而，许多领导人仍然以模糊的、定性的方式衡量开发者的“生产力”。我们怀疑，这种兴趣的 复苏至少有一部分原因是受到了人工智能辅助软件开发的影响，这不可避免地引发了一个问题：它是否产生了 积极的影响？虽然衡量标准可能变得更加细致入微，但真正的生产力衡量仍然难以捉摸。 本期主题 © Thoughtworks 格指南演变而来，提供易于查找和使用的共享组件库和文档。通 常，设计系统的风格指南以代码的形式记录并进行版本控制，比简单的文档记录更加清晰且易于维护。设计系 统已经成为跨团队和学科进行产品开发时的标准方法，每当需要新的视觉组件时，团队不用重新发明轮子，因 此能够集中精力，专注解决产品本身的种种挑战。 我们的经验表明，团队在构建设计系统时很少采用产品为中心的思维方式。共享组件库和文档的主要消费者是

REGISTRY 4.3. 检查 REGISTRY POD 的状态 4.4. 查看REGISTRY日志 4.5. 访问REGISTRY的指标数据（METRICS） 4.6. 其他资源 第 第 5 章 章 开放 开放REGISTRY 5.1. 手动公开默认 REGISTRY 5.2. 手动公开受保护的REGISTRY 3 3 4 4 5 5 6 6 6 6 7 7 9 9 10 11 12 12 REGISTRY 概述 概述 3 1.2. 集成的 OPENSHIFT 镜像 REGISTRY OpenShift Container Platform 提供了一个内建的镜像 registry，它作为一个标准的工作负载在集群中运 行。这个 registry 由一个 infrastructure Operator 配置并管理。它为用户提供了一种现成的解决方案，供 用户管理在已有集群基础架构上运行的，用于处 其他组件就可以对更新的镜像做出反应。 镜像数据会存储在两个位置。实际镜像数据存储在可配置的存储位置，例如云存储或一个文件系统卷中。 镜像的元数据被保存为标准的API资源（镜像(image)及镜像流(imagestream)），它们可以通过标准的集 群 API 进行访问。 其他 其他资 资源 源 OpenShift Container Platform中的Image Registry Operator

实例：创建一个点到点连接 11. 实战案例 i. 使用 Supervisor 来管理进程 ii. 创建 tomcat/weblogic 集群 iii. 多台物理主机之间的容器互联 iv. 标准化开发测试和生产环境 12. 安全 i. 内核名字空间 ii. 控制组 iii. 服务端防护 iv. 内核能力机制 v. 其它安全特性 vi. 总结 13. Dockerfile i 只需要启动 10 个隔离的应用即可。 具体说来，Docker 在如下几个方面具有较大的优势。 对开发和运维（devop）人员来说，最希望的就是一次创建或配置，可以在任意地方正常运行。 开发者可以使用一个标准的镜像来构建一套开发容器，开发完成之后，运维人员可以直接使用这个容器来 部署代码。 Docker 可以快速创建容器，快速迭代应用程序，并让整个过程全程可见，使团队中的其他成员 更容易理解应用程序是如何创建和工作的。 后，返回了最终的镜像 id。所有的中间步骤所产生的容器都被删除和清理了。 *注意一个镜像不能超过 127 层 此外，还可以利用 ADD 命令复制本地文件到镜像；用 EXPOSE 命令来向外部开放端口；用 CMD 命令来 描述容器启动后运行的程序等。例如 # put my local web site in myApp folder to /var/www ADD myApp /var/www

架构设计以及开源策略。 前言技术选型 Technical 1ü 性能要求 • 以蚂蚁金服的体量，性能不够好则难于接受 • 架构与性能之间的权衡和取舍需要谨慎考虑 ü 稳定性要求 • 以蚂蚁金服的标准，稳定性的要求自然是很高 • 高可用方面的要求很非常高 ü 部署的要求 • 需要用于多种场合：主站，金融云，外部客户 • 需要满足多种部署环境：虚拟机/容器，公有云/私有云，k8s • 需要满足多种体系：Service Source 3蚂蚁金服，开源开放 ü 从 4 月份开始逐步开源金融级分布式架构中的各个组件： • SOFA Boot • SOFA RPC • SOFA Tracer • SOFA Lookout ü 科技开放，走出去看更大的生态 • 蚂蚁有丰富的业务场景，技术体系也经历了很长时间的发展，沉淀了很多自研产品 • 蚂蚁本身业务上的开放策略，要求技术也要开放，而且要在更丰富的场景下去磨炼 炼 • 在此期间，我们趟坑无数，走了N多弯路，演进了N个版本，我们期望能过通过开源和 开放，让社区跑的更快，节省更多时间 • 我们认为金融领域下的分布式架构设计有独特的原则，作为实践者，我们期望能在标准 化上跟社区一起沉淀和共建，期望做些贡献，有些建树Sofa Mesh的开源态度 ü 开源的时机 • 产品完成甚至使用多年之后 ü 开源的内容 • 陈旧的技术，过时的架构 • 放弃不再使用的产品

Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布 或者实施与自己 APP的集成。 • API作为产品，可 以给订阅、可以 被交易。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-1 知道 知道的 不知道 不知道的 主动性 被动性 监控 可观察 健康检查 告警 指标 日志 追踪 问题和根因 预警 监控&稳定性 分析&追踪&排错&探索 微服务部署后就像个黑盒子，如何发现问题并在 远端运维是主要的课题，那么就需要从宏观告知 研发人员，并且提供日志、跟踪、问题根因分析 等工具进一步从微观帮助研发人员定位和解决问 题，这是这里在业务上的价值-稳定性赋能。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-2 可观察性是云原生特别关注的运维支撑能力，因为它的主动性，正符合云原生对碎片变化的稳定性保障的思想 数据的全面采集 数据的关联分析 统一监控视图与展现 付环境中是不同的，而传统交付方式 缺乏脚本能“理解”的方式来表达这些 差异，此外由于事后更新OS、三方库 或者系统，这些变更又缺乏校验关系， 升级时很难给予企业信心，这种交付 方式很难被自动化。 标准化能力-微服务PAAS-OAM-万花筒PAAS-1-引子 客户环境交付 制品 • 云应用交付最难的还不是RT的 碎片化，最难的是环境依赖的 碎片化，比如，硬件环境、网 络环境、运维规范等的碎片化。

为基础，为大规模电信、流视频、游戏、银行和其他应用 提供引擎技术。借助红帽开放技术中的实现，您可以将容器化应用程序从单一云扩展到内部和多云环境。 1.1.1. 关于 Kubernetes 尽管容器镜像和从中运行的容器是现代应用程序开发的主要构建块，但要大规模运行它们，则需要可靠且 灵活的分发系统。Kubernetes 是编配容器的事实标准。 Kubernetes 是一个开源容器编配引擎，用于自动化容器 统。您无需逐一为应用主机配置特定的操作系统。当数据中心需要更多容量时，您可以部署另一个通用主 机系统。 同样，扩展容器化应用程序也很简单。OpenShift Container Platform 提供了一种简单的、标准方式的容 器化服务扩展功能。例如，如果将应用程序构建为一组微服务，而非大型的单体式应用程序，您可以分别 扩展各个微服务来满足需求。有了这一能力，您可以只扩展需要的服务，而不是整个应用程序，从而在使 用最少资源的前提下满足应用程序需求。 Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 理工具和流程是 OpenShift Container