混沌工程 服务治理 Spring Cloud 多语言微服务 API管理 服务压测 分布式事务 分布式调度 API网关 服务注册发现 负载均衡 服务配置 无损下线 服务容错 服务路由 服务鉴权 限流降级 服务元数据 服务测试 服务mock 持续集成 IDE插件 应用监控 链路追踪 日志管理 应用诊断 微服务架构总览 https://www.jetbrains.com • 离群实例摘除 • 限流降级 • 同AZ优先路由 • 就近容灾路由 高可用 • 服务鉴权 • 漏洞防护 服务治理的区分 服务治理中心 提供者 消费者 Agent Agent 用户 配置中心 治理规则 Dev-Sec-Ops 无损下线 离群实例摘除 标签路由 服务鉴权 链路跟踪 金丝雀发布 API管理 服务测试 限流降级 故障注入 • 业务无侵入、无感知 • 0升级成本 校验签名和规则 6. 审计日志 7. 返回结果 Agent • 规则优先级: 方法级别 > 应用 • 鉴权方式：白名单（允许调用），黑名单（拒绝调用） • 签名校验 • 审计日志 Agent 用户 1. 配置访问控制规则 配置中心 2. 写入token和规则 购物车服务 服务鉴权: 保护你的敏感业务 AZ 标 Region 标 压测标 版本标 场景标 自定义标 标签路由

开发环境隔离 • 服务压测 • 自动化回归 • 流量录制 • 流量回放 • 无损上下线 • 服务预热 • 金丝雀发布 • A/B Test • 全链路灰度 • 服务鉴权 • 漏洞防护 • 配置鉴权 • 离群实例摘除 • 限流降级 • 同AZ优先路由 • 就近容灾路由 • 服务巡检 • 标签路由 • 服务超时和重试 基础治理能力 高阶治理能力 日常环境隔离最佳实践 Dubbo 基线版本 RPC RPC 数据中心 Dubbo Gray Dubbo 基线版本 RPC RPC 微服务中心 app pos web MSE 云原生网关 认证鉴权服务 primweb web 订单中心 促销中心 商品中心 库存中心 渠道中心 用户中心 营销中心 会员中心 日志服务 安全 全链路监控 web服务 ES 云数据库 Rredis 版 DB大促预建联 密码定期修改 流量控 制 线程控 制 微服务生态 前端生态 Spring Sentinel 高可用生态 Dubbo Midway Switch 数据库生态 TDDL 服务鉴权 Pre-plan MSE（Nacos） 服务网格最佳实践 阿里服务网格（简称 ASM）是一个统一管理微服务应用流量、兼容Istio的托管式平台 ASM 中Istio通过标准 MCP协议跟MSE

Pod SOFA 应用 SOFAMosn KMI Pod SOFA 应用 SOFAMosn Sigma TLS，国密 服务鉴权 流量控制 镜像中心 流量镜像 流量镜像 TLS，国密 服务鉴权 流量控制 TLS，国密 服务鉴权 流量控制蚂蚁金服率先大规模落地SOFAMesh UDPA 安全 统一数据 平面API 存量连接无损迁移 提升5倍发布效率 TLS双向加密 通过提供 stream filter 注册机制以及统一的 stream send/receive filter 接口，实现了 Stream filter 扩展机制， 包括支持： • 流量镜像，RBAC鉴权SOFAMosn能力扩展 心跳检查在Service Mesh场景下网络代理有着不同于接入层的挑战 • 无论应用是否接入Mesh，接入了多少Mesh，都需要保证可正常处理请求，做到可 灰度、可回滚的兼容，平滑迁移

h、jwt-auth、key-auth、wolf-rbac
等。此外，借 助内置的
HMAC
插件，可使⽤
AK/SK
对请求参数进⾏签名与校验，以实现请求防篡改、请求防重 放的需求，并能够达到鉴权的⽬的；

• 服务路由：API7
基于
Radixtree
实现⾼效的路由匹配，是⽬前匹配路由速度最快的
API
⽹关。它⽀ 持全路径匹配、前缀匹配，也⽀持使⽤
Nginx
内置变量作为匹配条件，以此实现精细化路由。此 作⽤
场景
⾝份验证插件可以有效地保护
Route、Service，以避免⾮法、⽆权限的访问。
authz-keycloak
启⽤该插件后，将⽀持配合
KeyCloak
认证服务完成⾝份鉴 权。


⾝份 验证




⾝份认证
basic-auth
启⽤该插件后，客⼾端访问时需使⽤正确的账⼾、密码。
hmac-auth
启⽤该插件后，除了验证客⼾端⾝份有效性，其端请求参数 上游服务的响应在到达客⼾端之前，该插件将按照指定规则 修改响应内容，包含但不限于响应体、响应头等参数。

表
2-1
API7
常⽤插件列表
2.2
认证鉴权
API
⽹关内置了
key-auth、basic-auth、jwt-auth
等认证鉴权插件，以
hmac
插件为例，我们可配合
AK/SK
对请求参数进⾏加密，以保证请求未被篡改。
请求参数包括
Request
Header、Re

Pilot Pod SOFA 服务 MSON Kubernetes TLS，国密 服务鉴权 Mirror Ingress Controller Pod Msg 服务 MOSN Pod Dubbo 服务 MOSN Pod 数据访问服务 MOSN TLS，国密 服务鉴权 Mirror 访问请求 MOSN 多种服务注册中心 SOFA Registry Nacos WAF，DDos2/10 MOSN 核心能力沉淀  精细化路由  安全防护  多协议  可运维  可扩展 • 多版本发布 • 压测引流 • 服务分组 • 加密链路 • 国密算法 • 服务鉴权 • TCP、Http、SOFA • 透明劫持 • 平滑升级 • 可观测性 • 网络包过滤器 • 协议包过滤器 • 协议扩展 • 可观测性扩展 • 路由扩展 • 集群管理扩展 模块化

性能压力 • 部署考虑 • 服务端agent成为必选项会增加运维压力 • OSP server默认没有agent，web server只带一个 服务注册agent • 服务端的一些治理、trace、鉴权功能通过代码插 件的方式实现 • 治理效果考虑 • 服务端嵌入治理功能可以让治理效果更好，如提 供主动GC、线程池隔离等 • 因为是内部项目，优雅性和治理效果之间，选择 了后者 App Proxy问题，可立马切走流量而不影响业务代码埋点 vs. Mixer • 性能考虑 • 调用链埋点的影响必须足够小 • 鉴权需要同步进行，调用Mixer代 价大 • Mixer的中央节点问题 • 传统基于日志收集的tracing方 案足够成熟 • 内部实现一套可插拔的鉴权框 架也能接受混合部署 vs. 绑定K8s • 历史原因导致长期都会物理机 和容器并存，内部需求必须要 同时支持物理机和云

kafka-logger ... APISIX在安信PaaS平台的应用 1、路由转发 2、认证 3、鉴权 4、链路 5、监控 6、日志 CAS 与 casbin 2、用户状态支持本地存储 3、用户状态支持redis存储 4、casbin 兼容 RBAC with domain 1、认证鉴权功能从业务代码剥离 APISIX helm模板 APISIX 插件模板 APISIX upstream&API

application network from your service code Exposes your services as managed APIs 概念 流量 东西流量（内部） 通信协议 路由 鉴权 流控 安全 协议转换 通用协议（HTTP、gRPC 等） 私有协议（WS、Dubbo、Bolt 等） 一般不需要 HTTP to 内部 RPC 协议 基于 Host、Path 等路由 基于 API Gateway APP2 Logic Logic 微服务网关架构（2013-2016) LB spanner 特点： • 微服务网关 • 蚂蚁金服 RPC 协议 • 安全\鉴权\监控 • Netty 异步化 • 私有协议 MMTP 缺点： • API 网关变更风险 • 业务分级隔离需求 • 大促容量规划问题 HTTP/MMTP sofarpc10/21 去中心化网关架构（2016-2018)

海尔集团业务转型 - 架构演进 工业互联网 - 行业分析 海尔工业互联网 -才云整体解决方案 海尔工业互联网 - 才云整体解决方案 多集群管理 存 储 网 络 混合云 监控日志 基础服务 镜像仓库 认证鉴权 资源管理 面向业务开发 CI/CD 微服务 应用商店 面向业务管理 弹性伸缩 API Gateway 负载均衡 应用编排 日志监控 告警 服务发现 API 业务中台 APP-B APP-C Gateway Auth N Auth Z 协议适配: • 提供常用协议服务的接入、转换（Dubbo，XML） • 灵活定制化的数据变换 控制能力: • 认证鉴权机制 • 流量控制 • 黑白名单 • 服务路由 可靠高效: • 分布式，高可用 • 高性能，低延迟 • 线性扩容 海尔工业互联网 –微服务之监控日志 Node PrometheusServer（Pod）

......................................................................................23 2.3.2 容器提权和逃逸攻击............................................................................24 2.3.3 拒绝服务攻击... 在企业云环境方面，容器化基础设施和云原生应用广泛应用。2023 年 9 月， 腾讯研究院发布的《2023 年上半年云安全态势报告》显示[7]，在云环境中容器 资产占比达到 45.06%，攻击者通过攻击容器，就可以进一步获取宿主机系统权 限，威胁宿主机上的其他容器和内网安全。另外，随着各个企业云上业务的快速 发展，越来越多的应用开发深度依赖 API 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API K 行 容器，而高级容器运行时负责容器镜像额传输和管理等，低级容器运行时和高级 容器运行时只是强调了容器化的不同方面。路径 2 显示针对容器运行时可能存 在的攻击手段，包括：容器运行时攻击、容器提权和逃逸攻击、拒绝服务攻击和 容器网络攻击。 路径 3：攻击者对编排工具发起攻击，通过利用编排工具存在的漏洞，实现 入侵宿主机的目的。路径 3 显示针对编排工具可能存在的攻击手段，包括：攻 击 k8s