Chaos Mesh 在网易伏羲私有云自动化故障注入实践 Speaker Name：张慧 网易伏羲 Speaker Title：网易伏羲私有云质量保障负责人、Chaos Mesh 布道师、云原生社区 Stability SIG 发起人 Email：zhangui05@corp.netease.com 云 原 生 学 院 目录  网易伏羲私有云简介  为什么混沌测试  什么是混沌测试 识别出来。通过主动制 造故障，测试系统在各种压力下的行为，识别并修复故障问题，避免造成严重后果。 混沌工程将预想的事情和实际发生的事情进行对比，通过“有意识搞破坏”来提升系统稳定性。 鲁棒性 故障注入 如何选择混沌测试工具 混沌工具 混沌工具 为什么是 Chaos Mesh 为什么是 Chaos Mesh ● PodChaos: kill / fail

5：Serverless 攻击...........................................................................33 2.6.1 事件注入攻击........................................................................................34 2.6.2 发起攻击，无服务器架构颠覆性的变化，给应用 服务开发商和拥有者带来了全新的安全挑战。路径 5 显示了攻击者利用 Serverless 存在的安全风险进行攻击的路径，可能存在的攻击手段包括：事件 注入攻击、敏感数据泄露攻击、身份认证攻击、权限滥用攻击、拒绝服务攻击和 针对函数供应链的攻击。 云原生安全威胁分析与能力建设白皮书 21 下面我们对威胁全景中攻击路径 1 至路径 5 的具体攻击手段，进行详细的 2.2.2 镜像仓库攻击 这里指的是攻击受害者本地的镜像仓库，如 Harbor[8]、Docker Registry[9] 等。其中 Harbor 镜像库从发布开始就被爆出权限提升、枚举、SQL 注入、CSRF 等多项漏洞。除此之外，如果私有镜像仓库由于配置不当而开启了 2357 端口， 将会导致私有仓库暴露在公网中，攻击者可直接访问私有仓库并篡改镜像内容， 造成仓库内镜像的安全隐患。

errors.Is(eerrors.FromError(err), UserErrNotFound()) 微服务的开发阶段 • protobuf lint的注释，利于阅读文档 • 调试gRPC，服务中注入reflection.Register的方法 • 通过K8S API，选择环境、应用、pod， 配置 对接 Debug • 配置驱动 • 配置补齐 • 配置工具 • Proto的管理 单元测试大部分的玩法，都是在做解除依赖 • 面向接口编程 • mock • 依赖注入 解除依赖很好，但成本很高 基础设施将所有依赖构建起来，就不要让研发用代码去实现 微服务的部署阶段 注入信息 版本信息 发布版本 • 注入应用名称、应用版本号、编译所在机器、编译时间配置 • 启动应用，获取debug.ReadBuildInfo，注入框架版本号 https://ego.gocn.vip/ micro/chapter1/build micro/chapter1/build.ht ml 微服务的部署阶段 注入信息 版本信息 发布版本 • 执行./bin/hello --version • 查看线上使用框架版本 https://ego.gocn.vip/ micro/chapter1/build.ht ml 微服务的部署阶段 注入信息 版本信息 发布版本 • 配置 • 过去自己实现agent读取etcd，写文件

方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 现 ： 闭 源 > 开 源 > 混 源 服 务 器 ： 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； 批量分配 API7 安全性错误配置 API8 注入 API9 资源管理不当 API10 日志和监控不足 解决方案： • API资产梳理（暴露面、风险分析） • API链路调用威胁阻断 • OWASP API安全 TOP 10（权限控制、注入等） RASP——应用出厂免疫 轻量级探针端 + 统一管控中心 + 积极防御插件 运营时威胁与攻击 注入攻击 URL黑名单 跨站脚本攻击 …… 恶意文件访问

monit.daemonset.yml #应用 # kubectl get daemonset #查看 ★Job控制器 job控制器用于运行一次性pod（如执行sql脚本或一次性备份任务等）容器中的 进程在正常运行结束后，置为completed状态，且不会再重启，如果进程运行失 败，则根据配置决定是否要重启 # vi xx-job.yml #内容如下 求会被禁止动态创建PV ★第10章、ConfigMap和Secret ConfigMap对象就是一系列配置数据的集合，这些数据以键值对的形式进行存 储，可“注入”到pod对象中，并为容器应用所使用。注入方式有挂载为存储卷和 传递为环境变量两种。 configmap是区分命名空间的 ①创建ConfigMap对象 ★命令行直接创建 # kubectl create configmap ini�alDelaySeconds: 10 restartPolicy: Always #重启策略，默认Always # #如果configmap里有多个键值对，则直接全部注入pod中，注入时可指定键名前 缀，防止从多个cm中导入的键名有冲突（如果cm中的键名中有-减号，则自动 转为_下划线） envFrom: #给容器传递的环境变量，从cm中全部导入，和env同级

它在软件开发过程中未得到充分利用，并警告不要忽略 OWASP 十大安全风险榜单。 但鲜为人知的是 OWASP 也在其他领域发布了类似的十大榜单。在八月初发表了第一个主要版本的 OWASP LLM 十大安全风险榜单 强调了提示注入、不安全的输出处理、训练数据投毒以及其他个人和团队构建 LLM 应用程序 时最好注意的风险。OWASP 近期也发布了 OWASP API 十大安全风险榜单的第二版。鉴于 OWASP 十大安全风 险榜单的覆盖范围（Web 提供了从开发到生产的安全状态的统一视图，因此我们将其放入试验阶段。 31. Trino 试验 Trino 以前被称之为 PrestoSQL，是一个专为面向大数据交互式分析查询而设计的开源分布式 SQL 查询引擎。经 过优化后，它可以在本地或者云上环境运行，并支持对 Hive、Cassandra、关系型数据库、甚至专有数据存储 等多种不同的数据源进行查询。它支持基于密码的认证、LDAP 和 OAuth Thoughtworks, Inc. All Rights Reserved. 26 42. dbt 采纳 dbt 仍是我们在 ETL 工作流程中进行数据转换的首选工具。我们喜欢它的工程严谨性和它在 SQL 数据转换中实 践模块化、可测试性、和可复用性的能力。 dbt 有开源和商业化 SaaS 产品两种版本和健康的生态，包括一个 提供了许多用于单元测试、数据质量、数据可观测性等软件包的社区。这些包中尤为值得注意的是用于监测数

准备安装 SERVICE MESH 1.7. 安装 OPERATOR 1.8. 创建 SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17 Proxyless Service Mesh 是一个技术预览功能。 Telemetry API 是一个技术预览功能。 发现选择器功能不受支持。 外部 control plane 不受支持。 网关注入不受支持。 1.2.2.4.8. Kubernetes Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 要启用这个功能，请在 ServiceMeshControlPlane Mesh 尚不支持 IPv6。 MAISTRA-453 如果创建新项目并立即部署 pod，则不会进行 sidecar 注入。在创建 pod 前，operator 无法添加 maistra.io/member-of ，因此必须删除 pod 并重新创建它以执行 sidecar 注入操作。 MAISTRA-158 应用指向同一主机名的多个网关时，会导致所有网关停止工作。 1.2.5.2. Kiali

sidecar 注入。在创建 pod OpenShift Container Platform 4.2 Service Mesh 6 MAISTRA-453 如果创建新项目并立即部署 pod，则不会进行 sidecar 注入。在创建 pod 前，operator 无法添加 maistra.io/member-of ，因此必须删除 pod 并重新创建它以执行 sidecar 注入操作。 MAISTRA-193 Service Mesh 10 2.1.5. 自动注入 上游 Istio 社区安装会在您标记的项目中自动将 sidecar 注入 pod。 Red Hat OpenShift Service Mesh 不会自动将 sidecar 注入任何 pod，而要求您指定 sidecar.istio.io/inject 注解，如“自动 sidecar 注入”部分所示。 2.1.6. Istio 基于角色的访问控制功能 Subnet：没有执行其他配置。 2.4.3. 自动注入 上游 Istio 社区安装会在您标记的项目中自动将 sidecar 注入 pod。 Red Hat OpenShift Service Mesh 不会自动将 sidecar 注入任何 pod，而要求您指定 sidecar.istio.io/inject 注解，如“自动 sidecar 注入”部分所示。 2.4.4. Istio 基于角色的访问控制功能

5.6. 使用 Elasticsearch 管理证书 3.2.5.7. 查询配置选项 3.2.5.8. Ingester 配置选项 3.2.6. 注入 sidecar 3.2.6.1. 自动注入 sidecar 3.2.6.2. 手动注入 sidecar 3.3. 配置和部署分布式追踪数据收集 3.3.1. OpenTelemetry Collector 配置选项 3.3.2. 验证部署 TRACING-2009 已更新 Jaeger Operator，使其包含对 Strimzi Kafka Operator 0.23.0 的支持。 TRACING-1907 Jaeger 代理 sidecar 注入失败，因为应用程序命名空间中缺少配置映射。因为 OwnerReference 字段设置不正确，配置映射会被自动删除，因此应用程序 pod 不会超过 "ContainerCreating" 阶段。已删除不正确的设置。 策略主要用于生产环境，在生产环境中，对 trace 数据进行长期存 储非常重要，同时需要更容易扩展和高度可用的构架。因此，每个后端组件都将单独部署。 Agent 可以作为检测应用程序上的 sidecar 注入。Query 和 Collector 服务被配置为使用一个 受支持的存储类型 - 当前为 Elasticsearch。可以根据性能和恢复能力的需要提供每个组件的 多个实例。 streaming -

Docker 格式容器镜像的工具。它通过将应用程序源 代码注入容器镜像并汇编新镜像来生成可随时运行的镜像。新镜像融合了基础镜像（构建器）和构建的源 代码，并可搭配 buildah run 命令使用。S2I 支持递增构建，可重复利用以前下载的依赖项和过去构建的 工件等。 S2I 的优点包括： 镜像灵活性 可以编写 S2I 脚本，将应用程序代码注入到几乎所有现有的 Docker 格式容器镜像，以此利用 格式容器镜像，以此利用 现有的生态系统。请注意，S2I 目前依靠 tar 来注入应用程序源代码，因此镜像需要能够处理 tar 压缩的内容。 OpenShift Container Platform 4.4 构 构建（ 建（build） ） 4 速度 使用 S2I 时，汇编过程可以执行大量复杂操作，无需在每一步创建新层，进而能实现快速的流 程。此外，可以编写 S2I 脚本来重复利用应用程序镜像的旧版本，而不必在每次运行构建时下 BuildConfig 中定义的环境变量。 注意 注意 不支持在构建环境变量中使用 valueFrom 引用容器资源，因为这种引用在创建容器之前解 析。 3.9.1. 使用构建字段作为环境变量 您可以注入构建对象的信息，使用 fieldPath 环境变量源指定要获取值的字段的 JsonPath。 注意 注意 Jenkins Pipeline 策略不支持将 valueFrom 语法用于环境变量。