(Container Runtime Interface) 层将 Kuernetes 与具体的 Container 管理工具隔离，并且可以进行 Container 的操作。 在 Node 上的层次关系 通过 Label 的方式将 Node 分类 在企业环境中 Node 很有可能需要进行不同类别的区分，而每 一类 Node 上的环境都有可能会不同。 关键点回顾 • Kubernetes 多集群管理 云提供服务形式 • 企业级架构 • 用户管理 • 用户访问权限管理 • 用户操作日志 • 硬件监控 • 存储管理 • 多集群管理 • 根据客户需求不同进行不同层次的封装 关键点回顾 Kubernetes 介绍 Kubernetes 使用 Kubernetes 部署与企业对接 AI 技术介绍 AI 云平台介绍及构成 AI 与 Kubernetes 行分析学习， 最终得出判断。 • 机器学习最难的地方在于特征的提取，而深度学习认为特征 提取是可以通过人工神经网络学习而得出结论的。深度学习 在非结构化数据方面有很大的优势。 卷积神经网络 - CNN 通过卷基层和池化层的网络结构进行不断的对图像的特征提取 数组运算并行化 – CUDA by Example 将数组 a 和数组 b 相加并将计算结果放入数组 c 中。 数组运算并行化

我们最终会对Label进⾏索引和反向索引，以便于⾼效的查询、watch、排序、分组等操作。不要使⽤⾮标识的、⼤型的 结构化数据污染Label。对于⾮标识的信息应使⽤⾮标识，特别是⼤型和/或结构化数据来污染Label。 ⾮识别信息应使 ⽤ annotation 记录。 动机 Label使⽤户能够以松耦合的⽅式，将⾃⼰的组织结构映射到系统对象上，客户端⽆需存储这些映射。 服务部署和批处理流⽔线通常是多维实体（例如：多 个分区或部署、多个发布轨道、多个层、每层有多个微服务）。管 理往往需要跨部⻔才能进⾏，这打破了严格层级表现的封装，特别是由基础设施⽽⾮⽤户确定的刚性层次结构。 示例Label： "release" : "stable" , "release" : "canary" "environment" : "dev" , "environment" : "qa" , "environment" 您可以使⽤标签或Annotation将元数据附加到Kubernetes对象。标签可⽤于选择对象并查找满⾜某些条件的对象集合。 相⽐之下，Annotation不⽤于标识和选择对象。Annotation中的元数据可⼤可⼩，结构化或⾮结构化，并且可包括标签 所不允许的字符。 Annotation类似于标签，是键值对映射： "annotations": { "key1" : "value1", "key2" : "value2"

04 Kubernetes技术在H3Cloud OS中的应用介绍 Kubernetes常见命令介绍 4 www.h3c.com Confidential 秘密 44 Kubernetes基础结构介绍 Kubernetes（来自希腊语，意为“舵手”或者“飞行员”又称为k8s），它是谷歌开源的容器集群管理系统，是谷歌多年大规模 容器管理技术Borg的开源版本。是目前最流行的容器编排技术。 它由谷歌在2014年首次对外宣布 具备完善的集群管理能力，包括多层次的安全防护和准入机制、多租户应用支撑能力、透明 的服务注册和服务发现机制、内建负载均衡器、故障发现和自我修复能力、服务滚动升级和在线扩容、可扩展的资源自动调度 机制、多粒度的资源配额管理能力。 Kubernetes 还提供完善的管理工具，涵盖开发、部署测试、运维监控等各个环节。 5 www.h3c.com Confidential 秘密 55 Kubernetes基础结构介绍 Kubernetes特性： Confidential 秘密 66 Kubernetes基础结构介绍 Kubernetes架构： 7 www.h3c.com Confidential 秘密 77 Kubernetes基础结构介绍 Kubernetes Master架构组成： 8 www.h3c.com Confidential 秘密 88 Kubernetes基础结构介绍 Kubernetes Node（Worker）架构组成：

用户与访问控制：帮助用户安全管理资源的访问权限。您可以通过用户与访问控制创 建、管理、删除用户/用户组，并灵活配置用户/用户组权限，来完成用户职能权限的 划分。 ➢ 企业空间：具有层级结构和访问权限控制的资源隔离单元。您可以按照企业开发环 境、部门结构等设置层级结构，并控制哪些人对哪些资源具有访问权限。 ➢ 审计日志：提供资源的操作记录。通过操作记录您可以快速实现安全分析、资源变 更、问题定位等。 ➢ 平台设置 微服务（SpringCloud、Dubbo）接入。 版权 © 2023 DaoCloud 第 14 页 DCE 5.0 的服务网格兼容社区原生 Istio 开源服务网格，提供原生 Istio 接入管 理能力。在较高的层次上，服务网格有助于降低服务治理的复杂性，减轻开发 运维团队的压力。 服务网格作为 DCE 5.0 产品的体系一员，无缝对接容器管理平台，可以为用户 提供开箱即用的上手体验， 并作为基础设施为微服务引擎提供容器微服务治理

OIDC for GitHub Actions 8. 使用 Terraform 创建监控和告警 9. ReAct 提示工程 10. 检索增强生成 11. 基于风险的故障建模 12. 大语言模型半结构化自然语言输入 13. 追踪健康债务状况 14. 对告警规则的单元测试 15. CI/CD 的零信任保护 评估 16. 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 试验 46. AWS Control Tower 47. Bloc 48. cdk-nag 49. Checkov 50. Chromatic 51. Cilium 52. 云服务的碳足迹 53. 容器结构测试 54. Devbox 55. DX DevEx 360 56. GitHub Copilot 57. Insomnia 58. IntelliJ HTTP 客户端插件 59. KEDA 60. OIDC for GitHub Actions 8. 使用 Terraform 创建监控和告警 9. ReAct 提示工程 10. 检索增强生成 11. 基于风险的故障建模 12. 大语言模型半结构化自然语言输入 13. 追踪健康债务状况 14. 对告警规则的单元测试 15. CI/CD 的零信任保护 评估 16. 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps

unix:///var/run/cri-dockerd.sock 相 当 于 v1.23 及 之 前 版 本 的 的 unix:///var/run/dockershim.sock 不过，不建议使用了，调用层次太多，本小节仅供学习测试 首先安装docker # yum install docker-ce # systemctl enable docker # systemctl start -n xxx #回滚到指定历史版本 ★制作包 # helm create test-chart #创建一个chart项目目录，默认结构如下： # tree test-chart/ test-chart/ ├── charts ├── Chart.yaml ├── templates │ ├── deployment.yaml

社 区 M e e t u p 第 一 期 · 上 海 站 目录 一、混沌工程的动机 二、Kubernetes 上的混沌工程方案 —— Chaos Mesh 三、Chaos Mesh 的结构，以 NetworkChaos 为例 四、Chaos Mesh 使用案例 混沌工程的动机 事故，任何时候都可能发生 AWS 事故，任何时候都可能发生 Github 关于混沌，我们能知道很多 ● 在测试环境、测试集群中使用 " ● 在 CI 中使用 ○ 使用预先定义的 Github Actions ○ 使用 Kubernetes Client 创建实验 Chaos Mesh 的结构 以 NetworkChaos 为例 ● Controller 向 chaos-daemon 发送请求 ● [Pod network namespace] 设置 ipset 和 iptables

type=podsandbox io.kubernetes.container.restartCount改为 annotation.io.kubernetes.container.restartCoun • Cgroup目录结构发生变化，新增Pod层级 平台容灾 应用容灾 数据容灾 企业内部各个集群灰度运营。 可靠 资源管 理 CPU Memory Disk Space Network TX Network 下图是两个进程都拼命争抢网络带宽时的效果。两个进程的 带宽和时延都得不到任何程度的保证。 ◼队列： 不增加队列， 对每个报文直接在正常代码路径上进行决策 ◼Cgroup区分(标记)： 在正常处理流程中，报文查找到目标socket结构之 后，根据socket的owner process来确定cgroup ◼报文决策： 令牌桶 + 共享令牌池 + 显式借令牌 ◼限速方式： ECN标记 + TCP滑窗 + 丢包 可靠 短信 Email

|--- tls 配置文件 目录结构 cryptogen SACC2017 • 每个节点需要相应的配置文件。 • 通过模板自动生成各个节点的配置文件。 • 遍历目录结构修改模板，并把修改后的文件放置到相应的目录下， • 例如org1目录 40 部署 – 生成Pod、namespace配置

《北京市推动先进制造业和现代 服务业深度融合发展的实施意见》 加快云计算等新一代信息技术在 制造业、服务业的创新应用，培育 一批智能经济新业态等。 上海 2023.5 《上海市助力中小微企业稳增长 调结构强能力若干措施》 加强平台服务赋能。推动 25 万家 中小企业上平台上云。对中小企业 与数字化服务商签订的服务合同 给予不超过合同金额 30%的支持。 2022.6 《上海市数字经济发展“十四五” 带宽。 以计算为中心向以数据为中心这一过渡变化，促使算力服务形 成全新架构，体现在三个方面：一是调度对象方面，面向任务的调 度逐渐取代面向资源的调度，用户的计算需求将贯穿算力服务始终； 二是能力结构方面，算力管理与计算解耦，灵活性进一步提升，形 成相辅相成、共同发展的局面；三是产业格局方面，算力服务生态 进一步丰富，数据处理芯片等设备厂商的比重增大，为算力服务的 发展注入新动能。 云计算白皮书（2023