身份验证，以访问云服务。这一重要的技术仍未被充分利用在 GitHub Actions 中，因此推荐 OIDC for GitHub Actions。通过这种方式，可以避免存储长期的访问令牌来访问云资源，同时确保流水线无法直接访问机密信息。 然而，请务必谨慎地限制访问权限，以确保操作以最低权限运行。 8. 使用 Terraform 创建监控和告警 试验 基础设施及代码（IaC） 已经是一种被广泛采纳用于定义和创建 力。因此，我们强烈推荐为 CI/CD 流水线和基础设施引入零信任安全机制——尽可能少地信赖它们。这项机制 包含一系列技术：如果可行，使用云供应商提供的联合身份校验机制，如 OIDC，来验证流水线，而不是赋予它 们直接访问机密数据的权限。实行最小权限原则去最小化个人用户和执行器账户的权限，而不是使用具有无限 访问权限的万能账户。使用一次性执行器替代重复使用执行器，来减少暴露先前任务的机密数据或在受到攻击 的运 是一个为云原生环境如（Kubernetes 集群和其他容器编排平台）提 供网络、安全性和可观察性的开源项目。Cilium 为路由或覆盖网络提供了一个简单的第三层网络，并且还支 持 L7 协议。通过将安全性从寻址中解耦，Cilium 可以作为一种新的网络保护层发挥重要作用。我们已经看到 一些云服务提供商采用了 Cilium，我们的一些项目中也使用了 Cilium。社区仍在讨论 eBPF 是否可以替代边车

蓝色字体表示命令行命令，正式执行时不要复制前面的#号，#号只是提示应 该使用root权限操作 2.绿色字体表示注释，有时注释太多就不用绿色表示了 3.注意：本文档的所有操作请先在测环境进行实践，请不要直接在真实的服务 器中操作！ 版权声明： 本文档以开源的形式发布，所有条款如下： （1）无担保：作者不保证文档内容的准确无误，亦不承担由于使用此文档所导致的任何后果 （2）自由使用：任何人可以出于任何目的而自由地 io/coredns:1.7.0 #可以先下载以上7个镜像，传到每台k8s服务器上，再docker load导入；或者使 用内部registry仓库（内部registry镜像仓库里要有以上7个镜像） ★直接使用命令行方式初始化集群 （以下是非HA模式的master初始化，如果要部署高可用集群，则参考第4章） kubeadm init --kubernetes- version=v1.19.4 \ pem ②安装k8s二进制组件 #使用aliyun的源（如果用的是RHEL8系列的系统，也是用的el7的仓库源，因为 k8s组件是用go语言写的，直接二进制文件就可用，不需要特殊的库依赖，于是 和系统弱相关，8或9系列的系统也直接可用这些rpm软件） # cat >> /etc/yum.repos.d/k8s-ali.repo <

0 码力 | 126 页 | 4.33 MB | 1 年前

3

要使⽤Kubernetes对象——⽆论是创建、修改还是删除它们，您都需要使⽤ Kubernetes API 。 例如，当您使 ⽤ kubectl 命令⾏时，CLI会为您提供必要的Kubernetes API调⽤；您也可直接在⾃⼰的程序中使⽤Kubernetes API。 Kubernetes⽬前提供了⼀个 golang client library ，并且正在开发其他语⾔的客户端库（如 Python ）。 对象Spec和Status（规格和状态） 描述Kubernetes对象 在Kubernetes中创建对象时，必须提供对象的spec，spec描述对象所期望的状态，以及⼀些关于对象的基本信息（如 名称）。当您使⽤Kubernetes API创建对象（直接或通过 kubectl ）时，该API请求必须在请求体中包含该信息（以 JSON格式）。 最常⻅的，可在⼀个.yaml⽂件中向kubectl提供信息。 在进⾏API请求时， kubectl 会将信息转换为 象。 08-Namespace 25 Label和Selector（Label和选择器） Label是附加到对象（如Pod）的键值对。Label旨在⽤于指定对⽤户有意义的对象的识别属性，但不直接表示核⼼系统 的语义。Label可⽤于组织和选择对象的⼦集。Label可在创建时附加到对象，也可在创建后随时添加和修改。每个对象 都可定义⼀组Label。 对于给定的对象，Key必须唯⼀。 "labels"

ip，一个pod中的多个容器共享 pod ip地址。k8s要求底层网络支持集群内任意两个pod之间网络通信，采用虚拟二 层技术实现，比如flanne、calico、ovs。k8s中，一个pod的容器与另外主机上的pod 容器能够直接通信。 13 www.h3c.com Confidential 秘密 13 13 K8s基本概念和术语介绍（Pod） Pod： pod分两种：普通pod和静态pod（static pod） 普 IP不会发生改变。只要用Service的Name与Service的Cluster IP地址做一个DNS域名映射即可完成服务发现。 k8s通过Add-On增值包的方式引入了DNS系统，把服务名作为DNS域名，这样程序就可以直接使用服务名来建立通信 连接了。 21 www.h3c.com Confidential 秘密 21 21 K8s基本概念和术语介绍（Service） Service（服务）： 理解k8s系统里面的三种IP： 器之间都 能通过这个网络直接通信，不管他们中是否有部分节点不属于这个k8s集群，这个也表明k8s集群之外的节点访问k8s集群 内的某个节点或者TCP/IP服务时，必须使用Node IP进行通信。 Pod IP是每一个Pod的IP，他是Docker Engine根据docker0网桥的IP地址进行分配的，通常是一个虚拟的二层网络。 k8s位于不同Node上的Pod能够直接通信，所以k8s里的一个P

veth ⽹网 桥 6to4 tunnel Think in Cloud . 北北京 IPv6 on KUN Service全⽹网可访问 ClusterIP 在 K8s 集群 外部可以直接访问 分配⼀一个 IPv4地址，在Kuberntes集群下的所有接⼊入交换机上宣 告。该IPv4地址对应的6to4 IPv6地址作为该Kubernetes集群 Service IP的地址段 Bgpd BGP(IPv6) Service Gateway Service Gateway Think in Cloud . 北北京 Operator管理理有状态的服务 StatefulSet • 直接管理理的 Pod 的 hostname、名字等都是携带了了编号，Pod 的 创建，也是严格按照编号顺序进⾏行行 • 通过 Headless Service为这些有编号的 Pod，在 DNS 服务器器中 • Pod内挂载PVC，⽤用于存储持久化的数据 • 通过StorageClass实现⾃自动管理理存储卷 • 有顺序关系的⼀一组pod通过 Statefulset管理理 • Pod也可以直接使⽤用集群外的存储设备 Think in Cloud . 北北京 KUN应⽤用案例例 - StepFlow Think in Cloud . 北北京 KUN应⽤用案例例 - Graylog

網路模型 Kubernetes 網路模型設計的一個基礎原則是：每個 Pod 都擁有一個獨立的 IP 位址， 而且假設所有 Pod 都在一個可以直接連線的、扁平的網路空間中。所以不管它們是 否運行在同一個 Node（Host 主機）中，都要求它們可以直接透過對方的 IP 進行存 取。設計這個原則的主要原因是，使用者不需要額外考慮如何建立 Pod 之間的連 線，也不需要考慮將容器連接埠對應到主機連接埠等問題。 程式內部的一種資料結構， 2-96 Kubernetes 核心原理 2 目前已經有多個開源元件支援這個網路模型。這裡將介紹幾個常見的模型，分別是 Flannel、Open vSwitch 及直接路由的方式。 1. Flannel Flannel 之所以可以建置 Kubernetes 依賴的底層網路，是因為它能實現以下兩點： (1) 它能協助 Kubernetes，給每一個 Node 上的

各省市还出台了相应的激励政策，在资金方面为企业上云提供支持。 例如，北京、上海、深圳等地企业购买云服务后，政府按合同金额 或上云费用进行一定比例的消费券或资金补贴；浙江、四川等则采 用对优秀上云企业直接发放不同级别资金的方式进行奖励。 云计算白皮书（2023 年） 11 表 1 2022-2023 年中国部分省市云计算相关政策 省市 时间 相关政策 重点内容 北京 2023.3 《2023 座； 四是组织流程现代化，通过工作思维、管理方式、协作模式的革新， 从组织、人员层面适配现代化发展思路；五是用户体验现代化，重 视用户诉求，打通需求与供给之间的最后一公里，提升技术对应用 的直接价值。目前，华为云、道客等企业已初步形成应用现代化方 法体系。 来源：中国信息通信研究院 图 7 应用现代化架构图 架构层面，一云多芯既可以贴合多元算力新需求，又能够支撑 业务场景多形态。 向下来看，算力资源呈现出计算异构、算网融合的特点。以 GPT-4 为例，其模型训练借助公有云能力在通用 CPU 的基础上整合 上万个 GPU 芯片，通过云计算平台实现 GPU 集群和 CPU 集群的标 准化封装，保障训练任务可以直接下发到大规模计算集群。同时在 数据处理方面，模型训练涉及 PB 级的存储数据集、中间结果和训练 好的模型参数等，且数据类型各异，也需要云计算平台提供的存储 方案，实现复杂数据的统一调度和处理。计算芯片多样化、异构数

driver 写的不好 云驱动层 01 对接 firecracker cilium openebs 等技术 无性能损失的网络层计量 与隔离 rust 自研分布式文件系统 sealfs 直接对接 rustvmm 绕 开 fuse 02 client manger manger metadata data data metadata metadata Data and metadata 5. 非常适合给数据库这样用 缺陷: 1. 不在磁盘级别提供高可用 所以高可用交给 KB rocketmq 这些应用自身去解决 业务起的有状态容器可用 sealfs 文件系统 sealfs 直接从容器拦截 IO，对接 sealfs 分布式文件系统，避免 fuse 用户态内核态反复横跳 在 Sealos 上使用 GPU 在 Sealos 上利用 Cilium + BPF 实现流量统计 Slide

时， 配额大的占用多，配额小的占用少 ◼尽量减少为了流控而主动丢包 下图是两个进程都拼命争抢网络带宽时的效果。两个进程的 带宽和时延都得不到任何程度的保证。 ◼队列： 不增加队列， 对每个报文直接在正常代码路径上进行决策 ◼Cgroup区分(标记)： 在正常处理流程中，报文查找到目标socket结构之 后，根据socket的owner process来确定cgroup ◼报文决策： 令牌桶 + and link Fragment 成本 GPU使用方式 实现 VCUDA 在vm中构建wrapper library以拦截GPU调用并将这些调用重定向 到宿主机执行 Amazon 将设备直接挂在到vm中 GPUvm 在Zen的hypervisor层实现了全虚拟化。为了隔离运行在物理 GPU上的多个VM，GPUvm将物理GPU分成几个部分，并将每个 部分分配给单个VM。 NVIDIA

用于实验的 GPU 容器 2.基于 Kubeflow 的机器学习训练服务 3.模型管理和模型 Serving 服务 Experiment Training Serving 均基于容器，不对业务方直接提供 GPU 物理机 GPU 实验 JDOS 常规的容器服务 ，使用 gpu 的 zone ， 自行设定相应的镜像即 可，有完善的周边服务 训练服务 • 提供基于 kubeflow 的分布式训练方案