来越多地尝试 GenAI 工具，该实践正在获得新的关注。 17. 设计系统决策记录 评估 在迭代速度快、用户需求不断演进的产品开发环境中，设计是一个不断变化的领域。这意味着对设计决策输入 的需求会一直持续下去。我们借鉴了用 ADR（架构决策记录）记录软件架构决策的思路，采用类似的格式，以 设计系统决策记录来记录设计系统决策以及相应的依据、研究洞见和实验结果，这有效地传达了设计系统决策 似乎已成 。 技术 © Thoughtworks, Inc. All Rights Reserved. 18 22. 忽略 OWASP 十大安全风险榜单 暂缓 OWASP 十大安全风险榜单长期以来一直是 Web 应用程序最关键的安全风险参考。尽管众所周知，我们曾写过 它在软件开发过程中未得到充分利用，并警告不要忽略 OWASP 十大安全风险榜单。 但鲜为人知的是 OWASP 也在其他领域发布了 团队发现 Chromatic 与该领域其他工具的视觉差异要大得多；可视化高亮显示变更的功能让它非常实用。 51. Cilium 试验 eBPF 以其应用透明、高性能和低开销而闻名，因此云原生社区一直在探索其在无边车网格服务（service mesh without sidecar） 中的应用场景。Cilium 是一个为云原生环境如（Kubernetes 集群和其他容器编排平台）提 供网络、

使⽤Kubespray部署⽣产可⽤的Kubernetes集群 （1.11.2） 前提：科学上⽹，或⾃⾏将gcr.io的镜像转成其他镜像仓库的镜像。 Kubernetes的安装部署是难中之难，每个版本安装⽅式都略有区别。笔者⼀直想找⼀种 ⽀持多平台 、 相对简单 、 适⽤于 ⽣产环境 的部署⽅案。经过⼀段时间的调研，有如下⼏种解决⽅案进⼊笔者视野： 部署⽅案 优点 缺点 Kubeadm 官⽅出品 部署较麻烦、不够透明 控制器和服务的解耦——端点控制器秩序观察Pod 清晰地将Kubelet级的功能与集群级的功能组合——Kubelet实际上是“Pod控制器” ⾼可⽤性应⽤，Pod可在其终⽌或删除之前被替换，例如在计划的驱逐，图像预取或Pod实时移植的情况下＃3949 14-Pod 43 StatefulSet 控制器（⽬前处于Beta测试阶段），⽀持有状态Pod。该功能在1.4中是alpha测试阶段，被称为PetSet。对 有⾃⼰的IP，但这些IP可能是会变化的。这 导致⼀个问题：如果⼀些 Pod （称为backend）为Kubernetes群集中的其他 Pod （称为frontend）提供功能，那么 frontend如何找到，并⼀直能找到backend呢？ 译者注：下⾯将backend译为后端，frontend译为前端。 可⽤ Services 来解决该问题。 Kubernetes Service 是⼀个抽象，它定义了⼀组逻辑

机器学习最难的地方在于特征的提取，而深度学习认为特征 提取是可以通过人工神经网络学习而得出结论的。深度学习 在非结构化数据方面有很大的优势。 卷积神经网络 - CNN 通过卷基层和池化层的网络结构进行不断的对图像的特征提取 数组运算并行化 – CUDA by Example 将数组 a 和数组 b 相加并将计算结果放入数组 c 中。 数组运算并行化 – CUDA by Example 当我们有多个

統，它基 於容器技術，目的是實現資源管理的自動化，以及跨多個資料中心的資源利用率最 大化。十幾年來，Google 一直透過 Borg 系統管理著數量龐大的叢集式應用系統。 由於 Google 員工都簽署了保密協議，即便離職也不能洩露 Borg 的內部設計，所 以外界一直無法瞭解它的相關資訊。直到 2015 年 4 月，傳聞許久的 Borg 論文伴 隨著 Kubernetes 的發布宣傳被

支撑超大规模 完全横向扩展 Sealos 绝大多数能力通过 CRD 扩展，以保持与 kubernetes API 完全兼容。 可以复用 k8s API 的强大能力， 而且生态的各种 SDK 可以直 接使用。 推荐使用 kubebuilder 框架去生 成很多代码。 权限限制 禁止掉所有用户越权操作，如查看主机 namespace 共享主机端口，共享主机文件系统等操作 以保障多租户之间相互共享一个集群是安全的

這些“標準”涵蓋範圍夠嗎? 足夠讓我們安心推上生產嗎?  我們具體該怎麼做來強化安全?  我們怎麼知道我們做強化安全以後有滿足這個標準...還是這些標準?  我們該如何確保安全性在未來開發/維運一直維持達標?  我們如何用最低的負荷與最快的速度完成上述任務? 隨便Google就可找到好幾卡車的Kubernetes安全最佳實務/指南.... 6 ©2019 VMware, Inc.