升效率及資源使用 率、加強安全性、導入自動化及加速創新；因此Gartner預測將有75%的全球組 織，在2022年之前於正式作業執行容器化應用程式，而這樣的數據並不會讓人 感到驚訝。1 Kubernetes已經成為管理容器化工作負載和服務的頂尖開放原始碼平台，不過 Kubernetes生態系統既龐大又複雜，不但有許多不同版本的Kubernetes可供選 擇，此外也難以瞭解哪種版本最適合組織的特定需求。 Kubernetes及OpenShift都利用運算子提供完整的 生命週期自動化。不過OpenShift運算子大多設計為隔離作業，而Canonical Kubernetes運算子則可共同組合，提供高度複雜的應用程式及服務。Canonical Kubernetes是以Juju部署，設計時將運算子列入考量，因此能夠更輕鬆解決維護和 升級等長期挑戰。 Rancher支援上游運算子，但無法在開箱後立即提供與Canonical 。 OpenShift支援最新的3個次要Kubernetes版本，支援各個版本的時間總計9個月。 在前3個月期間，特定版本會獲得「完整支援」，緊急修復一旦可用就會發行提供， 其他修復則是以定期修補程式的方式提供。至於剩下的6個月，版本會獲得「維護 支援」，在此期間非緊急修復由Red Hat全權決定是否提供。 Rancher支援N-1至N-4的最新Kubernetes版本(按照Rancher管理伺服器版本，一

Trust Boundary Trust Boundary Trust Boundary ©2019 VMware, Inc. PKS把原生K8s欠缺的帳號/存取權限/API呼叫/密碼保護補好補滿 解決方案 • 對VMware PKS CLI控制平面提供認 證與角色權限控管(RBAC) • 對原生Kubernetes API提供認證與角 色權限控管(RBAC) NET, SQL, Web 所需技能: vSphere/vSAN, NSX, OS, PowerCLI, Shell Script 建立平台自動化 能力與服務 將業務需求轉化成 應用程式快速上線 降低基礎架構複雜度 快速調度基礎架構 應用開發 測試品管 基礎架構 監控維運 平台工程 ©2019 VMware, Inc. 20 Kubernetes. 互動應用安全測試 動態應用安全測試 安全強化檢查 軟體元件分析 深度白箱測試 異動白箱測試 靜態應用安全測試 (程式碼提交前檢測 ©2019 VMware, Inc. 21 安全團隊的角色十分重要! 更應該從一開始設計時就加入 企業所有團隊的思維都需要從DevOps進化為DevSecOps ​方法論:

Policy 應用程式 工具 生態系統 標準化 讓 Kubernetes 上服務網格能有 一致的標準 化繁為簡 定義服務網格各家方案之共通 應用需求 可擴充性 當一項功能被市場廣泛接受即 可立即擴充 … 更多服務網 格方案 Service Mesh Interface 這並非新概念 感覺很熟悉，因為之前 Kubernetes 上已經有類似概念被實現過了 …. 應用程式 工具 生態系統 https://openservicemesh.io/ Open Service Mesh (OSM) 以 CNCF Envoy 為基礎，實作 Service Mesh Interface 輕量化，開放源碼服務網格計畫 Kubernetes 實戰工作坊 Azure Kubernetes Service Workshop（L300） 13:00 ~ 15:00、15:00 ~ 17:00 兩梯次

應用 模組化程度 低 低 自動化成熟度 高 VMs (GCE) Kubernetes (GKE) PaaS (GAE) Serverless (GCF) App Engine 以原始碼為基礎佈署 Kubernetes Engine 以容器為基礎佈 隨選生成的K8S叢集 Compute Engine 隨選生成的虛擬機 IaaS and PaaS at Scale Google Google Kubernetes Engine ● Google Kubernetes Engine GKE ○ 在 Google Cloud 提供技術的 Kubernetes 上部署、管理容器化應用程式及調整資源 為何 Google GKE 是佈署 K8S 的首選 全球佈署 業界最多的佈 署地區選擇 多重版本 支援最多的 GKE發佈版本 ，自動升級 高可用性 支援跨資料中 心自動配置叢

cpl.thalesgroup.com 挑戰：保護 Kubernetes 環境的應用 程式安全 容器是為服務架構套件配置和軟體相依性的必要元素。 Kubernetes 是用於部署和管理這些容器的開源軟體。 使 用 Kubernetes 可以更快地交付、部署和管理容器化應用 程式，透過可重複使用的模組化元件提高效率、優化資源利 用和降低授權費用以節省成本。 然而還是存在各種風險： • 特權用戶濫用 無論容器在資料中心、虛擬環 境、甚至是雲端，任何地方儲存或使用，CipherTrust Transparent Encryption for Kubernetes 都將實現強 大的資料安全政策。無需對應用程式、容器或基礎架構 進行任何變更的情況下，企業可以選擇部署並使用容器 以提高成本效益、控制或效能。 CipherTrust Transparent CipherTrust Transparent 立資安控制。憑藉這項擴充，您能按照每個容器的狀態 一一施行加密、存取控制以及資料存取紀錄。加密可以 應用在容器端本地產生並儲存的資料，以及藉由網路檔 案系統搭載在容器內的資料。 • 可擴充的透明加密 - 無需對應用程式、容器或基礎 架構進行任何變更下，提供資料安全控制。允許對 Kubernetes叢集內的所有容器施行單一政策，或是對 叢集的每一個容器施行有所區別的不同政策。這項解決 方案可因應業務需求變化而擴充或縮小

及叢集內資源物件互動的情況。 圖例： 圖 2.1 存取 Kubernetes 叢集 以下是對圖 2.1 中各種存取途徑的詳細說明（每個數字表示一種訪問的途徑）。 (1) 叢集內部各元件、應用或叢集外部應用程式存取 API Server。 (2) 叢集外部系統存取 Service。 (3) 此種情況包含： y 叢集內跨節點存取 Pod； y 叢集內跨節點存取容器； y 叢集內跨節點存取 session 持續的功能。 接下來將深入分析 kube-proxy 的實作細節。kube-proxy 程序為每個 Service 都建立 了一個“服務代理物件＂，服務代理物件是 kube-proxy 程式內部的一種資料結構， 2-96 Kubernetes 核心原理 2 目前已經有多個開源元件支援這個網路模型。這裡將介紹幾個常見的模型，分別是 Flannel、Open vSwitch 及直接路由的方式。

面向终态升级 通过面向终态的应用管理理 念提高应用运维的效率 自愈能力升级 统一容器与应用实例周期简化 应用启动流程 不可变基础设施 分离基础设施与应用容器简化 应用运维复杂性面向终态升级 • 过程式的运维有什么问题？ 例子：升级某服务的 3000 个实例 容 器 平 台 运 维 平 台 容 器 平 台 运 维 平 台 Kubernetes 200 最大不可用数面向终态的应用管理