工具平台建设 02 试点项目实践 03 目录 CONTENTS 持续改进 04 目标：以研发团队为中心，在端到端流程串联、流程自动化、度量精化、质量增强、资源自助化几个重点方面发力， 打造研发管理平台，提供具备快速交付、高质量、过程透明、可度量的IT研发服务供应链。 证券业务的复杂性： 证券业务种类多，业务规则复杂，业 务链条长，业务发展快速，监管严格， 面向客户类型多，证券业务的多样性 是业务开展的速度、广度以及深度的保证， 这恰恰是行业所缺失的 IT规模扩展带来的管理问题： 近年证券行业的IT规模不断扩展，特别是在自 研领域，系统建设模式逐步转变为自主研发、 合作研发为主，开发团队规模逐渐壮大，安信 目前自主研发和合作研发的比例已经超过50%， 研发团队也超过了500人，各个二级团队都有 自研的项目，亟待建立研发管理体系，统一研 发过程和工具 外部 内部 转型背景 转型背景-实施思路 需求 开发 测试 Jenkins 测试平台 Maven Junit Sonar Qube Gradle Nexus Jmeter GitLab Bitbucket Svn 代码管理 构建与依赖 单元测试 代码扫描 安全 AWVS Burp Suit NPM Jacoco 发布 ITIL 1 ◼ 自主可控，又有核心竞争力 ◼ 高成本，高投入 自研 2 ◼

开发环境与线上环境等价 日志 管理进程 © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential 应用容器化一般流程 分析解耦 基础镜像 配置管理 制作镜像 应用编排 运行测试 • 组成模块分析 • 外部组件依赖 • 模块拆分 • …… • 基础镜像选择 • 内置工具确认 • 应用版本需求 • 内部运维管理需求 • …… 脚本 ✓ 应用当前软硬件监控、调用链监控、日志分析方案 ✓ 应用当前配置管理方式、是否有健康检查接口 ✓ 应用是否实现状态数据外部化管理（如Session会话） ✓ 系统部署架构及当前生产高可用方案 ✓ 系统目前日常及特殊高峰期资源使用情况（CPU、内存等） ✓ 系统当前发布方式（是否已实现持续集成或构建管理） ✓ 是否有特定的操作系统、GPU或其他底层资源依赖 ✓ 系统间集成方式（应用层集成、数据库层集成） Rancher Labs. All Rights Reserved. Confidential 通过ConfigMap管理可变应用配置 一般应用普遍会有从配置文件、命令行参数或者环境变量中读取一些配置信息的需求，Kubernetes提供了 ConfigMap资源对象来实现配置管理，可以通过以下几种方式来使用ConfigMap配置Pod中的容器： • 容器 entrypoint 的命令行参数 •

自营APP 业务功能独立 拆分成小程序 第三方 终端应用 移动应用演进趋势 — APP 乐高化，化整为零，可合可分 小程序实现敏捷与生态 App 小程序引擎 App 小程序引擎 小程序管理与 监控中心 量化分析小程序 理财产品小程序 资讯分享小程序 工作室小程序 虚拟网点小程序 营销小程序 内部办公小程序 上 架 加载 加载 合作伙伴小程序 证券基金经营 机构IT 敏捷、功能迭代快，免App升级 颠覆传统App，轻量、随需随用 持续上架层出不穷的功能服务客 户、赋能投顾 一切场景、工具皆可传播；让投 顾与客户在交流中交易 与合作伙伴形成数字化生态，建 立开放协同的财富管理平台 快 轻 丰富 分享 生态 • 可引入高频场景，构建数字生态，增加用户黏度 • 完全兼容微信小程序代码，生态商无需另行开发 • APP内各功能相互独立，松散耦合，助力敏捷迭代。 构建场景化生态 基于客户历史交易数据及行为数 据，实现客户“千人千面”的“个性 化”服务 提供个性化服务 统一接入 提供标准化、数字化的商户入 驻流程，实现对商家及商家活 动的动态管理 引入小程序上下架功能，通过 热更新的方式持续上架业务功 能，提升运营能力 兼容主流小程序技术，实现一 处开发，多端上架，将公域流 量转化为私域流量 细分用户群体，定向把产品推 广给最需要的客户，实现千人

...................... 6 3.2. 操作说明 .................................................. 6 4. 存储管理 .................................................................................................. .................................................... 8 4.2. 存储类管理 ................................................ 8 4.3. 持久卷管理 ............................................... 13 5. 应用部署 .... ..................... 16 5.2. 操作说明 ................................................. 16 6. 应用管理 ..................................................................................................

and --etcd-keyfile arguments are set as appropriate (Automated) 1.2.30 Ensure that the --tls-cert-file and --tls-private- key-file arguments are set as appropriate (Automated) 1.2.31 Ensure that the --client-ca-file Ensure that the --client-cert-auth argument is set to true (Automated) 2.3 Ensure that the --auto-tls argument is not set to true (Automated) 2.4 Ensure that the --peer-cert-file and --peer-key-file arguments that the --peer-client-cert-auth argument is set to true (Automated) 2.6 Ensure that the --peer-auto-tls argument is not set to true (Automated) 2.7 Ensure that a unique Certificate Authority is used for

true" • --tls-cipher-suites="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_W TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256" R e m e d i at i on • Ad d t h e f ol l ow i n g t o t h e R K E cluster ts: "true" tls-cipher-suites: "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_

that the --tls-cert-file and --tls-private-key- file arguments are set as appropriate (Scored) Audit ( --tls-cert-file ) docker inspect kube-apiserver | jq -e '.[0].Args[] | match("--tls-cert-file= string' Returned Value: --tls-cert-file=/etc/kubernetes/ssl/kube-apiserver.pem Audit ( --tls-key-file ) docker inspect kube-apiserver | jq -e '.[0].Args[] | match("--tls-private-key-file=.*").string' string' Returned Value: --tls-private-key-file=/etc/kubernetes/ssl/kube-apiserver-key.pem Result: Pass 1.1.29 - Ensure that the --client-ca-file argument is set as appropriate (Scored) Audit docker

appropriate (Scored) Result: PASS Remediation: Follow the Kubernetes documentation and set up the TLS connection between the apiserver and kubelets. Then, edit API server pod specification file /etc/k appropriate (Scored) Result: PASS Remediation: Follow the Kubernetes documentation and setup the TLS connection between the apiserver and kubelets. Then, edit the API server pod specification file /e appropriate (Scored) Result: PASS Remediation: Follow the Kubernetes documentation and set up the TLS connection between the apiserver and etcd. Then, edit the API server pod specification file /etc/k

appropriate (Scored) Result: PASS Remediation: Follow the Kubernetes documentation and set up the TLS connection between the apiserver and kubelets. Then, edit API server pod specification file /etc/k appropriate (Scored) Result: PASS Remediation: Follow the Kubernetes documentation and setup the TLS connection between the apiserver and kubelets. Then, edit the API server pod specification file /e appropriate (Scored) Result: PASS Remediation: Follow the Kubernetes documentation and set up the TLS connection between the apiserver and etcd. Then, edit the API server pod specification file /etc/k

"true" tls-cipher-suites: "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA 256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH _CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_E CDHE_ CDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_AES_256_G CM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128 _GCM_SHA256" extra_binds: [] extra_env: [] cluster_domain: "" eout: 1800s tls-cipher-suites: >- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES _128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECD HE_RSA_WITH_AES_256_GCM_SHA384