service mesh 單體式與微服務軟體架構對比 The Reformation 服務網格是一個輕量級的基礎架構組件，用來解決以下問題： ▪ 服務都在哪裡運行? ▪ 它們都健康嗎? ▪ 怎樣保證服務之間客戶無障礙安全互聯? ▪ 整個軟件的所有功能模塊是否都能夠容器化？ ▪ 是不是所有容器化了的微服務都能夠在同一個集群/數據中心/公有雲運帷？ Hashicorp聯合創始人 Armon Terraform, Vault, Consul, Nomad, Packer, Vagrant 公有雲出現之前的軟件網絡安全 軟體所運行在企業的數據中心中固定的服務器 上，由防火牆和負載均衡器保護。 軟體的網絡安全是基於IP地址和端口，以及防 火牆來控制的。 軟體網絡安全-在雲上引入微服務後 單體式軟體被分割成了小的功能模塊（可能是 容器化了的微服務），這些模塊在雲上更容易 實施也更容易擴展

由中国信息通信研究院牵头编写，适用于用帮助用云企业评估自身云原生平 台和应用的 API 安全防护能力水平，定位问题、指导能力建设，适用于规范 云服务商、安全企业提供的产品及服务的能力水平。 7 云原生应用保 护平台 （CNAPP）能 力要求 由中国信息通信研究院牵头编写，为了云原生应用保护平台（CNAPP）的 框架并对每个功能模块提出了能力要求，内容包含制品管理、基础设施配置 管理、运行时保 密码和多因素身份 验证等手段增强用户身份验证的安全性。此外，需要形成定期备份和灾难恢复流 程机制。 （3）镜像仓库安全 镜像仓库的安全与代码仓库大致相同。这包括强化身份验证和访问控制，确 保只有授权的用户可以上传和下载镜像，并使用加密、签名技术保护数据在传输 和存储过程中的机密性和完整性，防止未经授权的访问、数据泄露和篡改。定期 进行漏洞扫描和审查，以便及时发现和修复镜像仓库可能存在的安全漏洞。建立 云原生安全威胁分析与能力建设白皮书 61 不安全、不合规的配置是引发安全问题的主要原因之一，组织应建立多集群 配置自动获取的能力，包括容器编排系统、容器运行时、容器宿主机等，并根据 CIS、等保等相关标准进行比对，形成持续性、周期性的检测机制，形成“检测 -报表输出-修复”的流程机制。 （3）组件安全 云原生环境下，其面临的风险除了配置外，就是其组件众多，组件自身可能 存在安全漏洞。

式计算平台 业务场景： • 金融投资公司，业务场景主要为策略研究开发、AI 训练与推理、 大数据ETL和离线批处理任务 客户诉求： • 要求调度系统提供公平机制，满足公司内多团队资源共享，保 证各自业务的SLA • 要求系统提供Gang-scheduling解决基本死锁问题 • 要求调度系统统一支持AI、大数据、Batch Job 解决方案： • Volcano 统一支持AI、数据ETL和离线Batch