Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、De 的成本大于能够避免的资产损失价值时，变 得毫无意义！ 而传统安全开发周期管理由于角色分离、流 程思路老旧、不关注运维安全等问题严重拖 慢了DevOps的效率！ 所以急需一种新型的基于云原生理念的安全 角色、流程以及技术的方案！ 传 统 安 全 工 作 传 统 由 独 立 安 全 工 程 师 负 责 ， 与 开 发 人 员 沟 通 安 全 问 题 ， 产 生 大 量 沟 通 成 本 传 统 安 全 检 查 编 码 和 测 。 依 赖 于 人 员 个 人 经 验 来 先 验 的 进 行 实 施 ， 而 很 多 入 侵 风 险 是 不 可 预 知 的 ！ 标准化能力-承载无忧-E2E云原生纵深安全保障-3-与传统安全方案的差 异 安全问题左移一个研发阶段，修复成本就将 提升十倍，所以将安全自动化检查和问题发 现从运行态左移到研发态，将大大提高效率 和降低成本 默认安全策略，可以天然的规避大部分 安全问题，使得人员配置和沟通工作大

防护对象产生变化 安全管理的边界扩展到了容器层面，需要采用新的安全策略和工具来保护容 器的安全性，如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。  架构的变化 多云及混合云下的应用架构及工作负载更加复杂，需要采用分布式安全策略 和技术，如服务间的身份验证和授权、服务网格的加密通信、微服务的监测和异 常检测等。  管理模式的变化 云原生安全威胁分析与能力建设白皮书 15 云原生 标准规范 的制定完善工作，CNCF、CSA 等组织以及行业联盟等纷纷提出云原生安全标 准及参考技术规范。同时，主要经济体国家的标准也在制订和完善过程中，使得 行业逐步走向规范，推动了产品和解决方案逐步走向成熟。 在中国信息通信研究院、云安全联盟和相关企业的共同努力下，云原生的安 全标准陆续制定和颁布，当前相关主要的标准如表 1： 表 1 云原生安全相关标准 序号 标准名称 简要内容 遭遇了中间人攻击，导致拉取的镜像在传输过程中被篡改或被冒名发布恶意镜像， 会造成镜像仓库和用户双方的安全风险。 2.2.4 敏感信息泄露攻击 当开发人员使用默认的或在容器镜像中保留硬编码的敏感数据，比如密码、 API 密钥、加密密钥、SSH 密钥、令牌等，或者在 Dockerfile 文件中存储了固 定密码等敏感信息并对外进行发布，都可能导致数据泄露的风险。攻击者会使用 扫描工具，比如 SecretScanner 等，探测镜像中存在的敏感信息，发现容器镜

全功能云IDE开发 每个云IDE都是一个云端小笔记本，一人一 本，多人可形成云端小局域网。可独立编 写调试代码，可团队协作。 安全代码仓库托管 统一的安全代码仓库，按项目级别分级管 理，落盘加密，云IDE防护，显示水印等多 重防护。 云原生虚拟化开发集群 利用虚拟化技术实现开发集群，分钟级交 付，突破有限资源开发集群供给。 原生使用模式，开发组件一键部署 云原生CI持续集成 使 新与生产融合，拥有多项专利、高新技术、软件著作权等研发成果，建立了领先和成熟的研发体系。 ü 可信云容器解决 方案认证 ü 2021年云安全守卫者 计划优秀案例 ü DevOps解决方案最高等 级先进级的现场认证 ü 2021年通信行业云计算领域风云团队奖 ü 创新解决方案证书 最高等级认证 优秀案例 专业认证 获奖情况 人 1，00000000000 系统 国家 稳定 发展 通过将IAST集成到CI/CD流水线，在测试环境的构建过程中自动部署IAST检测逻辑，可以实现与功能测试同步进行的自动化 安全测试，给出漏洞的实际触发路径并提供实际可落地的修复建议。根据需求阶段提出的安全设计方案，配置IAST中的自定义规 则，基于IAST的扫描结果可以实现安全需求设计的闭环管理，大幅减少安全漏洞，有效降低风险暴露时间。 程 序 源 码 程 序 目 标 码 （ 插 桩 后 ） 平 台

容器化了的微服務），這些模塊在雲上更容易 實施也更容易擴展 但是網絡邊界怎麼辦? 零信任網絡 安全 數據加密, 認證, 授 權 ⁄ How does Consul work? Consul是什麼? Consul是一個服務網格解決方案，它提供了一整套完整的控制層方案，包 括： 服務發現, 服務配置, 服務網絡隔離及互聯等功能. 功能 服務註冊 對⽬前所有的服務、它們提供服務的位置以及健康

● encrypt：指定用于加密Consul网络流量的密钥。该密钥必须是16字节的Base64编码。创建加密 钥的最简单方法是使用 consul keygen。群集中的所有节点必须共享相同的加密密钥才能进行通信。 供的密钥将自动持久保存到数据目录，并在重新启动代理时自动加载。这意味着要加密Consul的八卦 议，只需在每个代理的初始启动序列上提供一次该选项。如果在使用加密密钥初始化Consul之后提供

喜欢开源，乐于分享。 https://github.com/wangfakang 目 录 MoE 背景介绍 01 MoE 方案介绍 02 MoE 实践效果 03 MoE Roadmap 04 MoE 背景介绍 MoE 是什么 为什么做 MoE 方案调研与分析 MoE 背景介绍 — 什么是 MoE 处理性能高 （C++） 研发效能高 (GoLang、生态) 高性能、高研发效能、生态打通 Envoy 和 MOSN 优势 • 增强 Envoy 和 GoLang 社区生态粘性 MoE Envoy 和 GoLong 生态打通 维护成本高、可扩展性弱 MoE 背景介绍 — 方案调研 方案名称 优势 劣势 Lua Extension Lua 编写简单业务处理方便 Lua 脚本语言,开发复杂功能不方便 支持的库（SDK）相对较少 WASM Extension 跨语言语言支持（C/C++/Rust）、 GoLang 支持的库比较多（Consul、 Redis、Kafka etc），生态较好 引入 GoLang 扩展后,有一定性能损 耗,业务场景可接受，另外有优化 空间 扩展方案调研 MoE 背景介绍 — 方案分析 方案名称 稳定性 性能 成本 生态 Lua Extension 高 高 高 较低 WASM Extension ES 低 高 活跃 External Processing Filter

喜欢开源，乐于分享。 https://github.com/wangfakang MOSN 开源交流群2 目 录 MOSN 云原生演进历程 01 MOSN 网络层扩展思考和选型 02 对应解决方案和实践介绍 03 MOSN 开源进展同步 04 MOSN 云原生演进历程 MOSN 简介 — 演进历程 MOSN 从 Service Mesh 技术调研，到产品孵化，历经重重困难，最终通过双 Envoy 和 MOSN 优势 • 增强 Envoy 和 GoLang 社区生态粘性 MOE Envoy 和 GoLong 生态打通 维护成本高、可扩展性弱 MoE 背景介绍 — 方案调研 方案名称 优势 劣势 Lua Extension Lua 编写简单业务处理方便 Lua 脚本语言,开发复杂功能不 方便；支持的库（SDK）相对较 少 WASM Extension 跨语言语言支持 灵活性高；GoLang 支持的库比 较多（Consul、Redis、Kafka etc），生态较好 引入 GoLang 扩展后,有一定性 能损耗,业务场景可接受，另外 有优化空间 MoE 背景介绍 — 方案分析 方案名称 稳定性 性能 成本 生态 Lua Extension 高 高 高 较低 WASM Extension ES 低 高 活跃 External Processing Filter 高 低

Grafana-agent Datadog-agent node-exporter Categraf Kubernetes Node 组 件的监控 Kubernetes Node - 容器负载监控 抓取方案 • Pod或者容器的负载情况，是一个需要关注的点，容器层面主要关注CPU和内存使用情况，Pod 层面主要 关注网络IO的情况，因为多个容器共享Pod的net namespace，Pod内多个容器的网络数据相同 引擎的接口读取到，也可以直接读取 cAdvisor 的接口，Kubelet 里 内置了cAdvisor，cAdvisor 不管是 docker 还是 containerd 都可以采集到，推荐 { 抓取方案一 } • 左侧这个配置大家在网上比较容易搜到，通过kubernetes_sd_configs做服务发现，查找所有node，通过 Kubernetes apiserver 的 proxy 接口，抓取各个node（即kubelet）的 如30s或60s • 所有的拉取请求都走 apiserver，如果是几千个node的大集群，对 apiserver 可能会有较大压力 Kubernetes Node - 容器负载监控 抓取方案 { 抓取方案二 } • 直接调用 kubelet 的接口 /metrics/cadvisor ，不走 apiserver 这个 proxy，避免对 apiserver 的请求压力 • 采用 Daemonset

数据库中间件：从框架技术到分布式的数据库中间件技术 3.分布式数据库：从数据库中间件技术发展到分布式数据库 4.数据库网格：数据库与微服务、云原生的发展关系 5.数据库解决方案：如何基于 ShardingSphere 生态创建数据库解决方案 1.数据库框架 1.数据库框架 摩尔定律失效 分布式崛起 1.数据库框架 随着数据量的增大，读写并发的增加，系统可用性要求的提升，单机 MySQL面临： 轻量级，不需要额外的资源和机器。 1.数据库框架 1、改造对业务系统具有较大侵入性； 2、对于复杂的SQL，可能不支持； 3、对于跨库和跨分片的数据，需要额外机制保障一致性； 4、缺乏较好的数据平滑迁移和过渡方案； 5、Java Only（或其他）。 数据库框架使用的约束： 2.数据库中间件 2.数据库中间件 作为中间件，独立部署，对业 务端透明。 任何语言平台的系统都可以接 入，可以使用mysql命令或者 服务网格 ServiceMesh 数据库网格 DatabaseMesh 云原生 Cloud-Native 5.数据库解决方案 Apache ShardingSphere 5.数据库解决方案 Apache ShardingSphere 是一套开源的分布式数据库中间件解决方案组成的生 态圈，它由 JDBC、Proxy 和 Sidecar（规划中）这 3 款相互独立，却又能够 混合部署配合使用的产品组成。

现在 未来 云原生的业务承载平台？ 什么是云原生->为云而生 • 落地的核心问题：业务微服务的划分和设计(DDD,咨询方案等）、部署困难、维持运行困难、云资源 管理与应用管理视角分离导致复杂性等 • 传统方案:仅仅考虑了一部分变化而引起的不稳定，如通过基于人工规则的服务治理保护链路、如时 延体验较差的部署策略等 • 云原生是告诉我们：能够适应业务变化的微服务+能 总体而言就是下面这几个方面的事情： • 生命周期（Lifecycle） • 网络（Networking） • 状态（State） • 捆绑（Binding） 每种需求存在的问题和局限性，导致传统解决方案如企业服 务总线（ESB）及其变体（如消息中间件，轻量级的集成框架 等）不再适用。随着微服务的发展，以及容器和 Kubernetes 的普及和广泛使用，云原生开始影响这些需求的实现方式。 未来趋势 • 无网络要求 • 无底层基础设施依赖：任何PaaS间可以通信 • 无服务注册依赖，无负载均衡需求 • 简化运维：中心化后，只需要管理服务器就可以了 • 业务异步化 缺点： 单点故障，需要提供高可用方案，如Broker部署在K8S中，HPA控 制器可以保证其高可用性，因为它本身无状态。 标准化能力-API网关 Web应用 移动应用 第三方应用 Gateway （如K8S的 Ingress）