原生技术架构的典型特征包括：极致的弹性能力，不同于虚拟机分钟级的弹性响 应，以容器技术为基础的云原生技术架构可实现秒级甚至毫秒级的弹性响应；服 务自治故障自愈能力，基于云原生技术栈构建的平台具有高度自动化的分发调度 调谐机制，可实现应用故障的自动摘除与重构，具有极强的自愈能力及随意处置 性；大规模可复制能力，可实现跨区域、跨平台甚至跨服务的规模化复制部署。 由此可见，云原生作为一种新兴的安全理念，是一种构建和运行应用程序的 原生架构的应用程序应该：采用开源堆栈（k8s+Docker）进行容器化，基于微 服务架构提高灵活性和可维护性，借助敏捷方法、DevOps 支持持续迭代和运维 自动化，利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。 云原生安全威胁分析与能力建设白皮书 12 1.1.2 云原生安全 云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题， 其作为一种新兴的安全理念，强调 细分为需求、设计、编码、测试、集成、交付、防护、检测和响 应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施安全、 容器编排平台安全、微服务安全、服务网格安全、无服务计算安全五个部分，二 维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全 能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段， 如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色

Kubernetes控制面组件监控 • Kubernetes资源对象的监控 • Pod内的业务应用的监控 • 业务应用依赖的中间件的监控 云原生之后监控需求的 变化 云原生之后监控需求的变化 •相比物理机虚拟机时代，基础设施动态化，Pod销毁重建非常频繁 •原来使用资产视角管理监控对象的系统不再适用 •要么使用注册中心来自动发现，要么就是采集器和被监控对象通过sidecar模式捆绑一体 指标生命周期变短 •微服务的流行，要 SSD 或 NVME 的盘 • 采集方式可以参考 categraf 仓库的 k8s/deployment.yaml，如果是 sidecar 模式，就直接使 用 categraf prometheus 插件即可，大盘可以参考 k8s/etcd-dash.json • etcd_server_has_leader etcd 是否有 leader • etcd_server_leader_changes_seen_total 可以为 ksm 分配一个 ClusterIP，当做一个普通服务配置静态目标地址即可，也可以不分配，不分配就是用 PodIP 采集，容器迁移 PodIP 会变，所以只能走 kubernetes 的服务发现机制 • ksm 采集的监控指标数据量很大，请求其 /metrics 接口可能要拉取十几秒甚至几十秒，对于一些不关注的资源， 我们可以不采集，典型的手段是通过 –resources 参数来控制，比如 –

资源清理与垃圾回收 - 构建高可用(HA)制品仓库服务 - Harbor集成与扩展 - 路线图 - 参与贡献Harbor社区 云原生与制品管理 [1] 云原生(cloud-native)技术使组织能够在现代化和动态的环境下（如公有云、私有云 和混合云）构建和运行可扩展的应用程序。云原生典型技术包括容器、服务网络、 微服务、不可变基础设施和声明性API等。 v1.0 by CNCF 容器-更轻量级和灵活的虚拟化 management Settings 提供以项目为单位的逻辑隔离，存储共享 不同角色具有不同的访问权限，可以与其它用户系统集成 配额管理 制品的高效分发-复制 [1] 基于策略的内容复制机制：支持多种过滤器(镜像库、tag和标签）与多种触 发模式（手动，基于时间以及定时）且实现对推送和拉取模式的支持 初始全量复制 增量 过滤器 目标仓库 源仓库 目标项目 源项目 helm package --sign --key 'my signing key' --keyring path/to/keyring.secret mychart 制品安全分发-扫描 [1] 通过插件化的扫描器接入使得用户可以选择自己偏向的扫描器来进行漏洞扫描 Scanner API Harbor core Scanner adapters Image registry Async scan

由于云原生托管的应用是碎片化的，环境变化也是碎片化的，而且其业务类型越来越多，比如已经延展到边 缘计算盒子，此时攻击面被放大，在云原生环境下安全是一个核心价值，需要立体纵深式的安全保障。 由于云原生DevOps环境追求效率以及运行态的动态治理能力，导致传统安全实施方法、角色、流程、技术 都发生了很多变化，适应这些变化是落地云原生安全的关键！ 标准化能力-承载无忧-E2E云原生纵深安全保障-2-商业价值 腾讯安全战略研究部联 安全右移是为了恰到好处的安全，一些非严 重安全问题，没有必要堵塞主研发流程，可 以交于线上安全防御系统。提高了整体实施 效率！ 安全编排自动化和响应作为连接各个环 节的桥梁，安全管理人员或者部分由 AIOps组件可以从全局视角观察，动态 调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段 路径爆炸问题，并一定与实际相符合，误报率较 高。 DAST(动态安全应用 程序安全测试) 黑盒测试，通过模拟业务流量发起请求，进行模糊测试，比如故障注入 或者混沌测试 语言无关性，很高的精确度。 难以覆盖复杂的交互场景，测试过程对业务造成 较大的干扰，会产生大量的报错和脏数据，所以

Rainbond⾃自身的⽇日志管理理机制 2.对接 Elasticsearch 3.演示示例例 ⼤大纲 RAINBOND 线上培训（第⼋八期） 2019/7/31 1.RAINBOND⾃自身⽇日志管理理机制 1.1 ⽇日志界⾯面 RAINBOND 线上培训（第⼋八期） 2019/7/31 1.RAINBOND⾃自身⽇日志管理理机制 1.1 ⽇日志界⾯面 RAINBOND 2019/7/31 1.RAINBOND⾃自身⽇日志管理理机制 1.1 ⽇日志界⾯面 RAINBOND 线上培训（第⼋八期） 2019/7/31 1.RAINBOND⾃自身⽇日志管理理机制 1.2 Rainbond⽇日志收集原理理 RAINBOND 线上培训（第⼋八期） 2019/7/31 1.RAINBOND⾃自身⽇日志管理理机制 1.3 ⽇日志来源，以及相关原理理 node服务功能与⻆角⾊色 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 1.3 实际配置 1.2 插件制作 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 以插件的形式，与应⽤⼀起运⾏⼀个 FILEBEAT 。对⽇志⽬录挂载⽂件存储，即可让FILEBEAT
 收集到指定的⽇志⽂件，并上报ELASTICSEARCH。

1:1的operator部署运维复杂 • 不同框架对作业管理、并行计算等要求不通 • 计算密集，资源波动大，需要高级调度能力 资源规划复用、异构计算支持不足 • 缺少队列概念 • 不支持集群资源的动态规划以及资源复用 • 对异构资源支持不足 传统服务 大数据 人工智能 云原生大数据平台 大数据、AI等批量计算场景 云原生化面临的挑战 Volcano 架构 项目概况： • 业界首个云原生批量计算平台 Tensorflow、Spark等。 2. 丰富的高阶调度策略 公平调度、任务拓扑调度、基于SLA调度、作业抢占、回填、弹性调度、 混部等。 3. 细粒度的资源管理 提供作业队列，队列资源预留、队列容量管理、多租户的动态资源共享。 4. 性能优化和异构资源管理 调度性能优化，并结合 Kubernetes 提供扩展性、吞吐、网络、运行时的 多项优化，异构硬件支持x86, Arm, GPU, 昇腾，昆仑等。 Volcano com/volcano-sh/volcano/master/installer/volcano-development.yaml volcano-scheduler-configmap 示例 vcjob 示例 Volcano 内部机制 kube-apiserver Cache enqueue allocate preempt OpenSession CloseSession DRF plugin Priority

CgroupQuato Actions CMDBs IPs Dockers HostGroup CgroupQuota Cgroup CpuLimit Nice值调整 Kill机制 8 Agent管理 时序图 Agent注册 Agent启动首先向Consul获取Master服务列表， 并向Master发起Agent注册逻辑，获取agent id 配置获取 从Cons 单次bulk size 调大 Es性能分析 对比 自建 日志平台接入 上报延时分析 无法实时感知日志积压情况 日志延时dashboard快速定位 Filebeat性能分析 依赖白金版monitor机制 不依赖es版本、结合cpu/mem限额配置与实时 指标采集分析 Filebeat性能调优 需要修改配置文件不断尝试 界面提交核心参数并结合延时图对比分析 Filebeat性能管控 日志量太大Cpu飙升影响业务 Golang、Iris、Consul、微服务化设计、 Pongo2模板管理 配置 Consul、Elasticsearch Agent Golang、ELK beats、Logstash、LXC资源管 控、 Consul、其他自定义插件 前端 Agent 后台 配置 Pongo2 23 谢谢大家！

• Chart Version选择 • Chart Values自适配 Helm Chart 云资源规格精准过滤匹配 交付资源生产 Cross-Vendor 组件列表推荐 插件生态与运行时扩展 服务插件扩展体系 服务 组件 规格 运行时 mysql redis alilcoud kubedb aws 云资源规格 OpenAPI 组件版本配置 Terraform 通用服务schema定义 通用服务schema定义 服务版本管理 面向组件Vendor Schema定义 组件注册 CNBaaS 统一服务目录 Helm CNBaaS Engine根据组件 支持的运行时动态调度 云资源生产 Lifecycle管理 张健川(聪言) CNBaaS Demo Contact us 王国东(骁奕) Email：guodong.wgd@alibaba-inc.com 张健川(聪言)

MOSN(GoLang) filter 中存在阻 塞操作需要如何处理？ 对于阻塞操作，通过 GoLang 的 groutine（协程） 结合 Envoy 的 event loop callback 机制： 当 MOSN 中有阻塞操作则 Envoy 立刻返回，MOSN 启动一个协 程，执行完阻塞操作后 notify Envoy MOE 方案介绍 — GMP 中 P 资源问题 E n v o Debug log • GoLang runtime 指标 CGO 断点调试支持 MOE 方案介绍 — 方案总结 研发 效能 双模 支持 生态 丰富 • 将 MOSN 作为 Envoy 动态 so， 提升编译速度 • 增强 Envoy 扩展能力，复用 MOSN 现有的 filter 能力 • 同时具备云原生 xDS 、 REST API服务元数据管理 通道能力 • 复用 Envoy

MOSN(GoLang) filter 中存在阻塞操作 需要如何处理？ 对于阻塞操作，通过 GoLang 的 groutine（协程） 结合 Envoy 的 event loop callback机制： 当 MOSN 中有阻塞操作则 Envoy 立刻 返回，MOSN 启动一个协程，执行完 阻塞操作后 notify Envoy Event Loop Trace ID filter Dispatcher 侧执行时间统计 • 交互异常数统计 • GoLang 程序异常场景下的容灾处理 MoE 方案介绍 — 方案总结 研发 效能 双模 支持 生态 丰富 • 将 MOSN 作为 Envoy 动态 so，提 升编译速度 • 增强 Envoy 扩展能力，复用 MOSN 现有的 filter 能力 • 同时具备云原生 xDS 、REST API服务元数据管理通道能力 • 复用 Envoy