无需学习 K8s 细节（ 完整的 用户侧抽象 ） • 可自动适配任意 k8s 集群与部 署环境（环境无关） 查看“能力模板”的用法 1. 能力模板注册时，KubeVela 控制器会 自动生成 OpenAPI v3 的 json schema 文件和文档。 2. 通过 vela 的命令行工具可以查看。 3. 用户也可以自己基于 json schema 去 渲染集成进自己的前端。 KubeVela AppRevision v2 AppRevision v3 ① 创建 ② 第一次更新 ③ 第二次更新 发布状 态机 发布单模式下 Application 的更新不 再实际操作资源，只生成版本快照 AppRollout-1 开始 暂停 继续 成功 AppRollout-2 新的发布使用新的发布单对象 K8s Resource v1 -> v2 cluster2 cluster1 AppRevision v1 AppRevision v2 AppRevision v3 ① 创建 ② 第一次更新 ③ 第二次更新 多版本模式下 Application 的更新不 再实际操作资源，只生成版本快照 控制器 循环 Application Deployment K8s Resource v1 K8s Resource v2 K8s Resource v3 指定不同版本的流量配比

l使用来自主机的信息生成确定性节点ID，而 生成将保留在数据目录中的随机节点ID。在同一主机上运行多个Consul代理进行测试时，这非常有用 在版本0.8.5之前的Consul中默认为false，在0.8.5及更高版本中默认为true，因此您必须选择加入基 主机的ID。使用https://github.com/shirou/gopsutil/tree/master/host生成基于主机的ID ，这是 一标识符。这必须是十六进制字符串的形式，长度为36个字符，例如 adf4238a-882b-9ddc-4a9d-5 6758e4159e。如果未提供（这是最常见的情况），则代理将在启动时生成标识符并将其保留在数据 录中， 以便在代理重新启动时保持相同。如果可能，来自主机的信息将用于生成确定性节点ID，除非 disable-host-node-id设置为true。 ● -node-meta：在Consul 0.7.3及更高版本中可用

新PaaS组织方式。 • 逻辑API：已有API的组 合，形成一个新API • 声明API：需要生成代 码框架（任何语言）， 契约驱动研发 • BaaS API:数据库接口、 中间件接口外化成API • API门户：消费者可以 根据领域-能力查询到 想要的API。 • 自动生成SDK方便集成。 • 发行计划：向下兼容， 对比发布 • API文档：每一个API有 一个活档，指导集成。

Service 构建高可用(HA)仓库服务 [4] 多数据中心HA部署 与Harbor集成 Restful API • 完善的API • 遵循OpenAPI规范 • 通过Swagger生成调用代码 AUTH集成 • AD/LDAP • OIDC 漏洞扫描器 • 扫描器适配API规范 • 插件式扫描器框架 DoSec P2P引擎 • 标准化Adapter接口定义

情况。RASP配合开源漏洞情报，第一 时间发现并处理开源漏洞风险。 持续 运营 SCA——获取SBOM 软件成分分析 SCA 技术是通过对二进制软件的组成部分进行识别、分析和追踪的技术。 SCA 可以生成完整的 SBOM，SBOM 作为制品成分清单，同时建立软件构成图谱，为后续分析提供基础，即分析开 发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并精准识

容器 控制 台 镜像仓库 集群一 集群二 拉取运行 拉取运行 深度扫描 深度扫描 • 检测维度丰富，包括漏洞、软件许可、恶 意文件、敏感信息等 • 策略可深度自定义 • 自动生成评分，对安全进行评级 • 提供整体修复建议 安全运营-容器入侵检测 未 知 威 胁 监 控 风险事件列表 容器内行为 实时监控 产生 告警处置 人工安全标记 响应处置 内置风险策略

云原生安全威胁分析与能力建设白皮书 50 者利用。 （1）黄金基础镜像 在日常的安全运营工作中，也许会发现镜像内含有大量漏洞。这此些漏洞， 大多来自于基础镜像内，如果基础镜像存在大量漏洞，在生成业务镜像后，漏洞 数量将会成倍的增长。所以需建立黄金镜像仓库，维护需要用到的系统、中间件 等基础镜像，周期性进行维护更新，在有效抑制风险暴漏的同时，也有利于镜像 安全风险的治理。 （2）镜像风险检测