云原生及云原生安全 过去十年，企业数字化转型加速推进，相继经历了服务器、云化到云原生化 三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 防护对象产生变化 安全管理的边界扩展到了容器层面，需要采用新的安全策略和工具来保护容 器的安全性，如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。  架构的变化 多云及混合云下的应用架构及工作负载更加复杂，需要采用分布式安全策略 和技术，如服务间的身份验证和授权、服务网格的加密通信、微服务的监测和异 常检测等。  管理模式的变化 云原生安全威胁分析与能力建设白皮书 15 云 需要采用持续安全集成和交付的实践，结合自动化的安全测试、漏洞扫描和合规 性检查等工具，以确保安全策略和控制的持续有效性。 面对这些新的挑战，国内外都开展了云原生安全技术的研究和相关标准规范 的制定完善工作，CNCF、CSA 等组织以及行业联盟等纷纷提出云原生安全标 准及参考技术规范。同时，主要经济体国家的标准也在制订和完善过程中，使得 行业逐步走向规范，推动了产品和解决方案逐步走向成熟。 在中

Web Service Database 生产集群 Pod Nginx Pod 测试集群 生产集群 https://myapp.io Running Instances 注册 工作负载类型 运维特征 发布/部署 CRD 注册中心 KubeVela 的 Application 对象 镜像与启动参数 多组件 如何扩容 扩容指标，实例数范围 组件类型 可灵活扩展的其 渲染集成进自己的前端。 KubeVela 的能力模板 – 组件类型 抽象封装方式 K8s 对象模板 CUE 模板 工作负载类型 Helm chart 封装 其他封装 使用方式(json schema) KubeVela 的能力模板 – 运维能力 抽象封装方式 可作用的工作负载 K8s 对象模板 CUE 模板 Helm chart 封装 其他封装 Trait 自身 CRD对象 Application 中定义一个新的字段 metrics ● 无需系统更新或重启 Platform Builder 模型层能力注册 KubeVela 为什么能对不同 Workload 做统一发布？ 工作负载类型 ① 统一 类型注册和识别 健康检查 ② 统一 状态检查和回流 发布模式 ③ 统一 发布方式 资源模板 ④ 统一 抽象方式 KubeVela 中的渐进式发布实践 第三部分 面向终态模式--渐进式发布

化。是种生态型平台。 高级能力-混合云（资源角度） 控制力 服务、位置、规则可控 高安全 安全自主可控 高性能 硬件加速、配置优化 固定工作负载 私有云 混合云 SLB 工作负载可迁移 敏捷 标准化、自动化、快速响 应 低成本 按需伸缩、按需使用付费 弹性 可弹性无限拓展 弹性工作负载 公有云 ETCD ETCD Image Image Data X • 企业可以在业务高峰时使用混合云补充 算力，并在低谷时从公有云撤回算力， 但是，目前真正落地的企业很少，原因 在于大部分企业组织或者文化问题在落 实上的顾虑，因为“机器人”比人是否可靠 仍然在争论中，可参考或者背书的实例 少，导致落地缓慢。 • 组织结构升级 • 企业IT文化、工作流程、知识体系、工具集的总合升级 • 应用架构升级 • re-platform • re-build • re-host • 运维模式升级 • 从传统面向操作规则的运维转变为面向观测数据的自动化运维 在使用PaaS的过程中，为了保存您的应用元数据和状态信息、提供应用监控和日志采集、服务注册 和配置中心等功能，PaaS需要消耗公共的计算、存储和数据库等资源为您提供服务，因此PaaS将根据 您使用的工作空间的规格向您收取管理费用，直接体现在PaaS的账单中。 • 服务市场中的业务服务、中间件由于为您减少了三方集成的成本，所以您根据服务的性质缴纳费用， 费用将有一部分归入PaaS账单，而另一部分则根据与供应商的合约进行分成。

声息” 纵深漏洞发现体系，每个阶段做最有效果的安全工作，提供最有效 的安全结果，降低安全人员漏洞验证的难度和时间，提高效率 磐舟一体化安全开发交付平台亮点 安全目前仍然是以卡点或门禁 的方式存在于DevOps流程中， 尽管已经实现了左移，但仍然 对效率造成一定的损耗，所以 我们需要探索如何将安全无缝 地融入到工作流中，提升工作 效率 降低业务人员感知 对不同软件检测出来的结果进 在IDE工具层引入安全检测， 将安全进一步左移； 持续提升计划 管理与技术并重 安全行业一直有“七分管理，三分技术”的说法。磐舟DevSecOps平台的建设只是提供一个工具抓手。真正要 把安全工作做好，离不开管理、流程和团队的建设。 意识为先，警钟长鸣 通过不断的宣贯，让整个团队建立安全 意识 建立规范，严格执行 制定并发布《平台能力中心安全编码规范》 定期演练，检测有效性 定期演练，检验防护措施的有效性

应用 应用 软件环境 硬件环境 遗留系统 安装配置点 安装配置点 安装配置点 集成点 集成点 集成点 1. 交付人员学习手册文档，需要在客户 环境做“安装配置”和“与遗留系统集成” 两方面工作。 2. 安装配置：在硬件上安装软件，不乏 针对硬件特性的适配、还需要安装OS 等，最后还要在OS上安装应用，并且 还要保证应用软件依赖拓扑结构不会 出错。 3. 集成点：包括新环境的硬件、软件和 应用与遗留系统的集成，比如，监控、 举一 个例子，同样是 Ingress，它在公有云上和本地数据中心的实现完全不同：前者 一般是 SLB 这样的云服务，而后者则可能是一个专门的硬件。这也就意味着针 对两个环境的 Ingress 运维工作，将会有天壤之别。 但与此同时，无论是在哪 个环境里，这个 Ingress 规则对于应用开发人员来说，可能是完全相同的。Trait 的目标就是要达成无论在何种环境，规则都是相同的效果。 • AppC 了抽象的规则，对下隔离 了多云的差异，可以很好 的满足企业的需求 标准化能力-微服务PAAS-OAM交付流程模式-场景流程 • 典型的ISV交付场景，目前 大部分业务企业不具备或 者不擅长软件研发和交付 的工作，一般都委托给第 三方ISV来完成客户交付。 • 由于OAM方式的整体化交 付很好的适应了不同环境 的差异，所以ISV自动化交 付成为现实，进一步降低 了交付的成本。 标准化能力-微服务PAAS-OAM交付流程模式-场景流程

Controller-Manager、ETCD l 工作负载节点，最核心就是监控Pod容器和节点本 身，也要关注 kubelet 和 kube-proxy l 业务程序，即部署在容器中的业务程序的监控，这 个其实是最重要的 随着 Kubernetes 越来越流行，几乎所有云厂商都提供 了托管服务，这就意味着，服务端组件的可用性保障交 给云厂商来做了，客户主要关注工作负载节点的监控即 可。如果公司上云了，建议采用这种托管方式，不要自 可。如果公司上云了，建议采用这种托管方式，不要自 行搭建 Kubernetes，毕竟，复杂度真的很高，特别是 后面还要涉及到升级维护的问题。既然负载节点更重要， 我们讲解监控就从工作负载节点开始。 Kubernetes 所在宿主 的监控 Kubernetes所在宿主的监控 宿主的监控，比较常规和简单，无非就是 CPU、Mem、Disk、DiskIO、Net、Netstat、Processes、 System、Conntrack、Vmstat

传统稳态业务环境难以高效承载敏态应用 发现故障 （假死） 创建 新实例 配置 运行环境 部署当前 应用版本 添加 监控 配置 日志采集 测试确认 服务正常运行 实例 加入集群 恢复正常 工作量 成本 新一代架构（微服务）应用的对承载平台提出新要求 传统实践中，主要采用虚机/物理机+SpringCloud等微服务框架的方式承载微服务应用。但在一个虚机/服务器上 部署多个微服务会产生如下问题—— 是协作研发效率) • 减少变更带来的风险:制品一致性、配置一致性、环境一致性 • 打通研发与运维:谁定义谁负责，平台提供业务OPS工具，减少研发和运维视角割裂带来的高成本 • 可以作为研发人员的唯一工作台，将底层技术收敛到统一平台上，减少企业研发管理成本。 运行态 任何微小的变化都可能引发故障，如何避免？ 任何变更都需要提交到git中，并经过版本管理后 重新持续集成，变更有痕迹可查，随时可以找到对 走，面对企业极其碎片化的环境运维属性依然是一个巨大的挑战！ ServiceMesh-6-新发展-ServiceMesh与Serverless融合 Service Mesh 技术和 Serverless 技术是工作在不同纬度的两个技术： • Service Mesh 技术的关注点在于服务间通讯，其目标是剥离客户端 SDK，为应 用减负，提供的能力主要包括安全性、路由、策略执行、流量管理等。 • Serverless

配置获取 从Consul中获取当前agent的配置组列表，并 启动多个采集进程 配置变更感知 watch到Consul对应的agent id路径，实时感 知配置变化，并对启动的进程列表做重启清理 等工作 管理多Beats/logstash Beats等以agent子进程启动其管理这些进程的 cpu/内存等资源 Agent Consul Master 获取master列表 向master发起Agent注册逻辑 配置一致性检测 • 日志覆盖率 12 案例:如何管控整个日志数据流相关资源性能与容量？ 资源限制 cgroup cpulimit 定时检测 kill nice值 beats优化 缓存设置 工作协程 设置 资源配额 调整 Agent运行时监控 日志延时分析 Beats cpu/mem管控 ES/kafka容量管理 日志覆盖率分析 13 案例:高并发写入场景下Beats与ES性能优化

陈鹏 多点生活 平台架构-基础架构工程师 个人简介 • 开源项目 MOSN 核心 Committer • 主要负责容器服务整体架构的设计与开发 • 主导 ServiceMesh 落地相关工作 目录 多集群管理现状 Operator 迭代 反思&重构 整体架构 • 多单元 • 多集群 • 多分组 • 多种公有云（腾讯云、微软 云等） 核心组件-Symphony CI/CD

Service Mesh Made Easy 劉宇雷-Hashicorp Solutions Engineer Agenda 1. 服務網格是什麼? 簡要歷史回顧 2. 什麼是Consul，它如何工作? 3. 演示: 如何在非容器化的環境下使用Consul的服 務網格 4. 問&答 ⁄ 簡要歷史回顧: 從單體式軟件到微服務 The Dawn of Time (pre-2010) In