配置UI化开发思路 嵌套式表单 大表单套小表单，所有表单都是以angular组 件形式开发，保证代码的可复用性与质量 配置分级展现 把复杂配置独立成高级选择，并设置默认值， 并在复杂项给出有效帮助 自定义组件 编写大量自定义小组件，比如cmdb设置，时 间设置等组件提高用户体验，尽量减少直接填 文本 前后端强类型 前端采用基于ts 的angular开发所有数据定义 与后端golang数据保持强一致，保证数据一致 Golang、Iris、Consul、微服务化设计、 Pongo2模板管理 配置 Consul、Elasticsearch Agent Golang、ELK beats、Logstash、LXC资源管 控、 Consul、其他自定义插件 前端 Agent 后台 配置 Pongo2 23 谢谢大家！

version env group owner stage commitId deployId ... 网络资源 VPC 子网 CIDR IP地址 NATGW ALB … ~30种资源标签，100+自定义微服务标签 理解云网络，自动标记端到端数据标签 Labels 自动同步云API、K8s apiserver DeepFlow support list 主机名、IP地址、VPC/隧道ID、对等连接、NAT/LB 存储系统标签的：资源的标签、K8s的标签 • 不存储自定义标签：K8s label env=prod zone=ZoneA releaseVer sion=12 deployType =canary group=iot owner=xian gyang …… 看云网更清晰 Simplify the growing complexity. Stage-3：查询时的编、解码 • Querier编码自定义标签的Filter和Group查询请求

通过将IAST集成到CI/CD流水线，在测试环境的构建过程中自动部署IAST检测逻辑，可以实现与功能测试同步进行的自动化 安全测试，给出漏洞的实际触发路径并提供实际可落地的修复建议。根据需求阶段提出的安全设计方案，配置IAST中的自定义规 则，基于IAST的扫描结果可以实现安全需求设计的闭环管理，大幅减少安全漏洞，有效降低风险暴露时间。 程 序 源 码 程 序 目 标 码 （ 插 桩 后 ） 平 台 机 器 码 应 用 业务 镜像 扫描 容器 控制 台 镜像仓库 集群一 集群二 拉取运行 拉取运行 深度扫描 深度扫描 • 检测维度丰富，包括漏洞、软件许可、恶 意文件、敏感信息等 • 策略可深度自定义 • 自动生成评分，对安全进行评级 • 提供整体修复建议 安全运营-容器入侵检测 未 知 威 胁 监 控 风险事件列表 容器内行为 实时监控 产生 告警处置 人工安全标记 响应处置 木马病毒上传 恶意命令执行 容器逃逸 其他风险策略 已 知 威 胁 监 控 进程 网络连接 系统调用 文件 配置 安全容器模型 在业务上线后，容器安全工具基于内置检测规则+行为学习+自定义策略，多维度保障容器运行时的安全。 已知威胁方面，通过丰富的内置安全策略，对业务容器行为进行实时监测，及时发现风险。 未知威胁方面，通过对业务容器行为进行学习建模，感知业务行为偏离，发现未知风险。并提供隔离、暂停、重启等处置能力。

黑盒，不明确内部有哪些 资源。 2. 无法使用/对接云资源。 3. 发布能力缺失，使用 helm upgrade 没有灰度 能力。 Helm Chart 基于 CRD 自定义实现 需要大量 K8s 经验才能开发 某游戏公司自定义workload Pinterest 构建一个渐进式发布能力需要解决哪些 问题？ • 版本化 • 分批发布 • 滚动发布/原地发布 • 发布暂停 • 发布回滚 • 日志监控

agent 业务 进程 Pod内的业务应用的监控 – prom sdk 数据流向 • /metrics 接口的抓取，对于大规模集群可以考虑 sidecar 模式，自闭环更灵活，可以自定义认证、过滤规则；对 于小集群，可以直接使用 Kubernetes 服务发现机制，用一个抓取器来抓 Pod-001 业务 容器 agent Pod-002 业务 容器 agent

原生业务的一体化交付， 比如把云原生的OAM AppConfig嵌入到Ansible 的PlayBook中。 Host Inventory 主机清单 PlayBooks 剧本 核心模块 自定义模块 Plugins Email、logging、 other 插件 Ansible 负责解析剧本并通过连 接器执行 Connector 连接受控端 主机 主机 主机 DevOps-CICD

Resource(CR) Operator机制 Pod,Deployment, etc Spec (K8s Yaml) Custom Resource Spec (K8S yaml) 通过拓展实现自定义控制器来实现对非标准资源的纳 管，比如数据库的自动拓展能力或者自动化数据同步 能力等等。 标准化能力-分布式操作系统核心-容器服务-新发展 由于历史遗留或者软件形态所限制，不可能所有的软件都可以

通 过 利 用 CVE-2022-22947 漏洞，执行 SpEL 表达式，允许在远程主机上进行任意命 令执行，获取系统权限。CVE-2022-22946 漏洞，将会导致网关能够使用无效 或自定义证书连接到远程服务。 2.5.3 微服务应用攻击 微服务最终也是一个个独立的应用，也是通过代码方式进行编写的，也会使 用一些开源的组件。因此在开发期间如果未做好安全开发管控与检测依然会引发