节点对外暴露的服务。由于管理员的疏忽或为了方便 管理而故意留的一些接口，导致内部服务的暴露，使得编排组件存在一个潜在的 攻击点。比如 Mysql 对外服务存在弱口令登录的问题，目标系统的其中一个节 点通过 NodePort 对外映射了 Mysql 服务端口，且经过尝试，通过弱口令可登 云原生安全威胁分析与能力建设白皮书 28 录。这种情况就属于是管理员的安全意识不足引起的服务对外暴露风险，相应的 攻击行为即服务对外暴露攻击。 场景下可能存在的攻击类型。 图 10 针对 Knative 进行攻击的路径分析 云原生安全威胁分析与能力建设白皮书 34 2.6.1 事件注入攻击 无服务器计算本身是由事件驱动的，当函数订阅一个事件源后，该函数在该 类型的事件发生时被触发，这些事件可能来源于平台内部或外部，其中部分事件 可能是无法确认其来源的，对于来源未知且不可控的事件都是一种潜在的事件注 入威胁。 通常情况下，攻击者将可 份认证，这 就使 Serverless 应用的整体身份认证变得复杂，你要为每个函数及事件源提供 合理的身份认证机制，一不小心就会出错。 如果一个函数提供了公开的 API 给用户使用，并且该 API 也有正确的身份 认证逻辑，用户访问函数后，函数内部首先会从云存储读文件，然后将读取后的 数据作为输入源调用内部函数，内部函数无须身份认证，如果云存储没有设置合 适的身份认证，攻击者可能直接向云存储注入数据进行攻击。

开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 容器环境 开 发 模 式 ： 瀑 布 > 敏 捷 > D e v O p s 应 用 架 构 ： 大 型 系 统 > S O A > 微 服 务 代 码 实 现 ： 闭 源 > 开 源 > 混 源 服 务 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联

高级能力-云原生数据库-应用的基石-3-场景 数据源 数据日志 消息数据 订单数据 云原生 DB 高并发写入 用户 MR 云DB 用户 日志消息类数据实时分析 支持企业低成本、大容量存储和查询各类日志、消息、交易、用户行为、画像等 结构化/半结构化数据，支持高吞吐量实时入库及数据实时查询，实现数据资源 智慧化运营。 优势 低成本存储： 支持PB级数据存储 高并发： 千亿数据实时分析 数据源 设备监控 传感器 轨迹数据 车联网 弹性扩缩容主要聚焦于如何利用云原生资源，借助serverless技术，快速扩容资源以补充算力，满足业务实时需 求。 • 离在线混部主要聚焦于利用在线业务空闲时段的闲置资源，通过将大数据离线计算任务调度到在线业务闲置资 源的上，在保证业务稳定性的基础上，大幅提升资源的使用效率。 • 这两种模式都使用了Yarn on Kubernetes Pod的形式，如图，其基本思想是，将Yarn NodeManager运行在 Kub API Server 迁移风险高， 所以不迁移 主要矛盾：算力 • 在弹性扩缩容和资源申请方面，借助基于Kubernetes的serveless服务，做到资源按需创建、按需使用和付费；而资 源的调度方式，则依然保证不变。具体来说，Kubernetes只是资源的提供方，只提供创建和销毁资源的API，业务 方负责调用该API来创建和销毁资源，资源在Kubernetes上创建完成之后，该资源的Yarn

日志上报是 否有延时？ Filebeat资 源受限？ ES写入性 能不足？ beats性能 调优？ ES写入参 数调整 升级ES配 置 发现延时 Cpu/mem充足 Cpu/mcem充足 提升beats资 源配额 Cpm/mem受限 ES负载低 ES负载高 日志延时统计 dashboard Beats进程资 源采集分析 日志接入 cpu/mem对比 提升cpu/mem

[1] 基于策略的内容复制机制：支持多种过滤器(镜像库、tag和标签）与多种触 发模式（手动，基于时间以及定时）且实现对推送和拉取模式的支持 初始全量复制 增量 过滤器 目标仓库 源仓库 目标项目 源项目 触发器 推送(push)或者拉取(pull)模式 过滤器 策略

安全测试，给出漏洞的实际触发路径并提供实际可落地的修复建议。根据需求阶段提出的安全设计方案，配置IAST中的自定义规 则，基于IAST的扫描结果可以实现安全需求设计的闭环管理，大幅减少安全漏洞，有效降低风险暴露时间。 程 序 源 码 程 序 目 标 码 （ 插 桩 后 ） 平 台 机 器 码 应 用 系 统 I A S T 插 桩 A g e n t 展 示 漏 洞 结 果 编 译 解 释 运 行 1 织 入 检测探针语言强相关 漏洞覆盖度依赖测试覆盖度 对测试环境性能有一定影响 优点 缺点 污点变量1 污点变量a 污点变量4 污点变量b 变量c 污点变量2 变量1 | 污点标记 无害处理 识别污点源 污点传播 污点汇聚点 污点传播阶段 污染过程 处理过程 变量2 污点变量3 如果程序在对输入变 量处理过程中，没有做 好过滤和验证措施，就 有可能导致有害的输入 被传入sink点执行

聚焦于CapEx到OpEx的转变，但是应用依然需要自己解决稳定性问题 企业开始摸索大规模上云的可能性，而同时微服务架构开始出现。 2 0 0 0 年 F r e e B S D 提 出 容 器 ， 而 资 源 隔 离 能 力 早 在 1 9 7 5 年 就 已 经 存 在 2003年Docker兴起，但云原生架构依然 没有出现，Docker公司还差点死了 1 9 9 6 年 戴 尔 提 出 云 计 算 理 标准化能力-分布式操作系统核心-容器服务-基本技术原理 事实标准的K8S容器服务设计 成应用与物理资源（IaaS，虚 拟机、物理，多云）的中间抽 象层，因为应用很复杂，很容 易陷入差异化定制市场，抽象 层的市场范围会更广，作为开 源平台，更容易成为通用性市 场选择。通用性才能做到普适 定制化能力，才能成为云原生 的操作系统。 标准化能力-分布式操作系统核心-容器服务-Operator API Server Kubectl

机房切流 文案、公告 前后端独立发布 布局、氛围调整 高可用平台配置 降级 开关 特性 开关 紧急预 案 提前预 案 白名单 日志级别 、采样率 超时、重试 流量调度 动态数据源 故障自动切库 DB大促预建联 密码定期修改 流量控 制 线程控 制 微服务生态 前端生态 Spring Sentinel 高可用生态 Dubbo Midway Switch 数据库生态

K8s资源池空闲，大数据业务无法使用 大数据业务可以使用集群整体空闲资源， 提高整体资源利用率 集群高负载场景 通过静态划分的资源池保证大数据业务和通用 业务的资源配额 通过Volcano提供的队列保证各类业务资 源配额 资源共享：Queue • 集群级别资源对象，与用户/namespace解耦 • 可用于租户/资源池之间共享资源 • 支持每个队列独立配置Policy，如 FIFO, fair share

04 MOSN 云原生演进历程 MOSN 简介 — 演进历程 MOSN 从 Service Mesh 技术调研，到产品孵化，历经重重困难，最终通过双 11 规模化验证。借力开源、反哺开 源，进行 Cloud Native 生态融合，在实践的道路上一步步的走向云原生。 2018年3月 MOSN 诞生 支持 Service Mesh 核心支付链路覆 盖 MOSN 宣布独立运营