KubeVela：以应用为中心的 渐进式发布最佳实践 孙健波 阿里云-云原生应用平台团队 技术专家 关于我 • 孙健波 • 阿里云 (@天元) • 云原生应用平台团队--应用管理和应用交付 • Github(@wonderflow) • OAM - Open Application Model (https://oam.dev/) • KubeVela (http://kubevela 云原生时代的应用与发布挑战 01 KubeVela 简介 02 KubeVela 中的渐进式发布实践 03 云原生时代，应用是怎 么样的？ 以 K8s 资源组合为核心 kubernetes/StatefulSet Kubernetes/Deployment K8s 的原生资源组合 1. 复杂、难懂、门槛高 2. 能力局限，不同场景各不相同 3. 不统一，每一个模式需要重新编 写发布对接 K8s-sigs 研发、运维无从入手。 2. 无人维护、缺乏活跃度。 3. 信息不足以对接发布。 kubernetes-sigs/application 几乎成为事实标准的应用打包工具 helm 1. 黑盒，不明确内部有哪些 资源。 2. 无法使用/对接云资源。 3. 发布能力缺失，使用 helm upgrade 没有灰度 能力。 Helm Chart 基于 CRD 自定义实现 需要大量 K8s

服务元信息 运行态Ops 开发态Dev 安全态Sec 发布态 高可用 测试态Test • 服务契约管理 • 服务调试 • 服务Mock • 端云互联 • 开发环境隔离 • 服务压测 • 自动化回归 • 流量录制 • 流量回放 • 无损上下线 • 服务预热 • 金丝雀发布 • A/B Test • 全链路灰度 • 服务鉴权 • 漏洞防护 • 配置鉴权 • 离群实例摘除 Fuction（Serverless） App1（单体应用） 证书管理 认证登录 三方认证 WAF防护 限流熔断 风险预警 统一接入 流量调度 用户故事 • 来电 微服务治理全链路灰度最佳实践 • 斯凯奇 云原生网关最佳实践 来电 微服务治理全链路灰度最佳实践 app 充电宝设备节点 web 网关 服务注册发现 配置中心 HTTP HTTP HTTP HTTP HTTP 10% 90% web RPC HTTP HTTP HTTP HTTP 调度分配 斯凯奇 云原生网关最佳实践 配置管理最佳实践 服务和路由规则 预案 限流 开关 动态UI 机房切流 文案、公告 前后端独立发布 布局、氛围调整 高可用平台配置 降级 开关 特性 开关 紧急预 案 提前预 案 白名单 日志级别 、采样率 超时、重试 流量调度 动态数据源 故障自动切库 DB大促预建联

2018-11-09 � 部署Istio 打开容器器服务控制台，在左侧导航栏中选中集群，右侧点击更更多，在弹出的菜单中选中 部署Istio。 在打开的⻚页⾯面中可以看到Istio默认安装的命名空间、发布名称； 通过勾选来确认是否安装相应的模块，注意勾选下Kiali Kiali； 点击 部署Istio 按钮，⼏几⼗十秒钟之后即可完成部署。 ⾃自动 Sidecar 注⼊入 查看namespace： 点击左侧导航栏中的服务，在右侧上⽅方选择对应的集群和命名空间，在列列表中找到istio-ingressgateway的外部端点地址。 打开浏览器器，访问http://{GATEWAY-IP}/productpage 部署v2 - 灰度发布 运⾏行行以下命令部署v2： 1 kubectl apply -f addedvalues-v2.yaml 部署DestionationRule： 1 kubectl apply -f destination-v2 virtualservice-v1-v2.yaml 当前v1和v2的流量量分别为50%. 然后，通过以下命令v2接管所有流量量： 1 kubectl apply -f virtualservice-v2.yaml 完成灰度发布，切换到v2。 请求路路由 接下来会把特定⽤用户(登录名称以yunqi开头的)的请求发送给 v3 版本，其他⽤用户则不不受影响。 运⾏行行以下命令部署v2： 1 kubectl apply -f

法、角色、流程、技术 都发生了很多变化，适应这些变化是落地云原生安全的关键！ 标准化能力-承载无忧-E2E云原生纵深安全保障-2-商业价值 腾讯安全战略研究部联合腾讯安全联合实验室近日共同发布《产业互联网安全十大趋势(2021)》(下简称《趋势》)，基于2020年的产业实践和行业风向， 从政策法规、安全技术、安全理念、安全生态、安全思维等维度为产业互联网的安全建设提供前瞻性的参考和指引，助力夯实产业互联网的安全底座。 以及流量治理（比如灰 度部署） 云原生消息Mesh化 将消息的富客户端 能力下沉到SideCar， 将消息的服务发现、 负载均衡、流量监 控等职责与业务逻 辑隔离，在运行时 完成透明装配，同 时提供细粒度的消 息灰度和治理能力 高级能力-云原生大数据|AI-业务赋能的基石-1 大数据发展了近30年，甚至比云计算的历史还要 早，它带有那个时代的架构思路，体系庞大而且 复杂，因为业务上极其重要的地位，发出现先发 。 • 操作系统镜像及部署复杂性拖慢应用发布：虚拟机或裸金属设备所依赖的镜像，包含了诸多软件包，如HDFS、Spark、 Flink、Hadoop等，系统的镜像远远大于10GB，通常存在镜像过大、制作繁琐、镜像跨地域分发周期长等问题。基于这 些问题，有些大数据开发团队不得不将需求划分为镜像类和非镜像类需求，当需要修改镜像的需求积累到一定程度， 才统一进行发布，迭代速度受限，当遇到用户紧急且需要修改

契约驱动研发 • BaaS API:数据库接口、 中间件接口外化成API • API门户：消费者可以 根据领域-能力查询到 想要的API。 • 自动生成SDK方便集成。 • 发行计划：向下兼容， 对比发布 • API文档：每一个API有 一个活档，指导集成。 形成市场，能力 互补 全生命周期API管理-2-Azure API Management 配置Http Header， 比如CORS等 等，比如限流规则 定义API或者导入 API 全生命周期API管理-3-Azure API Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布 或者实施与自己 APP的集成。 • API作为产品，可 以给订阅、可以 被交易。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-1 知道 知道的 不知道 不知道的 主动性 标准化能力-微服务PAAS-OAM-万花筒PAAS-2 阿里和微软在19年发布了一个叫做OAM的规范，这是基于10年云原生道路锤炼得到的自动化交付方案 构建镜像 多区域分发 配置 ApplicationConfiguration Component 微服务 数据库 MQ Cache Trait 灰度 监控告警 弹性扩缩容 高可用 负载均衡 客户环境 • 关注点

多Beats支持 • Beats运行时cpu/mem可控 • Agent监控视图 • 离线/容量/延时监控 • 分布式集群管理 • 异常快速定位 • 关联公司CMDB • 资源权限管理 • 配置灰度控制发布 • 配置一致性检测 • 日志覆盖率 12 案例:如何管控整个日志数据流相关资源性能与容量？ 资源限制 cgroup cpulimit 定时检测 kill nice值 beats优化

倍左右性能提升  MoE 相比于 Envoy 性能下降 20%，虽然牺牲部分性能，但解决了用户在其可扩展 性、灵活性、生态上的痛点，另外对性能方面也有优化空间： 经济体互通网关蚂蚁侧场景，当前灰度了少量的线上流量，已经平稳运行了 1 个月左右； • 业务代码优化，如减少对象数量 • 内存管理优化，如 jemalloc 替换 tcmalloc、堆外内存 • runtime 相关优化，如 cgocheck

事云原生及其安全技术的研 究，致力于推动云原生在通信行业落地实践，全面落实好“大安全”主责主业， 以实际行动践行“国家队、主力军、排头兵”的责任担当。2022 年，我们在“联 通合作伙伴大会”发布了《中国联通云原生安全实践白皮书》，该书系统阐述了 云计算所面临的新型安全问题，介绍了云原生安全防护体系，并给出了云原生安 全防护体系建设实践。 过去一年来，我们持续深耕云原生安全领域，联合多家单位共同编写了《云 DevOps、微服务、容器和持续集成，如图 1、图 2 所示。 图 1 云原生四要素 云原生安全威胁分析与能力建设白皮书 11 图 2 云原生四要素的基本含义 2020 年，云原生产业联盟发布《云原生发展白皮书》[1]，指出云原生是面 向云应用设计的一种思想理念，充分发挥云效能的最佳实践路径，帮助企业构建 弹性可靠、松耦合、易管理可观测的应用系统，提升交付效率，降低运维复杂度， 代 1.2 云原生安全 云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题， 其作为一种新兴的安全理念，强调以原生的思维实现云上安全并推动安全与云计 算深度融合。我们在 2022 年发布的中国联通云原生安全实践白皮书中[2]，对比 分析了不同的组织和企业对云原生安全理念的理解，其中包括 CNCF 认为云原 生安全是一种将安全构建到云原生应用程序中的方法[3]、k8s 提出的云原生

基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从 “需求-开发-测试-发布-运维-运营”端到端的协同服务和研发工具支撑。助力企业产品快速创新迭代，进行 数智化化转型、实现业务价值。 • 端到端自动化交付流水线 • 开发过程自主可控 • 一键发布上磐基，实现“乘舟上云，稳如磐基” • 沉淀IT软件资产，核心代码掌控 • 提升开发交付效率 一键 上磐基 环境变量中的密码等敏感 信息进行发现，防止敏感 信息泄露。 构建历史命令审计 对镜像文件构建的历史命 令进行审计扫描，对高危 操作进行标记并告警。 镜像发布管控 镜像在被发布之前，依据 安全策略对镜像进行检测 ， 或者依据检测结果对镜像 发布流程进行放行或者阻 断、忽略操作，防止危险 镜像通过发版。 安全测试-APP扫描 移动应用安全检测和个人信息合规检测能力，基于磐舟平台，容器化部署，紧邻租户业务系统，支持浏览器 UI测试 功能系统测 试 测试报告输出 镜像库 性能/容量 测试 功能验收测 试 验收报告输出 镜像库 生产部署验 证 生产 发布 上线申请 提测 申请 生产 运营 单元 测试 需求安全分析 源代码审计 镜像安全扫描 服务 发布 冒烟 测试 基础镜像安全加固 代码 仓库 第三方开源 组件安全扫描 灰盒审计 手工渗透测试 镜像扫描 基线合规 实时监测

多种公有云（腾讯云、微软 云等） 核心组件-Symphony CI/CD 业务方使用 对外提供统一API 运行情况展示 应用在多集群运 行状态收集 应用维护，日志 查看，故障排查 应用发布 Operator API • 对使用方屏蔽多单元、多集群的存在 • 提供简单的、无需运维介入的日常维护功能 • 结合监控，可以查看每个实例的运行情况 • 支持离线日志查看，减少对容器的理解 Controller 适配是否合理？ • 新增一个公有云类型都需要修改 Controller 是否合理？ • 当新的需求来临应该怎么扩展？ …… 需求 需求： • 最好能兼容现在的逻辑（Helm 发布） • 方便扩展 • 高级特性 …… 社区的力量 https://github.com/clusternet/clusternet • 轻量化部署，不依赖额外的存储和端口 • 兼容所有k8s