器⽇志的路径，
 监视来⾃容器标准输出和标准错误输出，并以UDP协议分发到RBD-EVENTLOG组件。 接收来⾃NODE服务的推送，⽤WEBSOCKET协议将⽇志内容推送到⽤户所操作的应⽤控制台。 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.1 思路路 1.3 实际配置 1.2 插件制作 RAINBOND 线上培训（第⼋八期） 2.对接ELASTICSEARCH 1.1 思路路 以插件的形式，与应⽤⼀起运⾏⼀个 FILEBEAT 。对⽇志⽬录挂载⽂件存储，即可让FILEBEAT
 收集到指定的⽇志⽂件，并上报ELASTICSEARCH。 RAINBOND 线上培训（第⼋八期） 2019/7/31 2.对接ELASTICSEARCH 1.2 插件制作 - 项⽬目地址：https://github.co

摆脱每次修改需要重新 build 新镜像以及⻓时间的循环反馈，修改代码⽴即⽣效 ⼀键部署开发环境，摆脱本地环境搭建和资源不⾜的限制 本地 IDE 编辑器和开发环境联动，⽀持远程调试 图形化的 IDE 插件，⽆需熟悉 kubectl 命令即可完成云原⽣环境下的开发 管理⼈员： 统⼀管理微服务应⽤包，降低应⽤的维护成本 统⼀管理开发环境和集群，提⾼集群资源的利⽤率，同时具备隔离特性 为新员⼯快速分配开发环境，分配环境后⽴刻能进⾏应⽤开发 TKE、Mnikube、Kind 等 已配置好 kubectl 且能访问 Kubernetes 集群 集群开启了 RBAC 安装 Visual Studio Code（1.52+） 和 Nocalhost 插件 安装 nhctl cli ⼯具（https://nocalhost.dev/installation/） 对于 TKE 等⽀持 LoadBalancer 的集群，运⾏以下命令来快速初始化： Nocalhost enabled=false 以 TKE 为例，init 将⾃动部署 Nocalhost 组件（默认读取 ~/.kube/config 集群）。init 结束后，得到管理员和 ⾃动创建的开发者两个⻆⾊默认的账号密码，并输出了 Nocalhost Web 控制台的登陆地址： http://81.71.77.28 打开登陆地址，使⽤默认管理员⽤户名 admin@admin.com 和密码 123456 登陆 Web 控制台，控制台能够

物联网套件写入 云原生 DB 轨迹查 询|实时 监测 MR 云原 生DB 统计 分析 物联网数据存储和查询 将车联网数据、设备监控数据、客流分析管控数据、交通数据、传感器数据实时 写入HBase中，分析结果输出到用户的监控前端系统展示，实现物联网数据的实时 监控分析。 优势 易接入： 轻松对接消息系统、流计算系统 高并发： 满足千万级并发访问 存算分离： 按需分别订购计算与存储，成本低、故障恢复快 利用HTAP模式，可以将查询和分析合并 Ceph文件存储 MiniO对象存储 • Operator：实现自动启动存储集群，并监控存储守护进程，并确保存储 集群的健康； • Agent：在每个存储节点上运行，并部署一个 CSI / FlexVolume 插件， 和 Kubernetes 的存储卷控制框架进行集成。Agent 处理所有的存储操 作，例如挂载存储设备、加载存储卷以及格式化文件系统等； • Discovers：检测挂接到存储节点上的存储设备。

等因素获取敏感信息、造成服务器 失陷。开发过程中引入开源或第三方插件、加载库、模块、框架等存在安全问题 云原生安全威胁分析与能力建设白皮书 33 时，导致代码中出现安全漏洞、恶意代码、“后门”等安全隐患。 2.6 路径 5：Serverless 攻击 无服务器计算是一种云计算运行架构，在该架构下，云平台根据开发者编写 好的代码，自动准备好相应的计算资源，完成运算并输出结果，从而大幅简化开 发运维过程。无服务 不安全、不合规的配置是引发安全问题的主要原因之一，组织应建立多集群 配置自动获取的能力，包括容器编排系统、容器运行时、容器宿主机等，并根据 CIS、等保等相关标准进行比对，形成持续性、周期性的检测机制，形成“检测 -报表输出-修复”的流程机制。 （3）组件安全 云原生环境下，其面临的风险除了配置外，就是其组件众多，组件自身可能 存在安全漏洞。所以组织应建立对集群编排系统组件自动发现能力，并对编排系 统组件的安全

应⽤模型交付实践-交付平台 04. 2B交付版本的DevOps 应⽤模型⼀键交付 交付 ⾃动资源调度 ⾃动数据初始化 分配访问策略 应⽤级持续升级 ⽀持上百个组件⼀键交付 应⽤模型运维实践-插件化运维能⼒ 04. 2B交付版本的DevOps 应⽤治理架构与业务架构解耦合 业务A 治理 SideCar 业务B 业务C （1）业务开发者定义业务架构 （2）运维/架构师定义业务治理架构 ⽇志收集模式 链路跟踪 访问⽇志记录 （3）业务不受治理架构的变化影响 治理 SideCar 治理 SideCar 可拔插的治理 应⽤模型运维实践-插件化运维能⼒ 04. 2B交付版本的DevOps 常⽤运维能⼒插件 欢迎关注开源项⽬： https://github.com/goodrain/rainbond 微信 社区钉钉群 云原⽣且易⽤的应⽤管理平台

• Chart Version选择 • Chart Values自适配 Helm Chart 云资源规格精准过滤匹配 交付资源生产 Cross-Vendor 组件列表推荐 插件生态与运行时扩展 服务插件扩展体系 服务 组件 规格 运行时 mysql redis alilcoud kubedb aws 云资源规格 OpenAPI 组件版本配置 Terraform 通用服务schema定义

helm package --sign --key 'my signing key' --keyring path/to/keyring.secret mychart 制品安全分发-扫描 [1] 通过插件化的扫描器接入使得用户可以选择自己偏向的扫描器来进行漏洞扫描 Scanner API Harbor core Scanner adapters Image registry Async scan API • 完善的API • 遵循OpenAPI规范 • 通过Swagger生成调用代码 AUTH集成 • AD/LDAP • OIDC 漏洞扫描器 • 扫描器适配API规范 • 插件式扫描器框架 DoSec P2P引擎 • 标准化Adapter接口定义 制品类型 • 遵循OCI规范 • annotation化的数据扩展 • UI自动渲染扩展数据

全问题，通过自动化方式提供安全 检测手段 l 合规自查：发现各租户移动应用个 人信息合规问题，通过自动化方式 提供合规检测手段 l 手机端：解决现行手机端用户便利 性的同时带来的安全问题 l 能力输出：针对自有安全能力可以 增值输出政企客户 安全管控-镜像扫描 在自动、增量、批量进行镜像上线前的扫描后，生产节点拉取安全镜像，运行后提供服务，但漏洞问题日新月异，有很多迭代 速度慢的业务应用随着时间的推移，一 开发任务拆 分 迭代 规划 IDE 编码 代码 编译 打包 制品库 制作 镜像 镜像库 接口 测试 UI测试 功能系统测 试 测试报告输出 镜像库 性能/容量 测试 功能验收测 试 验收报告输出 镜像库 生产部署验 证 生产 发布 上线申请 提测 申请 生产 运营 单元 测试 需求安全分析 源代码审计 镜像安全扫描 服务 发布

Golang、Iris、Consul、微服务化设计、 Pongo2模板管理 配置 Consul、Elasticsearch Agent Golang、ELK beats、Logstash、LXC资源管 控、 Consul、其他自定义插件 前端 Agent 后台 配置 Pongo2 23 谢谢大家！

API资产梳理（暴露面、风险分析） • API链路调用威胁阻断 • OWASP API安全 TOP 10（权限控制、注入等） RASP——应用出厂免疫 轻量级探针端 + 统一管控中心 + 积极防御插件 运营时威胁与攻击 注入攻击 URL黑名单 跨站脚本攻击 …… 恶意文件访问 反序列化攻击 扫描器攻击 OWASP Top 10 文件读写 数据库访问 表达式执行 本地命令执行 … 检测/响应