>> Email: szou@vmware.com >> GitHub ID: steven-zou >> Slack: steven zou 目录 - 开场：云原生与制品管理 - 初识Harbor：云原生制品仓库服务 - 使用Harbor搭建私有制品仓库服务 - 资源隔离与多租户管理模型 - 制品的高效分发(复制、缓存与P2P集成) - 制品的安全分发(签名、漏洞扫描与安全策略) - 资源清理与垃圾回收 资源清理与垃圾回收 - 构建高可用(HA)制品仓库服务 - Harbor集成与扩展 - 路线图 - 参与贡献Harbor社区 云原生与制品管理 [1] 云原生(cloud-native)技术使组织能够在现代化和动态的环境下（如公有云、私有云 和混合云）构建和运行可扩展的应用程序。云原生典型技术包括容器、服务网络、 微服务、不可变基础设施和声明性API等。 v1.0 by CNCF 容器-更轻量级和灵活的虚拟化 CNCF毕业项目 落地在很多企业级 产品中 Apache 2.0协议下 开源 GitHub代码库: https://github.com/goha rbor/harbor/ 一个开源可信的云原生制品仓库项目用来存储、签名和管理相关内容。 Harbor社区 有来自于5家公司的14位维护者 GitHub星 13K+ 核心提交者 200+ 数据来源: https://harbor

蚂蚁集团技术专家，专注于高性能网络服务器研发，MOSN、 Tengine 开源项目核心成员，目前专注于云原生 ServiceMesh、 Nginx、Envoy、Istio 等相关领域。 喜欢开源，乐于分享。 https://github.com/wangfakang MOSN 开源交流群2 目 录 MOSN 云原生演进历程 01 MOSN 网络层扩展思考和选型 02 对应解决方案和实践介绍 03 MOSN 开源进展同步 友好，对 GoLang Runtime 还未 完全支持； 不能复用已有的 SDK，需要做网 络 IO 适配改造 External-Proc Extension 适合治理能力已经是一个远程服 务，集成进 Envoy 需要跨进程通信性能低（UDS vs CGO 1KB Latency 差 8 倍)； 需要扩展具备 gRPC server 能力， 多进程管理复杂 MOSN(GoLang) Extension 服务相关元数据如何管理 MOSN 和 Envoy 的相关服务元 数据信息，是如何交互管理的? 通过扩展 Envoy 中的 Admin API 使其支持 xDS 同等功能的 API, MOSN 集成的 Service Discovery 组件通过该 API(rest http) 和 Envoy 交互 使其 MoE 的服务发现能力也 具备“双模”能力，可同时满足 大规模及云原生的服务发现通

给加了进来。后来，随着云计算的不断发展，云原生的簇拥者越来越多，这 一体系在反复的修正与探索中逐渐成熟。VMware 关于云原生的介绍提出了四 个核心要点，包括 DevOps、微服务、容器和持续集成，如图 1、图 2 所示。 图 1 云原生四要素 云原生安全威胁分析与能力建设白皮书 11 图 2 云原生四要素的基本含义 2020 年，云原生产业联盟发布《云原生发展白皮书》[1]，指出云原生是面 发布的《云原生安全技术规范》中给出了云原生安全框架[6]，如图 3 所示。其中，横轴是开发运营安全的维度，涉及需求设计（Plan）、开发（Dev）、 运营（Ops）,细分为需求、设计、编码、测试、集成、交付、防护、检测和响 应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施安全、 容器编排平台安全、微服务安全、服务网格安全、无服务计算安全五个部分，二 维象限中列举安全机制（ 云原生安全威胁分析与能力建设白皮书 15 云原生应用的快速迭代和部署频率也对安全治理模式提出了新的要求。传统 的安全治理模式通常是基于静态的规则和策略，针对云原生 DevOps 安全治理 需要采用持续安全集成和交付的实践，结合自动化的安全测试、漏洞扫描和合规 性检查等工具，以确保安全策略和控制的持续有效性。 面对这些新的挑战，国内外都开展了云原生安全技术的研究和相关标准规范 的制定完善工作，CNCF、CSA

蚂蚁集团技术专家，专注于高性能网络服务器研发，MOSN、Tengine 开源项目核 心成员，目前关注云原生 ServiceMesh、Nginx、Envoy、Istio 等相关领域。 喜欢开源，乐于分享。 https://github.com/wangfakang 目 录 MoE 背景介绍 01 MoE 方案介绍 02 MoE 实践效果 03 MoE Roadmap 04 MoE 背景介绍 MoE 是什么 为什么做 Callback Callback MOSN 和 Envoy 的相关服务元数据信 息，是如何交互管理的? 通过扩展 Envoy 中的 Admin API 使 其支持 xDS 同等功能的 API, MOSN 集成的 Service Discovery 组件通过 该 API(rest http) 和 Envoy 交互 使其 MoE 的服务发现能力也具备 “双模”能力，可同时满足大规模及 云原生的服务发现通道 filter 能力 • 同时具备云原生 xDS 、REST API服务元数据管理通道能力 • 复用 Envoy 高效网络通道，如为 Dapr 能力提供底层 gRPC 通道 • 具备硬件加速集成能力 • 内存管理 Zero Copy • MOSN/GoLang 和 Envoy 生态 拉通 • 实现多个社区技术共享，增强 Service Mesh、Dapr 等领域的 生态 性能 较高

Ingress（Envoy） 云原⽣⽹关 服务治理 控制面 微服务引擎（Micro Service Engine，简称 MSE）是一个面向业界主流开源微服务生态的一站式微服务平台 高性能 高可用 高集成 安全 竞争力 三位一体： 阿里微服务 DNS 开源最佳实践 + 产品灵活组合 & 开箱即用 + 经过阿里双十一考验的默认高可用能力 服务治理最佳实践 • 服务元信息 运行态Ops 开发态Dev 默认不支持双注册，MSE 提供了无侵入的双注册方案，无需修改 代码，开发无需关注，支持平迁。 Nacos 生态 几乎支持所有主流语言 阿里微服务DNS最佳实践 多语言生态集成方案 生态仓库： https://github.com/nacos-group

KubeVela：以应用为中心的 渐进式发布最佳实践 孙健波 阿里云-云原生应用平台团队 技术专家 关于我 • 孙健波 • 阿里云 (@天元) • 云原生应用平台团队--应用管理和应用交付 • Github(@wonderflow) • OAM - Open Application Model (https://oam.dev/) • KubeVela (http://kubevela.io/) 能力模板注册时，KubeVela 控制器会 自动生成 OpenAPI v3 的 json schema 文件和文档。 2. 通过 vela 的命令行工具可以查看。 3. 用户也可以自己基于 json schema 去 渲染集成进自己的前端。 KubeVela 的能力模板 – 组件类型 抽象封装方式 K8s 对象模板 CUE 模板 工作负载类型 Helm chart 封装 其他封装 使用方式(json schema) KubeVela Traits 生态。 • 多集群、多环境的应用部署。 • 更丰富的编排能力--数据传递与资源绑定。 KubeVela 地址: http://kubevela.io/ https://github.com/oam-dev/kubevela Vela 1.0.0 即将发布（月底），敬请期待！ 钉钉千人交流群 除了强大的发布能力，这里还有...

段。 为了解决微服务应⽤在开发、测试和⽣产阶段环境⼀致性的问题，现代的微服务应⽤开发，都会将每⼀个组 件打包成 Docker 镜像，并以⼯作负载的形式对其进⾏部署。利⽤ DevOps 流⽔线中的持续集成和持续部署， 配合 Kubernetes 探针、HPA、应⽤⾃愈的能⼒，彻底解放了微服务应⽤的部署和运维环节。 但我们忽略了⼀个关键节点：开发阶段 微服务应⽤使⽤ Kubernetes ⼯作负载封装 部分应⽤（100+微服务）正在使⽤ Nocalhost 进⾏开发，实践验证 Nocalhost 能极⼤提⾼开 发的循环反馈效率。 开源与社区共建 Nocalhost ⽬前是 100% 开源的，代码托管在 Github：https://github.com/nocalhost/nocalhost.git，并遵循 Apache-2.0 开源协议，可以免费使⽤。 想了解更多关于 Nocalhost 的信息，欢迎访问官⽹：https://nocalhost

全生命周期API管理-1 服务是从内研发视角来看的，但是对于外部消费者只想找到并集成API而已，并不想了解API背后的运维细节或者需要协调运维能力！API成了一 种可以交易的商品，可以购买增强自己APP的能力，比如在自己APP里显示天气预报数据，从外部去管理应用平台，形成了一种新PaaS组织方式。 BaaS API:数据库接口、 中间件接口外化成API • API门户：消费者可以 根据领域-能力查询到 想要的API。 • 自动生成SDK方便集成。 • 发行计划：向下兼容， 对比发布 • API文档：每一个API有 一个活档，指导集成。 形成市场，能力 互补 全生命周期API管理-2-Azure API Management 配置Http Header， 比如CORS等 定义API或者导入 API 全生命周期API管理-3-Azure API Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布 或者实施与自己 APP的集成。 • API作为产品，可 以给订阅、可以 被交易。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-1 知道 知道的 不知道 不知道的 主动性 被动性 监控 可观察 健康检查

Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 比较，快速发现问题组件，借助积累的供应链资产，可以在快速定位的 同时，推动业务快速修复。 安全左移的一种，在上线前发现依赖组件的安全 问题，快速借助供应链资产库，帮助业务修复问 题。 需要进行大量的安全特征以及资产库的建设或者 三方集成。（涉及业务能力） RASP(运行时安全应 用程序自我保护) 可以看做是IAST的兄弟，RASP通过程序上下文和敏感函数检查行为方式 来阻止攻击，属于一种主动的态势感知和风险隔离技术手段 可以自动化的对非预计风险进行识别和风险隔离 为Mesh打造具备API感知和安全高效的网络层安全解决方案， 克服了Calico SDN安全和性能方面的不足 应用透明，全局管理视角，细粒度安全策略，针 对Node层面构建安全，端到端安全需要和以上安 全方案集成。 说说应用基本依赖的四大件：数据库、存储、中间件和大数据 下单服务 交易支付 支付网关 锁定库存 库存数据库 前台类目 商品查询 BFF 商品数据库 文件存储 logging MQ 交易数据库

2B交付版本的DevOps 2B交付版本的DevOps 第四部分 2B交付版本的DevOps全景图 04. 2B交付版本的DevOps 应⽤研发阶段 应⽤测试阶段 应⽤交付阶段 源码持续集成 业务组件组装 应⽤组件库 运维能⼒组装 （1）组件库获取通⽤能⼒ 多业务系统 隔离开发 （2）发布业务应⽤模型 （提交测试） 版本管理 ⽅案组装 组件共享 （3）获取测试的业务模版版本 SideCar 治理 SideCar 可拔插的治理 应⽤模型运维实践-插件化运维能⼒ 04. 2B交付版本的DevOps 常⽤运维能⼒插件 欢迎关注开源项⽬： https://github.com/goodrain/rainbond 微信 社区钉钉群 云原⽣且易⽤的应⽤管理平台