管理方法，而IaC借助了软件开发中的代码管理经验，通过代码描述基础设施的配 置及变更，再执行代码完成配置和变更。 K8S OS DB F5 路由器 防火墙 .... Ansible Salt Chef Pupet 实际上云原生平台自己也采用了IaC来管理应用， 比如K8S的Yaml，这种方式有利于隔离实现细节。 ITIL 需要具体学习不同软 硬件的知识才能管理 只需要写IaC声明性代码来管 标准化能力-让管理和运维更轻松-基础设施即代码-3-实例 IaC作为胶水，可以将对物理资源的运维直接透出到DevOps-CICD中，可以对底层资源进行云原生式的管理 DevOps是一种文化，使 得研发更加向生产环境 拉进，对于底层资源的 管理，IaC化后，也可以 将其纳入到DevOps体系 里面来，所以DevOps的 边界存在于整体堆栈之 中，而不仅仅就是微服 务领域。 IaC化后，甚至我们把与 云原生对齐的配置也渗

运维各不同相同， 并且云产品规格繁多难以选 择。 3. 交付环境复杂，交付效率低下，难以规模化复 制，并且对交付人员要求高，人员成本上升 来看看社区的解法 Terraform优势 • IaC：⾯向终态IaC⽅式的云资源编排。 ⽅便GitOps集成，DevOps⾃动化容易。 • ⽣态：强⼤的社区Provider Plugins⽣ 态⼒量 Crossplane优势 • Kubernetes：使⽤Kubernetes 云服务⽆跨⼚商规范标准。 Crossplane不⾜之处 • 概念复杂，扩展不易。 CNBaaS既需要Terraform IaC架构的简洁强⼤ 还需要有Crossplane跨⼚商的特性 CNBaaS is better CNBaaS Cross Vendor IaC AutoOps BaaS Database MesageQueue Storage Big Data ... Service adapter Service Binding/Consumer Service Runtime/Service Mesh & Dapr Service Reclaim Service Devops IaC (hcl / cuelang) AutoOps Service Upgradle Service Monitoring … CNBaaS：我们致力于站在面向业务应用友好的角 度，在云厂商之上，统一定义和管理Backend

云基础设施安全主要从基础设施即代码（IaC）安全、权限管理（CIEM） 和云原生安全态势管理（KSPM）三个层面进行安全能力的构建，如图 21 所示。 通过基础设施配置、容器云安全态势、权限等安全能力建设，确保基础设施的配 置安全，强化访问控制、身份验证和授权机制，以及监测和响应威胁，从而确保 基础设施的安全。 图 21 基础设施安全能力建设 4.3.1 基础设施即代码安全 IAC 使得在云原生环境下，可以使用配置文件对 基础设施进行统一管理， 极大的解决了原有 IT 基础设施管理成本高、扩展性弱、可见性不强、配置不一 致等问题。云原生环境下常见的 IAC 文件主要包括 DockerFile、manifests、 Helm Charts 等配置文件，不当的配置可能会暴漏安全问题。 组织需针对此些 IAC 文件的风险，建立能够适应自身的检测规则，并形成 云原生安全威胁分析与能力建设白皮书 60 可视化管理能力。 4 Operation 开发、运营 DevSecO ps Development Security Operation 开发、安全、运营 DoS Denial of Service 拒绝服务 IaC Infrastructure-as-Code 基础设施即代码 IAST Interactive Application Security Testing 交互式应用安全测试 IP Internet

依赖于某一种微服 务框架，可能其服 务治理能力不全、 只能绑定在一种语 言进行研发、升级 怎么办？ 1 2 • 第二个困难已经被Mesh技术架构解决了 • 第一个困难就需要为研发用户提供高级抽象-IaC 抽象成虚拟服务和目标规则这两种声明性API(Yaml),使得配置非 常形象易懂，并且彻底将左侧需要了解的细节进行了屏蔽和简化， 只需要学习规则，而不需要了解下面很多种实现，大大降低了使 用者的难度，并实现了版本化能力