敏态IT：敏捷、弹性、灵活 各行业IT应用系统不断丰富与创新 总部 机关 内部员工 分支 机构 内部员工 移动 接入 内部员工/合作伙伴 OA CRM HRM …… BPM MES 稳态IT WEB APP 移动用户 采购 平台 互联网 平台 数字 营销 敏态IT 互联网/物联网应用 创新应用 PC用户 物联网 物联终端 互联网、 大数据 AI、 IoT 数字化转型  应用价值提升 复杂的应用软件架构，在开发、测试、运维 团队之间建成了认知的“墙”，团队间配合效 率低，故障排查慢，阻碍了软件价值的流动 无法满足用户对于业务快速研发、 稳定交付的要求 场景 1 如果生产中一台Web应用服务器故障，恢复这台服务器需要 做哪些事情？ 场景 2 如果应用负载升高/降低，如何及时、按需扩展/收缩所 用资源？ 场景 3 如果业务系统要升级，如何平滑升级？万一升级失败是 否能够自动回滚？整个过程线上业务持续运行不中断。 发现故障 （假死） 创建 新实例 配置 运行环境 部署当前 应用版本 添加 监控 配置 日志采集 测试确认 服务正常运行 实例 加入集群 恢复正常 场景 1 如果生产中一台Web应用服务器故障，恢复这台服务器需要 做哪些事情？ 场景 2 如果应用负载升高/降低，如何及时按需扩展/收缩所用 资源？ 场景 3 如果业务系统要升级，如何平滑升级？万一升级失败是 否能够自动回滚？整个过程线上业务持续运行不中断。

技术 & 计量 计费体系…… 要在AWS上海外交 付？这个我还是第 ⼀次遇到，有谁可 以教教我？ 混合云？这个 ⽹络拓扑是？ ？？ 应用交付问题分析 服务依赖 Database Storage MessageQueue Micro Service ... 组件 • Specification：CPU、Mermory、StorageType （Local/SSD/…）、Stora 还需要有Crossplane跨⼚商的特性 CNBaaS is better CNBaaS Cross Vendor IaC AutoOps BaaS Database MesageQueue Storage Big Data ... Service Lifecycle Multiple Cloud Vendor Service Catalog/Definition Service Provisioining/

标准化能力-承载无忧-E2E云原生纵深安全保障DevSecOps-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 Space File system Data Router&Cache RDMA Read Only Read Only R/W Parallel-Raft Protocol&Storage Serverless Data Chunk Data Chunk Data Chunk • 云原生的本质在于为云这种弹性资源下能够为应用提供 稳定的基础架构，所以云原生数据库相对于传统数据库 最大的不同也在这个方面：弹性

Monitoring & Logging Integrated Enterprise-grade Security Software & Policy driven Network & Storage Microservices z Systems Vulnerability Advisor to prevent risk Middleware, Data, management &

Segment Readers Segmented
 Stream streamnative.io 基础决定上层：Cloud-Native • State / Scale / Storage https://github.com/apache/pulsar-helm-chart streamnative.io 基础决定上层：Cloud-Native https://streamnative

Resources K8s Resources K8s Resources K8s Resources K8s Resources Database Service Cache Service Storage Service 构建高可用(HA)仓库服务 [4] 多数据中心HA部署 与Harbor集成 Restful API • 完善的API • 遵循OpenAPI规范 • 通过Swagger生成调用代码

标准化能力-让管理和运维更轻松-基础设施即代码-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 云原生PaaS建立在更深 层次的软硬件栈中，而 云原生从某种角度而言 是对OS以及以上资源的 抽象！ 所以问题出现了 问一个具体的问题：在成 千个服务器上的K8S自己

运行时安全能力建设...................................................................................53 4.2.1Web 应用和 API 安全...........................................................................54 4.2.2 云原生运行时安全 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企 业 Web 应用程序数据泄露的最常见的攻击媒介，通过攻击 API 来达成攻击目的， 已成为上半年攻防演练中各攻击队最常用的攻击手段之一。 在 5G 核心网和边缘计算方面，容器化的网元和边缘计算平台越来越普遍， 在云原生环境下，上层应用程序对攻击者来说就像是集群的一个入口，攻击 应用程序的目标就是突破入口，拿到业务环境也就是业务所在 pod 的 shell。 攻击点 6 显示的是攻击者利用 Web 服务的漏洞对 pod 发起的攻击。 Web 安全发展这么多年，可利用的漏洞非常之多，比如 Log4j2-RCE 漏洞 （CVE-2021-44228）[12]以及 Spring-RCE 漏洞（CVE-2022-22965）[13]，

微服务治理全链路灰度最佳实践 • 斯凯奇 云原生网关最佳实践 来电 微服务治理全链路灰度最佳实践 app 充电宝设备节点 web 网关 服务注册发现 配置中心 HTTP HTTP HTTP HTTP HTTP 10% 90% web web web服务 Gray 基线版本 用户中心 Dubbo Gray Dubbo 基线版本 RPC RPC 订单中心 app pos web MSE 云原生网关 认证鉴权服务 primweb web 订单中心 促销中心 商品中心 库存中心 渠道中心 用户中心 营销中心 会员中心 日志服务 安全 全链路监控 web服务 ES 云数据库 Rredis 版 RDS 云数据库 POLARDB 微服务中心 限流熔断 消息队列 AHAS ARMS SLS Web应⽤防⽕墙 分布式任务LTS

Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 别系统中存在的已知安全漏洞或者潜在的许可证授权问题。 IAST——API安全检测 doubo fosf://xxx.services.id 网关 nginx doubo java java java web /etc/nginx/conf.d/* ciaapi.dszc-amc.com /etc/nginx/conf.d/* m-crm.dszc-amc.com zczj.dszc-amc fosf://...... Web 部署IAST agent java 部署IAST agent • API用于内部/外部应用可调用的接口，包括 http/https、定制TCP、RPC等协议。 • 微服务架构下，暴露API指数级增加 doubo java 部署IAST agent 其他外部应 用直接访问 a.html 移动APP、 外部Web、 外部服务等 http://C