制品的安全分发(签名、漏洞扫描与安全策略) - 资源清理与垃圾回收 - 构建高可用(HA)制品仓库服务 - Harbor集成与扩展 - 路线图 - 参与贡献Harbor社区 云原生与制品管理 [1] 云原生(cloud-native)技术使组织能够在现代化和动态的环境下（如公有云、私有云 和混合云）构建和运行可扩展的应用程序。云原生典型技术包括容器、服务网络、 微服务、不可变基础设施和声明性API等。 v1.0 by CNCF Harbor基于开源的Notary项目实现镜像的签名（兼容DTR） 制品安全分发-签名 [1] $ export DOCKER_CONTENT_TRUST=1 $ export DOCKER_CONTENT_TRUST_SERVER=https://:4443 制品安全分发-签名 [2] Harbor基于Helm社区支持的GPG实现对Helm V2 chart的签名支持 helm package Operator 1 2 3 来源: https://github.com/goharbor/harbor/blob/master/ROADMAP.md Backup & Restore Windows Containers IAM&RBAC Networking(IPV6) 参与贡献Harbor社区 [1] End User Contributor Maintainer

云原生安全相关标准 序号 标准名称 简要内容 1 云原生安全配 置基线规范 由云安全产业联盟提出并归口，规定了云原生安全配置基线扫描应具备的基 础规范要求。云原生安全配置基线扫描规范要求包括 API Server 安全配置 要求、控制管理器安全配置要求、调度器安全配置要求、工作负载安全配置 要求、 etcd 安全配置要求、 kube-proxy 安全配置要求、 kubelet 安全配 置要求、 CNI 云原生安全威胁分析与能力建设白皮书 27 图 8 针对 k8s 进行攻击的路径分析 2.4.1k8s 组件攻击 攻击点 1 至攻击点 4，罗列了 k8s 各组件的不安全配置可能带来的安全风 险，即 API Server 未授权访问、etcd 未授权访问、kubelet 未授权访问、 kube-proxy 不安全配置。除此之外，还有很多组件都存在着类似的安全问题， 比如 dashboard、Docker 等组件也存在未授权访问的隐患，这些都是 可能存在的横向攻击内容包括攻击 API Server 以及攻击其他服务，如攻击 路径 7、8 所示。 攻 击 API Server ： k8s 集 群 的 pod 和 API Server 通 信 是 通 过 ServiceAccount 的 token 验证身份的，这里存在一个攻击点就是如果 pod 的 ServiceAccount 权限过大，便可以以高权限和 API Server 通信，则有可 能查看

Serverless ？ Serverless / FaaS 领域开源项⽬现状 近年来云原⽣ Serverless 相关领域陆续涌现出了很多优秀的开源项⽬： KEDA、Dapr、Cloud Native Buildpacks（CNB）、Tekton、Shipwright 现有开源 FaaS 项⽬: 绝⼤多数启动较早，⼤部分都在 Knative 出现前就已经存在了 Knative: ⾮常杰出的 不能再以 Docker in docker 的⽅式以 Docker build 构建镜像 还有什么选择？ Function Build 如何在这些⼯具直接进⾏选择和切换？ Cloud Native Buildpacks buildah buildkit kaniko Function Serving 4 种函数调⽤类型（CNCF Serverless ⽩⽪书） Function in/config/bundle.yaml kubectl create secret docker�registry push�secret \ ��docker�server=$REGISTRY_SERVER \ ��docker�username=$REGISTRY_USER \ ��docker�password=$REGISTRY_PASSWORD kubectl

Karmada Controllers K8s API Server Queue Controller Job Controller VG Controller VG API Server Cluster A K8s API Server Cluster B Agent Other Clusters Karmada API Server Volcano Global VG Admission Queue - 依据PodGroup调度 - 最小资源预留（CPU/MEM） - 作业优先级 - 多队列 - 多租户 - 优先级 - 公平调度 - 抢占 - …… More k8s native resource support • 首个Batch调度器 ü 2022年Volcano成为Spark on kubernetes的首个 batch调度器 ü 1.5K Pod/s 的大规模批量任务调度能力

Application Application Read Read Write DB Server User Space File system Data Router&Cache DB Server User Space File system Data Router&Cache DB Server User Space File system Data Router&Cache 中间件和服务以及其他组件一道组成一个完整应用，就像前面说的电商场景，如果服务云原生化了，中间件就成了 短板，这就是云原生领域一个著名的推断：云原生化能力是否落地往往主要影响要素在最短板的那一个-水桶效应。 MCP Server NameServer Citadel Mixer Pliot Galley Injector MQ Broker Envoy MQ Broker Envoy MQ Broker Envoy 大数据团队来做适配，在资源管理的方式，则从适配Yarn修改为适配Kubernetes，总体改造成本比较高；另一方面， 需要在大数据应用的资源申请层面进行改造，使其具备直接向Kubernetes集群申请资源的特性，也称为Native on Kubernetes。目前Apache Spark、Apache Flink已经从框架内核不同程度的支持了该特性，但整体的完整对依赖于社 区的努力。 迁移风险高：一次变更引入的改动越多

不稳定因素 4 环境变化：因安全、流量、故障、环境崩 溃、底层IT变更而变带来的不稳定因素 非云原生：无法对应变 化=稳定性无法保证 云原生：主动对应变化= 稳定性保证 什么是云原生(Cloud Native Computing)->为云而生 只有为云而生的应用才 是云原生应用 2 0 1 9 年 云 原 生 爆 发 成 为 主 攻 方 向 2 0 1 5 年 P i v o t a l 提 出 场选择。通用性才能做到普适 定制化能力，才能成为云原生 的操作系统。 标准化能力-分布式操作系统核心-容器服务-Operator API Server Kubectl Controller Pod,Deploymen t,etc. API Server Kubectl Custom Controller Custom Resource(CR) Operator机制 Pod,Deployment

提供此值，或者该值必须与群 中的其他服务器一致。提供后，Consul将等待指定数量的服务器可用，然后引导群集。这允许自动选 初始领导者。这不能与传统-bootstrap标志一起使用。此标志需要-server模式。 ● -bind：应绑定到内部群集通信的地址。这是群集中所有其他节点都应该可以访问的IP地址。默认 况下，这是“0.0.0.0”，这意味着Consul将绑定到本地计算机上的所有地址，并将 访问可以授予对服务器上的任何令牌以及非服务器上的服务注册期间使用的任何令牌的访问权限。在 于Unix的平台上，文件使用0600权限编写，因此您应确保只有受信任的进程才能与Consul作为同一 户执行。在Windows上，您应确保该目录具有适当的权限，因为这些权限将被继承。 ● datacenter：此标志控制代理程序运行的数据中心。如果未提供，则默认为“dc1”。Consul拥有 多个数据中心的一流支持， 1.2.2及更 版本中可用。 ● -serf-wan-port：收听的Serf WAN端口。这将覆盖默认的Serf WAN端口8302.这在Consul 1.2.2 更高版本中可用。 ● -server：此标志用于控制代理是处于服务器模式还是客户端模式。提供时，代理将充当Consul服 器。每个Consul集群必须至少有一个服务器，理想情况下每个数据中心不得超过5个。所有服务器都 与Raft一

Li Ma 云原生企业级安全的最佳实践 Cloud Native Security Cluster Security • Securing the cluster components that are configurable • Securing the applications which run in the cluster AKS Security Network Security Private Link • East-West Traffic Azure NPM Calico NetworkPolicy Identity Management Access to API server Integrate with Azure Active Directory Identity Management Identity Management Access to other

云原生演进历程 MOSN 简介 — 演进历程 MOSN 从 Service Mesh 技术调研，到产品孵化，历经重重困难，最终通过双 11 规模化验证。借力开源、反哺开 源，进行 Cloud Native 生态融合，在实践的道路上一步步的走向云原生。 2018年3月 MOSN 诞生 支持 Service Mesh 核心支付链路覆 盖 MOSN 宣布独立运营 CNCF landscape External-Proc Extension 适合治理能力已经是一个远程服 务，集成进 Envoy 需要跨进程通信性能低（UDS vs CGO 1KB Latency 差 8 倍)； 需要扩展具备 gRPC server 能力， 多进程管理复杂 MOSN(GoLang) Extension 可复用 MOSN 现有的 filter 能 力，改造成本低；研发效率高， 灵活性高；GoLang 支持的库比 较多（Consul、Redis、Kafka

Segmented
 Stream streamnative.io 基础决定上层：Cloud-Native • State / Scale / Storage https://github.com/apache/pulsar-helm-chart streamnative.io 基础决定上层：Cloud-Native https://streamnative.io/blog/release/2020