无法使用/对接云资源。 3. 发布能力缺失，使用 helm upgrade 没有灰度 能力。 Helm Chart 基于 CRD 自定义实现 需要大量 K8s 经验才能开发 某游戏公司自定义workload Pinterest 构建一个渐进式发布能力需要解决哪些 问题？ • 版本化 • 分批发布 • 滚动发布/原地发布 • 发布暂停 • 发布回滚 • 日志监控 • 健康检查 • 多版本部署 • ● 立刻就可以在 Application 中定义一个新的字段 metrics ● 无需系统更新或重启 Platform Builder 模型层能力注册 KubeVela 为什么能对不同 Workload 做统一发布？ 工作负载类型 ① 统一 类型注册和识别 健康检查 ② 统一 状态检查和回流 发布模式 ③ 统一 发布方式 资源模板 ④ 统一 抽象方式 KubeVela 中的渐进式发布实践 Application Helm Controller Database Rollout Controller Revision Manager Multi-env Deployment Controller Dependency Manager KubeVela 的整体架构 BaaS 阿里巴巴的应用管理实践 电商 PaaS 应用交付平台 AI PaaS 应用管理服务 Kubernetes

environments or connecting cloud and on-premises environments. qUnique Needs You can run each workload where it performs best, for the lowest cost. qLegacy Apps You can avoid the pain of migrating to Diversify You can avoid vendor lock-in and latency while creating redundancy. IBM Multicloud Manager SCLABALE RESILIENT MULTI-VERSION ��� AI-based interaction- Watson Conversation, SlackBot …. Architectures & Best Practices Core Services Apache Open Whisk Demo Time IBM Multicloud Manager Demo IBM in KubeCon Keynote Speech Breakout Sessions Private Meeting Room l Brad Book l Tea

但是强烈依赖于K8S这种 容器调度系统，无法做到通用化， 所以客户必须要求先做针对K8S的 应用改造。 K8S没有应用概念，用户面对的是Workload和Pod这样的概念，以及对应的运维概念（比如 HPA),在层次上是靠近对资源的抽象治理层面，对于业务研发人员而言是不友好的。应用 =Workload+运维特性+.......多种东西的集成，也无法在应用级别上进行管理。 ISV研发团队 标准化能力-微服务PAAS-OAM-万花筒PAAS-2

作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 RASP应用安全、数据安全、态势感知与风险隔离 由于云原生托管的应用是碎片化的，环境变化也是碎片化的，而且其业务类型越来越多，比如已经延展到边

CSPM Cloud Security Platform Management 云安全平台管理 CSRF Cross Site Request Forgery 跨站请求伪造 CWPP Cloud Workload Protection Platform 云工作负载保护平台 云原生安全威胁分析与能力建设白皮书 65 DAST Dynamic Application Security Testing ty-book/tree/main/code/0403-CVE-2018-1002105 [28] k8s API. https://k8s.io/zh-cn/docs/reference/k8s-api/workload-resources/pod-v 1 [29] CVE-2020-8595 Detail. https://nvd.nist.gov/vuln/detail/CVE-2020-8595

⾯向交付的应⽤模型 03. ⾯向交付的应⽤模型 Container Network Volume Device Pod Template Ingress ServiceMonitor Logger Workload Type/ Controller Type 能⼒模型 平台开发者/运维 应⽤模型 业务员开发者 容器模型 K8S模型 业务组件 业务组件 业务组件 流量治理 服务治理 运维能⼒

CPU CPU CPU CPU CPU CPU CPU Queue2 is empty. Q1 can borrow resources from Queue2. Queue2 has workload, it will reclaim resources from Queue1. capacity Queue guarantee …… Spark首个Batch调度器 SPARK-36057:

岒剱翍 岒剱翍 岒剱翍 屙聚 192.168.0.0/24 屙聚 192.168.1.0/24 ACL ACL 軸瘺 VPC供腝 峂坱 On VM 鋐韏坱 VPC 192.168.0.0/16 Workload 鋐韏坱 峂坱 On VM 鋐韏坱 創栒侚 伜栒聚翥 ESXi 鋐韏坱 KVM 鋐韏坱 峂坱 鋐韏坱 Region X事佄呃壨 AZ 1 NoC〦SoC〦娰晹摷郙翽〦伣 厪匏梙廮劀〦IT岪貪彼哹籒

平台侧自身复杂度变高， 监控难度加大 从 Kubernetes 架构来 看要监控的组件 Kubernetes架构 l 服务端组件，控制面：API Server、Scheduler、 Controller-Manager、ETCD l 工作负载节点，最核心就是监控Pod容器和节点本 身，也要关注 kubelet 和 kube-proxy l 业务程序，即部署在容器中的业务程序的监控，这 个其实是最重要的 随着 Kubernetes Pod的数量，gauge类型 • kubelet_running_containers：运行的容器的数量，gauge类型， container_state标签来区分容器状态 • volume_manager_total_volumes：volume的数量，gauge类型，state标签用 于区分是actual还是desired • kubelet_runtime_operations_total： controller-manager的监控 • controller-manager 通过 /metrics 接口暴露监控数据， 直接拉取即可 • controller-manager 在 Kubernetes 架构中，是负责监听 对象状态，并与期望状态做对比，如果状态不一致则进行 调谐，重点关注的是各个controller的运行情况，比如任 务数量，队列深度 • controller-manager出问题的概率相对较小，进程层面没

MoE 整体架构 MoE 功能职责 MoE TraceID 事例分析 MoE 方案优势 MoE 方案介绍 — 整体架构 GoLang L7 extension filter shim manager Stream filter Router X-protocol Proxy Metrics Config MDiscovery Admin MOSN On High Performance • 复用 L4/L7 filter • 复用 Cluster LB • 复用 State 统计 Proxy-golang 扩展能力 • Proxy-golang API • Filter manager MoE 方案介绍 — TraceID 事例 Other http filter AntVip/Pilot Trace ID filter Other http filter(via GoLang) GoLang) Header to metadata http filter Router http filter Cluster subset LB Cluster Manager/xDS Discovery 1 2 4 1 2 Envoy MOSN Data flow Control flow GoLang L7 extension SDK GoLang L7 extension