Cloud Native Application Management and Service Mesh Across Multicloud Guang Ya Liu (liugya@cn.ibm.com) Senior Software Engineer - IBM Cloud Private Kubernetes Member Istio Maintainer Why Multicloud Operational & Application Management IBM Cloud Private 3rd Party Private Clouds 3rd Party Public Clouds IBM Public Cloud Service Mesh Kubernetes Federation V2 Istio Resource Propagation Visibility Security Application Management IBM Cloud Private IBM DevOps Hybrid Cloud Management Enterprise Infrastructure Application Development, Integration, Operations & Management Next Generation Middleware

缺少作业概念、缺少完善的生命周期的管理 • 缺少任务依赖、作业依赖支持 调度策略局限 • 不支持Gang-scheduling、Fair-share scheduling • 不支持多场景的Resource reservation，backfill • 不支持CPU/IO topology based scheduling 领域框架支持不足 • 1:1的operator部署运维复杂 • 不同框架对作业管理、并行计算等要求不通 in Cache by PodGroup Job JobSpec 用户案例：荷兰ING银行大数据平台云原生化改造 • Platform Entry-point • Project Management Data Science in a box (Advanced analytics toolbox) • Data Discovery • Metadata engine • SQL+BI job nodes Resources nodes Resources Queues Jobs run and finish Jobs wait in Queue until resource are ready Jobs run and finish master Queue1 Queue2 QueueN 动态资源共享 • 队列资源预留/队列容量 • 基于权重提供队列间资源共享

Azure NPM Calico NetworkPolicy Identity Management Access to API server Integrate with Azure Active Directory Identity Management Identity Management Access to other Azure service • MSI • Pod

TraitDefinition Application snapshot (v1) 1) 统一从 Definition 中获取 应用工作负载类型和特征。 2) 根据策略按批自动灰度。 K8s Resource 发布单模式--渐进式发布 Application AppRevision v1 AppRevision v2 AppRevision v3 ① 创建 ② 第一次更新 ③ 第二次更新 Application 的更新不 再实际操作资源，只生成版本快照 AppRollout-1 开始 暂停 继续 成功 AppRollout-2 新的发布使用新的发布单对象 K8s Resource v1 -> v2 cluster2 cluster1 面向终态的多版本共存 --渐进式发布 Application AppRevision v1 AppRevision v2 多版本模式下 Application 的更新不 再实际操作资源，只生成版本快照 控制器 循环 Application Deployment K8s Resource v1 K8s Resource v2 K8s Resource v3 指定不同版本的流量配比 多集群部署 ENV 2 ENV 3 ENV 1 更大Scope： 多环境/多集群/多版本 --渐进式发布 AppRevision

"{\"replicaCount\": 2, \"resource\":\"...\"}" green: values: "{\"replicaCount\": 2, \"resource\":\"...\"}" - clusterB: blue: values: "{\"replicaCount\": 2, \"resource\":\"...\"}" canary: values: "{\"replicaCount\": 1, \"resource\":\"...\"}" AdvDeployment： spec: blue: chart: "****:v2" values: "{\"replicaCount\": 2, \"resource\":\"...\"}" green: values: "{\"replicaCount\": 2, \"resource\":\"...\"}"

| Version | Schedule CNBaaS Engine Baseline Custom Resource Component Custom Resource Service Custom Resource Versoin Versoin Cutom Resource CNBaaS Plugins Repository AliCloud Plugin AWS Plugin

Continuous Deployment 持续部署 CI Continuous Integration 持续集成 CIEM Cloud Infrastructure Entitlements Management 云基础设施授权管理 CIS Center for Internet Security 互联网安全中心 CNAPP Cloud-Native Application Protection Central Processing Unit 中央处理器 CSA Cloud Security Alliance 云安全联盟 CSPM Cloud Security Platform Management 云安全平台管理 CSRF Cross Site Request Forgery 跨站请求伪造 CWPP Cloud Workload Protection Platform 云工作负载保护平台 网际互连协议 JWT JSON Web Token JSON Web 令牌 K8s Kubernetes 容器编排引擎 KSPM Kubernetes Security Posture Management Kubernetes 安全态势管理 OT Operational Technology 运营技术 OWASP Open Web Application Security Project

一个活档，指导集成。 形成市场，能力 互补 全生命周期API管理-2-Azure API Management 配置Http Header， 比如CORS等 配置入站协议转 换等 配置后端治理策略 等，比如限流规则 定义API或者导入 API 全生命周期API管理-3-Azure API Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布

Deploymen t,etc. API Server Kubectl Custom Controller Custom Resource(CR) Operator机制 Pod,Deployment, etc Spec (K8s Yaml) Custom Resource Spec (K8S yaml) 通过拓展实现自定义控制器来实现对非标准资源的纳 管，比如数据库的自动拓展能力或者自动化数据同步

Developer: Administrator: docker pull ... docker pull/push ... Project operation & management Settings 提供以项目为单位的逻辑隔离，存储共享 不同角色具有不同的访问权限，可以与其它用户系统集成 配额管理 制品的高效分发-复制 [1] 基于策略的内容复制机制：支