Serverless Kubernetes: Container in Cloud Native Way 阿里云容器服务团队 张维 KUBECON CHINA 2018 应用部署演化： Going native with cloud Virtual Machine/Bare Metal Increasing focus on business logic Decreasing Kubernetes容器服务 - 按照应用使用资源付费 - 无需管理服务器节点 容器调度与编排 经典Kubernetes容器服务 - 按照集群节点数量付费 ECS Pod Pod Pod Pod ECS Pod Pod Pod Pod ECS Pod Pod Pod Pod 经典Kubernetes集群 容器调度与编排 Pod Serverless Kubernetes集群 Serverless Kubernetes vs. 传统Kubernetes集群 Kubernetes + Serverless addon混合集群 容器调度与编排 Pod Pod Pod … Elastic Container Instance (ECI) Pod Pod Node-2 Pod Pod Node-1 Pod

zhangxin@caicloud.io tangjiyuan@caicloud.io 关于我们 • 开源技术创新者 • 从 Kubernetes 到 Kubeflow • Google 原生 Borg 容器团队 • CMU 校友与世界金牌、冠军 • 中国技术社区引领者 • Kubernetes 中文官网组织者 • github.com/kubernetes/kubernetes-docs-cn • Kubeflow Chinese community initiator • 企业级产品与解决方案 • Compass: 打通业务与数据、从数字化到智能化转 型 • Clever: 基于容器的 AI PaaS 平台（AI Devops、资 源管理任务调度） 工业互联网平台 - 制造业大势所趋 • 全球工业互联网平台数量 > 150 国家 研究内容 代表成果 政策扶持 工业互联网综合平台，采用数据流打通与 储 网 络 混合云 监控日志 基础服务 镜像仓库 认证鉴权 资源管理 面向业务开发 CI/CD 微服务 应用商店 面向业务管理 弹性伸缩 API Gateway 负载均衡 应用编排 日志监控 告警 服务发现 API 业务中台 多租户管理 运维中台 云端操作系统 数据中台 面向数据与智能 数据管理 大数据 机器学习 资源管理 深度学习 AI工具 API

的单一版本。磁盘上的捆绑包清单是容器化的，并作为捆绑包镜像提供， 第 第 2 章 章 了解 了解 OPERATOR 7 Operator 捆绑包代表 Operator 的单一版本。磁盘上的捆绑包清单是容器化的，并作为捆绑包镜像提供， 该镜像是一个不可运行的容器镜像，其中存储了 Kubernetes 清单和 Operator 元数据。然后，使用现有容 器工具（如 podman 和 docker）和容器 registry（如 捆绑格式。您可以通过此工具从与软件存储库 类似的 Operator 捆绑包列表中创建和维护 Operator 目录。其结果是一个容器镜像，它可以存储在容器的 registry 中，然后安装到集群中。 目录包含一个指向 Operator 清单内容的指针数据库，可通过在运行容器镜像时提供的已包含 API 进行查 询。在 OpenShift Container Platform 中，Operator Lifecycle 装的内容以及如何创建运行的内容。控制器会监视 API。 常 常见术语 捆绑包（ 包（Bundle） ） 定义要部署到集群的内容的 Kubernetes 清单集合 捆绑包 包镜像 像 在其文件系统中包含捆绑包的容器镜像 捆绑包 包 Git 存 存储库 在目录中包含捆绑包的 Git 存储库 Provisioner 在 Kubernetes 集群上安装和管理内容的控制器 捆绑包部署 包部署 生成捆绑包部署的实例

co-founder & CTO What we did in APISIX V2 02 • 丰富插件 • 70+ 生态丰富 • 开箱即用 • 生态丰富 • 全平台支持 • 裸金属、虚拟、容器、K8s • 全流量 • 开发者友好 • 多语言 Runner • Wasm 插件 • 全球最活跃 API 网关 • 每月一个版本 • 全球最活跃 API 网关 • 每月一个版本 • b o u t APISIX Way == Community Way • 基金会项目 • 安全 • 稳定 • 高性能 • 动态 • 社区活跃 • 云原生架构 • 多语言 • 插件编排 • Loadbalancer • API 网关 • K8s Ingress • 服务网格 全流量 • 多种配置中心 • 智能诊断 易用 全生命周期生态 感谢聆听 THANKS

cpl.thalesgroup.com 挑戰：保護 Kubernetes 環境的應用 程式安全 容器是為服務架構套件配置和軟體相依性的必要元素。 Kubernetes 是用於部署和管理這些容器的開源軟體。 使 用 Kubernetes 可以更快地交付、部署和管理容器化應用 程式，透過可重複使用的模組化元件提高效率、優化資源利 用和降低授權費用以節省成本。 然而還是存在各種風險： • 特權用戶濫用 種 風險。如果管理員能夠不受限制的存取容器映像和其中 儲存的資料，則企業可能遭受針對特權層級的攻擊。 • 跨容器存取 - 不當的權限配置可能造成多個容器存取應 該保持隱私的機敏資料。此外，當容器被託管在共享的 虛擬化或雲端環境中，關鍵資訊可能會暴露給第三方。 • 合規風險 - 許多合規性要求有嚴格的存取控制與稽查規 範。然而，許多資安團隊在管理和追蹤容器與映像內留 存資料，控制權受到限制。因此，這些資安團隊發現很 Encryption for Kubernetes 提供用於加密、存取控制和資料存取日誌記錄的容器內核 功能，使企業能夠對Kubernetes 環境中的資料建立堅實 穩固的防護。 透過 CipherTrust Transparent Encrypton 的擴展，資料保護可以在每個容器的基礎上應用，兼具保 護容器的內部資料，以及經過容器存取的外部儲存資料， 都統一經由 CipherTrust Manager 集中管理。

istio-cni-node，以匹配上游 Istio 中的名称。 1.2.2.4.5. Envoy sidecar 网络更改 Istio 1.10 更新了 Envoy，默认使用 eth0 而不是 lo 将流量发送到应用程序容器。 1.2.2.4.6. Service Mesh Control Plane 1.1 对于所有平台，此发行版本结束了对基于 Service Mesh 1.1 的 Service Mesh Control Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 要启用这个功能，请在 ServiceMeshControlPlane 中为 Istiod 容器设置以下环境变量： 使用 SameNamespace 或 All 设置在 Gateway API 监听器上限制路由附加功能可能。Istio 会忽略 listeners.allowedRoutes Istio 兼容性和支持列表 功能 功能 Istio 版本 版本 支持状 支持状态 态 描述 描述 holdApplica tionUntilPro xyStarts 1.7 TP 阻止应用程序容器启动，直到代理正在运行 DNS 捕获 1.8 GA 默认启用 1.2.4. 弃用和删除的功能 之前版本中的一些功能已被弃用或删除。 弃用的功能仍然包含在 OpenShift Container

Service YAML 文件 代码、应用、CICD 流水线 容器 Pod Controller 调度 Node Sidecar CNI CSI 研发都要做 Kubernetes 专家？ Kubernetes 构建 Platform on Kubernetes 控制器 各种各样的控制器（Controller） 容器 虚拟机 负载均衡 数据库 安全服务 网络 存储 Pod Deployment Deployment Service Node Custom Resource 一组容器 一组 Pod 副本 Pod 的访问入口 节点 自定义对象 声明式 API 对象 基础设施层能力 业务运维 平台工程师 业务研发 扩容策略 发布策略 分批策略 访问控制 流量配置 应用管理平台 （Openshift、Cloudfoundry、阿里内部、腾讯内部 …） 应用 CI/CD 流水线 K8s kubectl get components NAME WORKLOAD frontend deployment.apps.k8s.io Component：应用中的一个组成部分，例如容器、 Function或者云服务等 应用组件 运维能力 扩容策略 发布策略 分批策略 访问控制 流量配置 Deployment Function - componentName: frontend

日历相关函数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 8.4 collections --- 容器数据类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 8.4.1 ChainMap 对象 . . . . . . . . . . . . . . . . . . . 224 8.5 collections.abc --- 容器的抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 8.5.1 容器抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . dict(mapping, **kwarg) class dict(iterable, **kwarg) 创建一个新的字典。dict 对象是一个字典类。参见dict 和映射类型 --- dict 了解这个类。 其他容器类型，请参见内置的list、set 和tuple 类，以及collections 模块。 dir([object]) 如果没有实参，则返回当前本地作用域中的名称列表。如果有实参，它会尝试返回该对象的有效属

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 8.4 collections --- 容器数据类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 8.4.1 ChainMap 对象 . . . . . . . . . . . . . . . . 238 8.5 collections.abc --- 容器的抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 8.5.1 容器抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . dict(mapping, **kwarg) class dict(iterable, **kwarg) 创建一个新的字典。dict 对象是一个字典类。参见dict 和映射类型 --- dict 了解这个类。 其他容器类型，请参见内置的list、set 和tuple 类，以及collections 模块。 dir([object]) 如果没有实参，则返回当前本地作用域中的名称列表。如果有实参，它会尝试返回该对象的有效属性

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 8.4 collections --- 容器数据类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 8.4.1 ChainMap 对象 . . . . . . . . . . . . . . . . . 253 8.5 collections.abc --- 容器的抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 8.5.1 容器抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 对象是一个字典类。参见dict 和映射类型 --- dict 了解这个类。 12 Chapter 2. 内置函数 The Python Library Reference, 发行版本 3.13.0 其他容器类型，请参见内置的list、set 和tuple 类，以及collections 模块。 dir() dir(object) 如果没有实参，则返回当前本地作用域中的名称列表。如果有实参，它会尝试返回该对象的有效属