VMware, Inc. 5 ​但是....  您知道所謂 “安全”的“標準”是什麼?  這些“標準”涵蓋範圍夠嗎? 足夠讓我們安心推上生產嗎?  我們具體該怎麼做來強化安全?  我們怎麼知道我們做強化安全以後有滿足這個標準...還是這些標準?  我們該如何確保安全性在未來開發/維運一直維持達標?  我們如何用最低的負荷與最快的速度完成上述任務? 隨便Goog 控制措施 如何查核 如何查核 參考資訊 預設配置 原因理由 如何查核 1. 控制平面元件 (Control Plane Components) 2. etcd 狀態資料庫 3. 控制平面設置 (Control Plane Configuration) 4. 工作節點 (Worker Node) 5. 政策 (Policies) ©2019 VMware 16 PKS內的NSX-T提供了可外部設定的分散式防火牆與視覺化工具 Kubernetes的網路政策只能規範容器，無法規範虛擬機與實體機，也無法看見資料流 PKS的 NSX-T可提供: 容器-容器之間, 或者 容器-虛擬機之間, 或 容器-實體機之間 虛擬機-虛擬機之間 虛擬機-實體機之間 資料流與封包都提供 標準防火牆管控與 完整的視覺化能見度! ©2019

第1 章 Kubernetes 入門 1.1 Kubernetes 是什麼？ Kubernetes 是什麼？ 首先，它是一個全新的基於容器技術的分散式架構解決方案。這個方案雖然還很 新，但它是 Google 十幾年來大規模應用容器技術的經驗累積和演進的一個重要成 果。確切地說，Kubernetes 是 Google 嚴格保密十幾年的秘密武器——Borg 的開源 專案版本。Borg 是 久負盛名的一個內部使用的大規模叢集管理系統，它基 於容器技術，目的是實現資源管理的自動化，以及跨多個資料中心的資源利用率最 大化。十幾年來，Google 一直透過 Borg 系統管理著數量龐大的叢集式應用系統。 由於 Google 員工都簽署了保密協議，即便離職也不能洩露 Borg 的內部設計，所 以外界一直無法瞭解它的相關資訊。直到 2015 年 4 月，傳聞許久的 Borg 論文伴 隨著 第三條規則 圖 2.23 四種掛接點的規則表 當 Linux 協定堆疊的資料處理執行到掛載節點時，它會依序呼叫掛接點上所有的 hook 函數，直到資料封包的處理結果是確定地接收或拒絕。 2 處理規則 每個規則的特性皆分為以下幾部分： ~ 表類型（準備做什麼事情？）； ~ 何種掛接點（何時發揮作用？）； ~ 比對的參數是什麼（針對何種類型的資料封包？）； ~ 比對後有什麼動作（比對後具體的處理是什麼？）。

OpenShift Container Platform 4.14 分布式追踪 分布式追踪安装、使用与发行注记 Last Updated: 2024-02-23 OpenShift Container Platform 4.14 分布式追踪 分布式追踪安装、使用与发行注记 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text of and are the property of their respective owners. 摘要 摘要 本文档提供了有关如何在 OpenShift Container Platform 中使用分布式追踪的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 记 1.1. RED HAT OPENSHIFT DISTRIBUTED TRACING PLATFORM 3.0 发行注记 1.2. RED HAT OPENSHIFT

OpenShift Container Platform 4.6 分布式追踪 分布式追踪安装、使用与发行注记 Last Updated: 2023-02-27 OpenShift Container Platform 4.6 分布式追踪 分布式追踪安装、使用与发行注记 Enter your first name here. Enter your surname here. Enter your are the property of their respective owners. 摘要 摘要 本文档提供了有关如何在 OpenShift Container Platform 中使用分布式追踪的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 记 1.1. 分布式追踪概述 1.2. 让开源更具包容性 1.3. 获取支持 1.4. 新功能及功能增强 1.4.1. Red Hat OpenShift distributed tracing

因為這個題目其實包山包海，所以我們今天只把焦點放在 Hadoop 身上。 3 / 74 前情提要 4 / 74 由創建 Lucene 與 Nutch 的 Doug Cutting 主導開發 Lucene 是個全文檢索的程式 庫，Nutch 是個搜尋引擎 依循著 Google 2003/2004 年發表的論文來開發 2006 年從 Nutch 獨立出來， 稱為 Hadoop Hadoop 是 Doug 兒子黃色大象 玩偶的名稱 回應過的留言 ... 再來一下交叉比對： 基本資料 歷史購物記錄 ... Hadoop 是 Big Data 的好朋友 7 / 74 Hadoop + Big Data 的預測 然後就可以寄更精準的型錄給你(女兒)！ 8 / 74 Hadoop + Big Data 的分析 然後一堆書(作者)就被打臉了！ 9 / 74 1. Submit Job 2. JT 分派 Task 給 TT MapReduce 演化成 Data Processing Platform 之後，改善 Hive 的效能 滿足 Interactive Query 與 PB-Scale Processing 的需求 三大目標： Speed：比 Hive 10 快 100 倍 Scale：撐的下 TB 到 PB 等級的資料 SQL Compatibility：最廣泛的 SQL 語法支援 13 個月內一共有來自 44 家公司

Ozone：Hadoop 原生分布式对象存储 Spark大数据博客 - https://www.iteblog.com Ozone：Hadoop 原生分布式对象存储 Hadoop 社区推出了新一代分布式Key-value对象存储系统 Ozone，同时提供对象和文件访问的接 口，从构架上解决了长久以来困扰HDFS的小文件问题。本文作为Ozone系列文章的第一篇，抛个 砖，介绍Ozone的产生背景，主要架构和功能。 有非常多的小文件，HDFS的元数据访问性能会受到影响。虽然可以通过各种Federation技术来扩 展集群的节点规模， 但单个HDFS集群仍然没法很好的解决小文件的限制。 基于这些背景，Hadoop 社区推出了新的分布式存储系统 Ozone，从构架上解决这个问题。 Ozone的设计原则 Ozone 由一群对大规模Hadoop集群有着丰富运维和管理经验的工程师和构架师设计和实现。他 们对大数据有深刻的洞察力，清楚的 终影响了Ozone的设 计和实现。Ozone的设计遵循一下原则： 1 / 10 Ozone：Hadoop 原生分布式对象存储 Spark大数据博客 - https://www.iteblog.com 强一致性 构架简洁性： 当系统出现问题时，一个简单的架构更容易定位，也容易调试。Ozone尽可能的保持架构 的

K u b e r n e t e s 的 挑 戰 8 Click to edit Master title style 9 Kubernetes Day2 Ops 要作那些事? • 集群標準化和生命週期管理 • 安全訪問和環境隔離 • 維運可觀察性和流程透通性 • 治理與合規 • 持續第三方元件整合和維護 9 Ref. Use Platform Engineering to 括幫助公司了解其成本、優化資源 利用率並最終降低總體成本的工具。 Click to edit Master title style 13 GitOps 痛苦x甜密 • 有能力記錄叢集環境上的一切變化 • 使用宣告式(Declarative)的文件格式 來描述或是設定環境上要用到的所有 資源 • 所有的環境變化都可支援審核機制， 要通過審核才會往下運作 • 權限控管，控制誰有能力去對環境資 源進行更改 Operator 的目標是將 operation 知識 放入軟件中 • Operator 運行在 Kubernetes 集群內 並根據宣告式 (Declarative) 的 CRD 文件來自動化常見的 Day 1和 Day2 的活動。 15 Click to edit Master title style 16 Kube-Prometheus-stack 一站式可觀測性百寶箱 16

Service Mesh Meetup #4 上海站 蚂蚁金服Service Mesh 渐进式迁移方案 2018.11.25 敖小剑 @ 蚂蚁金服 中间件 龙轼 @UC 基础研发部1 Service Mesh演进路线 1 2 实现平滑迁移的关键 3 DNS寻址方案的演进 4 5 总结 DNS寻址方案的后续规划ü 对未来长期目标的认可 • Service Mesh（带控制平面，如Istio） 序列化 链路追踪 故障注入 日志 监控 Metrics 熔断 限流 服务降级 前置条件检查 身份认证 密钥管理 访问控制 …… 下沉到 Service Mesh 轻量级客户端 传统 侵入式 客户端 客户端应该尽可能的轻薄通用: 实现简单，方便跨语言，减少升级可能 最简单，最通用，支持最广 泛的寻址方式方式是什么？ 基于服务 发现的寻 址方式ü DNS寻址 • 支持度最好，使用最普遍

Kubernetes已經成為管理容器化工作負載和服務的頂尖開放原始碼平台，不過 Kubernetes生態系統既龐大又複雜，不但有許多不同版本的Kubernetes可供選 擇，此外也難以瞭解哪種版本最適合組織的特定需求。 本白皮書的目標是因應這項挑戰，提供撰寫本文時Kubernetes版圖的當下狀態， 並比較三種企業級的Kubernetes發行版本，分別是Canonical Kubernetes、 Red Hat OpenShift及SUSE Kubernetes或 OpenShift相同程度的生命週期自動化。 3. 高可用性 高可用度有助於盡量減少停機時間，並達到最高的可靠度及生產力，因此是所 有主要 Kubernetes 解決方案的標準特性。Canonical Kubernetes、Rancher 及OpenShift均提供高可用度叢集。 4. 叢集升級 由於每季都有新的Kubernetes版本，企業務必要確保解決方案具有可靠的升級策 為 Containerd、Kata Containers及CRI-O。 Containerd是高階容器執行階段，可管理完整的容器生命週期，提供簡易性、強健 性及可攜性。Containerd可視為業界標準的容器執行階段，也是上游Kubernetes 的預設選項。Canonical Kubernetes及Rancher均支援Containerd。 Kata Containers以安全性為重，將容器置於輕量級VM之中，在容器之間提供更深