Nocalhost - 重新定义云原⽣开发环境.md 2021/1/20 1 / 7 Nocalhost - 重新定义云原⽣开发环境 前⾔ 随着业务的快速发展，技术部⻔的组织架构在横向及纵向不断扩⼤和调整，与此同时，企业的⽣产资料：应 ⽤系统，也变得越来越庞⼤。为了让应⽤系统适配企业组织架构的调整，梳理组织架构对于应⽤权责的边 界，⼤部分组织会选择使⽤“微服务”架构来对应⽤系统进⾏横向拆分，使得应⽤系统的维护边界适配组织架 ，不得不将所 有依赖的服务都启动起来。随着微服务数量的增加，开发应⽤所需要的本地资源越来越多，最终导致本地⽆ 法满⾜开发的配置需求。 云原⽣解放了部署和运维，开发呢？ Nocalhost - 重新定义云原⽣开发环境.md 2021/1/20 2 / 7 云原⽣和 Kubernetes 的普及，进⼀步屏蔽了“微服务”应⽤的复杂度，这主要体现在部署和运维阶段。 为了解决微服务应⽤在开发、测试和⽣产阶 Nocalhost - 重新定义云原⽣开发环境 Nocalhost 是⼀个云原⽣开发环境，希望让开发云原⽣应⽤像开发单体应⽤原始⼜简单。 Nocalhost 重新梳理了开发过程所涉及到的⻆⾊和资源： 团队管理⼈员 Nocalhost - 重新定义云原⽣开发环境.md 2021/1/20 3 / 7 开发者 应⽤ 集群 开发空间 通过对这些⻆⾊和资源的重新整合，Nocalhost 重新定义了云原⽣开发环境，并带来了全新的云原⽣开发体

带给你“一份应用需求定义，到处交付” 的 云原生应用交付体验 Photo 王国东(骁奕) 技术专家 阿里云 张健川(聪言) 技术专家 阿里云 王国东(骁奕) One Definition, Deliver Anywhere 交付同学的烦恼 !"#$A 我们还是个创业公司运维 经验少，产品所有依赖的中 间件服务资源都想⽤阿⾥公 共云上的 %&#$B 我们⾃⼰的商业经营数据 (hcl / cuelang) AutoOps Service Upgradle Service Monitoring … CNBaaS：我们致力于站在面向业务应用友好的角 度，在云厂商之上，统一定义和管理Backend Service。 云产品 规格自 动匹配 服务自 适配云 厂商 服务支 持多种 生产方 式 CNBaaS使命 One definition can be delivered 读写IOPS能力达到1W+ 面向用户友好的声明服务 Service Spec Component-oriented extension On-Premise OnCloud 云原生IaC方式定义服务 传统云上白屏化运维方式: 繁杂的手动操作，且无法快速复制 CNBaaS 可基于Cue语法，声明服务基础信息 以及组件扩展信息，支持最优规格匹配 自适配云组件配置&规格 声明式 服务规格需求

资源模型定义 模型使⽤定义 模型驱动器 模型关联 抽象化 申明式 ⽣命周期 上下游联动 按照云原⽣技术规范设计研发的业务应⽤，覆盖了应⽤ 运维、交付等层⾯的要求。 云原⽣应⽤ 云原⽣应⽤定义 02. 云原⽣与云原⽣应⽤ ⾯向开发 单个服务 云原⽣ 12 因素应⽤规范 基础规范 云原⽣应⽤定义 02. 云原⽣与云原⽣应⽤ ⾯向交付的 “三级” 云原⽣应⽤定义 L1: （6）基础可观测性 L2: 具备远程交付能⼒ （1）完全的模版化定义 （2）模版⾃动实例化 （3）数据⾃动初始化 （4）业务⾼容错性 （5）业务⾼可⽤性 L3: 具备持续升级能⼒ （1）⾼容错化数据升级 （2）⾼容错化版本升级 （3）版本可回滚 （4）业务⾼观测性 ⾯向交付的应⽤模型 第三部分 K8S资源的模型定义 03. ⾯向交付的应⽤模型 Deployment Pod Controller Type 能⼒模型 平台开发者/运维 应⽤模型 业务员开发者 容器模型 K8S模型 业务组件 业务组件 业务组件 流量治理 服务治理 运维能⼒ 应⽤ 应⽤模型定义⽤例 03. ⾯向交付的应⽤模型 应⽤模型 PaaS平台 Kubernetes模型 K8S控制器 其他资源资源模型 逐级封装，向上透明 Application ComponentDefinition

黑盒，不明确内部有哪些 资源。 2. 无法使用/对接云资源。 3. 发布能力缺失，使用 helm upgrade 没有灰度 能力。 Helm Chart 基于 CRD 自定义实现 需要大量 K8s 经验才能开发 某游戏公司自定义workload Pinterest 构建一个渐进式发布能力需要解决哪些 问题？ • 版本化 • 分批发布 • 滚动发布/原地发布 • 发布暂停 • 发布回滚 • 日志监控 编写一个 K8s 能力描述文件 metrics.yaml 平台管理员： ● 执行 $ kubectl apply -f metrics.yaml 用户： ● 立刻就可以在 Application 中定义一个新的字段 metrics ● 无需系统更新或重启 Platform Builder 模型层能力注册 KubeVela 为什么能对不同 Workload 做统一发布？ 工作负载类型 ① 统一 类型注册和识别 健康检查 ② 统一 状态检查和回流 发布模式 ③ 统一 发布方式 资源模板 ④ 统一 抽象方式 KubeVela 中的渐进式发布实践 第三部分 面向终态模式--渐进式发布 发布策略定义 Application AppRevision v1 AppRevision v2 AppRevision v3 ① 创建 ② 第一次更新 ③ 第二次更新 控制器 循环 发布完毕

配置Http Header， 比如CORS等 配置入站协议转 换等 配置后端治理策略 等，比如限流规则 定义API或者导入 API 全生命周期API管理-3-Azure API Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布 或者实施与自己 APP的集成。 • API作为产品，可 以给订阅、可以 被交易。 标准化能力 监控告警 弹性扩缩容 高可用 负载均衡 客户环境 • 关注点分离：开发者关注应用本身，运维人员关注模块化运维 能力，让应用管理变得更轻松、应用交付变得更可控； • 平台无关与高可扩展：应用定义与平台层实现解耦，应用描述 支持任意扩展和跨环境实现； • 模块化应用运维特征：可以自由组合和支持模块化实现的运维 特征描述。 • Components：在 OAM 中，“应用”是由多个概念共同组合而成。第一个概念是： 排一切并不是容易的事情，通常一个应用，除了本身的容器之外还有许 多的依赖，常见的依赖有RDS，LB，MNS（SNS，SQS）等这类非容器资源。OAM在使用一体的“编排”语言即可将容器资源和非容器资源定义在一起。 比如要使用AWS的块存储 后续如果某个应用需要存储，可以直接引用。 而不需要关心底层到底是如何管理存储的。 OAM让应用本身从研发 的视角来声明“我是谁”、 “我要使用什么样的云 服务”，至于背后的实

上⾯面的命令会启动全部的3个服务，其中也包括了了 addedvalues 服务的版本v1. 定义 Ingress gateway 1 kubectl apply -f gateway.yaml 确认所有的服务和 Pod 都已经正确的定义和启动 确认所有的服务已经正确的定义和启动 1 kubectl get services 确认所有的Pod 都已经正确的定义和启动 1 kubectl get pods 确认⽹网关创建完成

件形式开发，保证代码的可复用性与质量 配置分级展现 把复杂配置独立成高级选择，并设置默认值， 并在复杂项给出有效帮助 自定义组件 编写大量自定义小组件，比如cmdb设置，时 间设置等组件提高用户体验，尽量减少直接填 文本 前后端强类型 前端采用基于ts 的angular开发所有数据定义 与后端golang数据保持强一致，保证数据一致 性 15 多ES搜索编排系统 提供多ES多索引搜索编排功能，帮助 Golang、Iris、Consul、微服务化设计、 Pongo2模板管理 配置 Consul、Elasticsearch Agent Golang、ELK beats、Logstash、LXC资源管 控、 Consul、其他自定义插件 前端 Agent 后台 配置 Pongo2 23 谢谢大家！

version env group owner stage commitId deployId ... 网络资源 VPC 子网 CIDR IP地址 NATGW ALB … ~30种资源标签，100+自定义微服务标签 理解云网络，自动标记端到端数据标签 Labels 自动同步云API、K8s apiserver DeepFlow support list 主机名、IP地址、VPC/隧道ID、对等连接、NAT/LB • 不存储自定义标签：K8s label env=prod zone=ZoneA releaseVer sion=12 deployType =canary group=iot owner=xian gyang …… 看云网更清晰 Simplify the growing complexity. Stage-3：查询时的编、解码 • Querier编码自定义标签的Filter和Group查询请求

通过将IAST集成到CI/CD流水线，在测试环境的构建过程中自动部署IAST检测逻辑，可以实现与功能测试同步进行的自动化 安全测试，给出漏洞的实际触发路径并提供实际可落地的修复建议。根据需求阶段提出的安全设计方案，配置IAST中的自定义规 则，基于IAST的扫描结果可以实现安全需求设计的闭环管理，大幅减少安全漏洞，有效降低风险暴露时间。 程 序 源 码 程 序 目 标 码 （ 插 桩 后 ） 平 台 机 器 码 应 用 业务 镜像 扫描 容器 控制 台 镜像仓库 集群一 集群二 拉取运行 拉取运行 深度扫描 深度扫描 • 检测维度丰富，包括漏洞、软件许可、恶 意文件、敏感信息等 • 策略可深度自定义 • 自动生成评分，对安全进行评级 • 提供整体修复建议 安全运营-容器入侵检测 未 知 威 胁 监 控 风险事件列表 容器内行为 实时监控 产生 告警处置 人工安全标记 响应处置 木马病毒上传 恶意命令执行 容器逃逸 其他风险策略 已 知 威 胁 监 控 进程 网络连接 系统调用 文件 配置 安全容器模型 在业务上线后，容器安全工具基于内置检测规则+行为学习+自定义策略，多维度保障容器运行时的安全。 已知威胁方面，通过丰富的内置安全策略，对业务容器行为进行实时监测，及时发现风险。 未知威胁方面，通过对业务容器行为进行学习建模，感知业务行为偏离，发现未知风险。并提供隔离、暂停、重启等处置能力。

向微服务架构、自服务敏捷架构、基于 API 的协作和抗脆弱性。同一年，Google 作为发起方成立 CNCF，指出云原生应该包括容器化封装、自动化管理、面向 微服务。到了 2018 年，CNCF 又更新了云原生的定义，把服务网格和声明式 API 给加了进来。后来，随着云计算的不断发展，云原生的簇拥者越来越多，这 一体系在反复的修正与探索中逐渐成熟。VMware 关于云原生的介绍提出了四 个核心要点，包括 全等，应用于云原生环境，构建安全的云原生系统； （2）安全产品具有云原生的新特性，如轻/快/不变的基础设施、弹性服务 云原生安全威胁分析与能力建设白皮书 14 编排、开发运营一体化等。通过软件定义安全架构，构建原生安全架构，从而提 供弹性、按需、云原生的安全能力，提高“防护—检测—响应”闭环的效率； （3）在安全设备或平台云原生化后，提供云原生的安全能力，不仅适用于 通用云原生、5G、 的，甚至可以使用各研发人员擅长 的不同开发语言进行编写。图 9 展示了微服务场景下可能存在的攻击类型。 图 9 针对微服务进行攻击的路径分析 2.5.1API 攻击 API 是一种计算接口，定义了软件之间的数据交互方式、功能类型。随着互 联网的普及和发展，API 从早期的软件内部调用的接口，扩展到互联网上对外提 供服务的接口。调用者通过调用 API，可以获取接口提供的各项服务，而无须访