陈鹏 开源多集群应用治理项目 Clusternet 在多点生活的云原生实践 陈鹏 多点生活 平台架构-基础架构工程师 个人简介 • 开源项目 MOSN 核心 Committer • 主要负责容器服务整体架构的设计与开发 • 主导 ServiceMesh 落地相关工作 目录 多集群管理现状 Operator 迭代 反思&重构 整体架构 • 多单元 • 多集群 • 多分组

三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 生技术的广泛应 规模化复制部署。 由此可见，云原生作为一种新兴的安全理念，是一种构建和运行应用程序的 技术体系和方法论，以 DevOps、持续交付、微服务和容器技术为代表，符合云 原生架构的应用程序应该：采用开源堆栈（k8s+Docker）进行容器化，基于微 服务架构提高灵活性和可维护性，借助敏捷方法、DevOps 支持持续迭代和运维 自动化，利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。 云原生安全威胁分析与能力建设白皮书 3：编排工具攻击 编排工具的工作依赖于容器及容器镜像技术，所以用户在使用编排工具时， 同样会面临容器及容器镜像的安全风险。在针对编排工具的攻击一节，我们重点 介绍编排工具本身存在的安全风险。目前，常见的开源编排工具包括 k8s[10]、 OpenShift[11]等，其中 k8s 在功能性、通用性以及扩展性方便表现良好，同时 具有较强的社区支持，使其得到广泛的应用。图 8 以 k8s 为例展示了编排工具

云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 2022 软件供应链安全报告》，尽管 SBOM 在提供对云原生应用可见性方面 发挥着基础性作用，但只有三分之一的组织遵循 SBOM 最佳实践。 SBOM的应用现状 云原生基于“责任自负”的开源世界 云原生开源应用漏洞 OpenSCA扫描结果 h********r-main p********s-main c**********a-main 云原生时代下的软件供应链攻击 “到2025年

、 Tengine 开源项目核心成员，目前专注于云原生 ServiceMesh、 Nginx、Envoy、Istio 等相关领域。 喜欢开源，乐于分享。 https://github.com/wangfakang MOSN 开源交流群2 目 录 MOSN 云原生演进历程 01 MOSN 网络层扩展思考和选型 02 对应解决方案和实践介绍 03 MOSN 开源进展同步 04 MOSN MOSN 云原生演进历程 MOSN 简介 — 演进历程 MOSN 从 Service Mesh 技术调研，到产品孵化，历经重重困难，最终通过双 11 规模化验证。借力开源、反哺开 源，进行 Cloud Native 生态融合，在实践的道路上一步步的走向云原生。 2018年3月 MOSN 诞生 支持 Service Mesh 核心支付链路覆 盖 MOSN 宣布独立运营 CNCF 2019年双11 2019年12月 2020年6月 2020年7月 2020年12月 2021年 MOSN 简介 — 开源社区 Committer 非蚂蚁 蚂蚁 定位：云原生网络代理平台 开源理念  社区是开源软件发展的动力  借力开源，反哺开源  持续向云原生演进 Star: 3100 Committer: 10 Contributor: 78 Corporate

MAINTAINER OF KCD China 2021 Nov. 6th @Shanghai 古思为 wey-gu wey_gu siwei.io Nebula Graph 开发者布道师 程序员 开源信徒 ⽅阗 tpiperatgod laminar.fun OpenFunction 社区 Maintainer ⻘云科技研发⼯程师 Overview 了解 K8s 上的 Serverless Serverless / FaaS 领域开源现状如何？ Serverless 的新愿景？ 什么是 Serverless ？ Serverless / FaaS 领域开源项⽬现状 近年来云原⽣ Serverless 相关领域陆续涌现出了很多优秀的开源项⽬： KEDA、Dapr、Cloud Native Buildpacks（CNB）、Tekton、Shipwright 现有开源 FaaS 项⽬: 绝⼤多数启动较早，⼤部分都在 Serverless 新愿景 新⼀代开源函数计算平台 - 契机 云原⽣ Serverless 领域的最新进展为构建新⼀代 FaaS 平台提供了可能 现有开源 Serverless 或 FaaS 平台并不能满⾜构建现代云原⽣ FaaS 平台的要求 - 开放的云原⽣框架 - 涌现的优秀项⽬ - ⽇新⽉异的业务模式 Function Lifecycle 新⼀代开源函数计算平台 - 契机 Function

核心服务发现和配置管理， 通过服务治理提升高可用 • 通过 ACK 解决运维成本 • 通过 ARMS 解决定位成本 • 通过 AHAS 解决技术风险 • 通过 PTS 解决容量风险 优势 • 开源、自研、商业化三位 一体 • 开源 DNS 国内事实标准， 生态完善 • 十多年双十一洪峰考验， 默认高可用 • 阿里云成千上万用户的选 择，简单易用 • 专业的微服务团队保障 Dubbo/Spring-Cloud-Alibaba/Envoy Ingress（Envoy） 云原⽣⽹关 服务治理 控制面 微服务引擎（Micro Service Engine，简称 MSE）是一个面向业界主流开源微服务生态的一站式微服务平台 高性能 高可用 高集成 安全 竞争力 三位一体： 阿里微服务 DNS 开源最佳实践 + 产品灵活组合 & 开箱即用 + 经过阿里双十一考验的默认高可用能力 服务治理最佳实践 • 服务元信息 运行态Ops 开发态Dev ul Consumer Provider MSE ZK/Nacos/Eureka Nacos-Sync 大规模场景下推荐 小规模场景、非Java场景下推荐 Agent Agent 开源 Spring Cloud 默认不支持双注册，MSE 提供了无侵入的双注册方案，无需修改 代码，开发无需关注，支持平迁。 Nacos 生态 几乎支持所有主流语言 阿里微服务DNS最佳实践 多语言生态集成方案

使用Dockerfile进行云原生方式的CI构建， 拓展形成ARM、x86双架构流水线，底层 安全漏洞统一修复 全面云原生安全 支持代码安全扫描、镜像安全扫描、开源 协议扫描、依赖漏洞扫描。并可给出修复 建议。支持开源风险持续治理。 108 48 78 6 84 1 1 16 14 0 50 100 150 200 250 本单位 省公司 省公司（直投） ②根据安全需求清单选择安全设计要求，整理为安全设 计清单 ③编码阶段，研发人员基于安全设计文档，落实与本次 需求相关的安全设计要求 安全开发-软件成分分析SCA 开源软件帮助企业快速提升信息化水平，也引入新风险。开源技术应用、国际形势复杂、软件供应链的多样化， 供应链各个环节的攻击急剧上升，已然成为企业主要的安全威胁。 缺点 低误报率 高检出率 集成灵活 只能检测已知 漏洞 证 生产 发布 上线申请 提测 申请 生产 运营 单元 测试 需求安全分析 源代码审计 镜像安全扫描 服务 发布 冒烟 测试 基础镜像安全加固 代码 仓库 第三方开源 组件安全扫描 灰盒审计 手工渗透测试 镜像扫描 基线合规 实时监测 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结

Zou (邹佳), VMware主任工程师/Harbor 核心维护者和架构师 Harbor-助你玩转云原生 关于我 Steven(佳) Zou(邹)，VMware中国研发中心主任工程师， Harbor开源项目架构师及核心维护者，拥有十多年软件研发及 架构经验，获得PMP资格认证及多项技术专利授权。曾在HPE、 IBM等多家企业担任资深软件工程师和架构师，专注于云计算及 云原生等相关领域的研究与创新。著有《Harbor权威指南》等 •访问控制与管理的节点 初识Harbor [1] 官方网站：goharbor.io CNCF毕业项目 落地在很多企业级 产品中 Apache 2.0协议下 开源 GitHub代码库: https://github.com/goha rbor/harbor/ 一个开源可信的云原生制品仓库项目用来存储、签名和管理相关内容。 Harbor社区 有来自于5家公司的14位维护者 GitHub星 Tag过滤器 • 标签（label）过滤器 • 漏洞状态条件 • 签名状态条件 • 基于事件触发或者定时触发 • 支持P2P引擎： • Dragonfly • Kraken Harbor基于开源的Notary项目实现镜像的签名（兼容DTR） 制品安全分发-签名 [1] $ export DOCKER_CONTENT_TRUST=1 $ export DOCKER_CONTENT_T

About Me 王发康 蚂蚁集团 可信原生技术部，技术专家 蚂蚁集团技术专家，专注于高性能网络服务器研发，MOSN、Tengine 开源项目核 心成员，目前关注云原生 ServiceMesh、Nginx、Envoy、Istio 等相关领域。 喜欢开源，乐于分享。 https://github.com/wangfakang 目 录 MoE 背景介绍 01 MoE 方案介绍 02 MoE 交互协议优化，如减少 CGO 交互次数等 MoE 社区共建 MoE Roadmap Q&A MoE Roadmap 定位：云原生网络代理平台 • 网关场景实践 MoE • 方案调研&设计 • 开源 MoE L7 扩展 • 支持使用 GoLang 扩 展 Envoy 能力 2021.6.18 2021.11.18 • 为 Envoy 社区提供标 准的 GoLang 扩展能 力 • 支持 理念：通用能力回馈社区，同社区共建标准 Q ? A : E MOSN 官网 http://mosn.io MOSN Github http://github.com/mosn/mosn MOSN 开源交流群 欢迎技术交流 Thanks

部分应⽤（100+微服务）正在使⽤ Nocalhost 进⾏开发，实践验证 Nocalhost 能极⼤提⾼开 发的循环反馈效率。 开源与社区共建 Nocalhost ⽬前是 100% 开源的，代码托管在 Github：https://github.com/nocalhost/nocalhost.git，并遵循 Apache-2.0 开源协议，可以免费使⽤。 想了解更多关于 Nocalhost 的信息，欢迎访问官⽹：https://nocalhost