云服务商、安全企业提供的产品及服务的能力水平。 7 云原生应用保 护平台 （CNAPP）能 力要求 由中国信息通信研究院牵头编写，为了云原生应用保护平台（CNAPP）的 框架并对每个功能模块提出了能力要求，内容包含制品管理、基础设施配置 管理、运行时保护、双向反馈机制与环境适配能力，覆盖云原生应用的开发 运营全流程，适用于指导企业云原生应用运维保护能力建设，规范和测评云 原生应用保护产品质量 dashboard、Docker 等组件也存在未授权访问的隐患，这些都是 k8s 集 群的重要系统组件，一旦被攻击成功，都是可以直接获得相应集群、节点或容器 的权限。 2.4.2 服务对外暴露攻击 攻击点 5 表示 Node 节点对外暴露的服务。由于管理员的疏忽或为了方便 管理而故意留的一些接口，导致内部服务的暴露，使得编排组件存在一个潜在的 攻击点。比如 Mysql 对外服务存在弱口令登录的问题，目标系统的其中一个节 相应的安全风险。如开发维护不当导致的安全漏洞，可能为 API 带来严重安全 隐患，不法分子可通过安全漏洞、恶性 Bug 等因素获取敏感信息、造成服务器 失陷。开发过程中引入开源或第三方插件、加载库、模块、框架等存在安全问题 云原生安全威胁分析与能力建设白皮书 33 时，导致代码中出现安全漏洞、恶意代码、“后门”等安全隐患。 2.6 路径 5：Serverless 攻击 无服务器计算是一种

不同方式加载 CGO 程序，则 GoLang runtime 运行时机可能不一样 • CGO 交互内存生命周期管理 Envoy 相关 • 默认配置不不支持 HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 work 处理请求均衡性问题 GoLang 扩展能 力 • 支持 application runtime 扩展 2021.3 2021.1 2022 • Mesh 架构逐步向 MoE 演进 • MoE 部署形态 Node 化演进 • MoE 作为中间件运 行时底座 • L4 扩展支持 • WASM API 规范支 持及完善 理念：通用能力回馈社区，同社区共建标准 Q ? A : E MOSN 官网

监控告警 弹性扩缩容 高可用 负载均衡 客户环境 • 关注点分离：开发者关注应用本身，运维人员关注模块化运维 能力，让应用管理变得更轻松、应用交付变得更可控； • 平台无关与高可扩展：应用定义与平台层实现解耦，应用描述 支持任意扩展和跨环境实现； • 模块化应用运维特征：可以自由组合和支持模块化实现的运维 特征描述。 • Components：在 OAM 中，“应用”是由多个概念共同组合而成。第一个概念是： 原生业务的一体化交付， 比如把云原生的OAM AppConfig嵌入到Ansible 的PlayBook中。 Host Inventory 主机清单 PlayBooks 剧本 核心模块 自定义模块 Plugins Email、logging、 other 插件 Ansible 负责解析剧本并通过连 接器执行 Connector 连接受控端 主机 主机 主机 DevOps-CICD

该事件波及全球多个国家和地区的 18000 多个用 户，被认为是“史上最严重”的供应链攻击。 “太阳风暴”攻击 2021年8月，中国台湾芯片厂商Realtek 发布安全 公告称在其软件开发套件和WiFi模块中发现了4个 安全漏洞。、攻击者可利用该漏洞绕过身份验证， 并以最高权限运行恶意代码，有效接管设备。本次 暴出漏洞的芯片至少有65家供应商在使用，生产出 的设备数量超过十万台。 Realtek 的WiFi 技术是通过对二进制软件的组成部分进行识别、分析和追踪的技术。 SCA 可以生成完整的 SBOM，SBOM 作为制品成分清单，同时建立软件构成图谱，为后续分析提供基础，即分析开 发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并精准识 别系统中存在的已知安全漏洞或者潜在的许可证授权问题。 IAST——API安全检测 doubo fosf://xxx

打开容器器服务控制台，在左侧导航栏中选中集群，右侧点击更更多，在弹出的菜单中选中 部署Istio。 在打开的⻚页⾯面中可以看到Istio默认安装的命名空间、发布名称； 通过勾选来确认是否安装相应的模块，注意勾选下Kiali Kiali； 点击 部署Istio 按钮，⼏几⼗十秒钟之后即可完成部署。 ⾃自动 Sidecar 注⼊入 查看namespace： 点击编辑，为 default 命名空间打上标签

交互内存生命周期管理 • 结构体内存对齐 • GoLang runtime invalidptr check Envoy 相关 • 默认配置不支持 HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 worker 处理请求均衡性问题

consul agent -data-dir /tmp/node0 -node=node0 -bind=192.168.64.59 -datacenter=dc1 -ui - lient=192.168.64.59 -server -bootstrap-expect 1 consul agent -data-dir /tmp/node1 -node=node1 -bind=192.168.64.94 -datacenter=dc1 -datacenter=dc1 -ui consul agent -data-dir /tmp/node2 -node=node2 -bind=192.168.64.249 -datacenter=dc1 -ui client=192.168.64.249 consul join 192.168.64.59 consul members -rpc-addr=192.168.64.59:8400 agent -data-dir /tmp/node0 -node=node0 -bind=192.168.64.59 -datacenter=dc1 -ui -server bootstrap-expect 1 consul agent -server -bootstrap-expect 3 -data-dir /tmp/consul -node 192.168.64.59-datacen er

个人主页：https://ulricqin.github.io/ 大纲 • 云原生之后监控需求的变化 • 从Kubernetes架构来看要监控的组件 • Kubernetes所在宿主的监控 • Kubernetes Node组件监控 • Kubernetes控制面组件监控 • Kubernetes资源对象的监控 • Pod内的业务应用的监控 • 业务应用依赖的中间件的监控 云原生之后监控需求的 变化 云原生之后监控需求的变化 syscall 等）做一些简 单计算。有很多采集器可以选择： Telegraf Grafana-agent Datadog-agent node-exporter Categraf Kubernetes Node 组 件的监控 Kubernetes Node - 容器负载监控 抓取方案 • Pod或者容器的负载情况，是一个需要关注的点，容器层面主要关注CPU和内存使用情况，Pod 层面主要 containerd 都可以采集到，推荐 { 抓取方案一 } • 左侧这个配置大家在网上比较容易搜到，通过kubernetes_sd_configs做服务发现，查找所有node，通过 Kubernetes apiserver 的 proxy 接口，抓取各个node（即kubelet）的 /metrics/cadvisor 接口的 prometheus 协议的数据 • 这个抓取器只需要部署一个实例，调用 apiserver

容器 - K8s Node (VM/BM) 业务POD 业务POD 业务POD CNI vSwitch / Bridge DeepFlow 采集POD (HostNet) DaemonSet • 零干扰：无需对vSwitch和Node做任何配置、不监听任何端口 • 全自动：DaemonSet POD部署运行，随K8s自动扩展 • 零侵入：不侵入业务POD，可采集所有业务POD及本Node流量 虚拟化 零干扰：无需对vSwitch和KVM做任何配置、不监听任何端口 • 零依赖：用户态进程部署运行，无任何Lib依赖 • 零侵入：不侵入业务VM，一个进程采集所有业务VM流量 虚拟化 - KVM 业务VM 业务VM 业务VM (K8s Node) vSwitch / Bridge DeepFlow 采集器进程 业务 POD 业务 POD 采集 POD br • 宿主机+KVM + K8s混合场景，自动切换流量采集，最低消耗采集全网 业务 Co., Ltd. All rights reserved. 全栈混合云：KVM 宿主机+容器 K8S 虚拟机Node vSwitch DeepFlow 采集器进程 业务 POD 业务 POD 采集 POD br 业务 POD 全栈混合云：KVM 宿主机+容器 K8S 虚拟机Node vSwitch DeepFlow 采集器进程 业务 POD 业务 POD 采集 POD br 业务 POD

aS层的构建起到了非常重要的作用 现在 Node A 业务逻辑 熔断器 服务发现 网络堆栈 Node B 业务逻辑 熔断器 服务发现 网络堆栈 Node A 业务逻辑 网络堆栈 Node B 业务逻辑 网络堆栈 熔断器 服务发现 熔断器 服务发现 SideCar SideCar Node A 业务逻辑 网络堆栈 Node B 业务逻辑 网络堆栈 熔断器 服务发现