云原生怎么代理

A. sidecar和servicemesh

云原生的概念现在炒的比较火爆，云原生包括如下几个基本要素：

可见servicemesh是云原生的重要要点，了解servicemesh，首先还是要了解sidecar模式。旅塌

sidecar是从微服务层级的设拆核圆计模式，对应于代理模式。Sidecar主张以额外的容器来扩展或增强主容器，而这个额外的容器被称为Sidecar容器。
可以见这篇文章的介绍 https://zhuanlan.hu.com/p/258527216

在sidecar上，可以把日志、微服务注册、调用链、限流熔断降级等功能都实现，基于sidecar，抽象出servicemesh，见 https://zhuanlan.hu.com/p/61901608

基于Istio实现，类比于web应用，servicemesh相对于实现了tcp的基础设施，让应用专注在业务开发上。

优点：

缺点：

互联网时代技术进化真的非常快，我们需要紧跟技术，特别是其原理。servicemesh，个人感觉和分布式事务、分布式锁一样，是基于服务层次的设计模式和抽象，其基本原理是代理模式，servicemesh的场景可以氏嫌让人集中于业务开发，降低对分布式技术细节的过高门槛。

B. 软件架构入门-分层架构、事件驱动、微服务架构和云原生架构

软件架构（software architecture）就是软件的基本结构。

合适的架构是软件成功的最重要因素之一。大型软件公司通常有专门的架构师职位（architect），只有资深程序员才可以担任。

O'Reilly 出版过一本免费的小册子《Software Architecture Patterns》（PDF）， 介绍了五种最常见的软件架构，是非常好的入门读物。

软件架构就是软件的基本结构。架构的本质是管理复杂性。 如果你觉得架构不重要，可能是你做的事情不够复杂，或者是你没有管理好复杂性。架构模式虽多，经过抽象沉淀之后，也就那么几种：

1. 分层架构（比较传统的单体架构）

2. 事件驱动架构 （一般适用于应用局部场景，用来实现异步解耦）

3. 微核架构（又称插件架构，开发难度较高，一般用来做工具软件开发，如Eclipse，不太适合分布式业务场景）

4. 微服务架构（当前比较流行的服务化架构，解决单体架构面临的问题，适合敏捷开发，快速迭代）

5. 云架构（现在的说法是云原生架构-Cloud Native，基于Docker、Kubernetes、Service Mesh 云原生架构）

在原文的基础上，我按照自己的想法，进行了小幅调整。

分层架构（ layered architecture ）是最常见的软件架构，也是事实上的标准架构。如果你不知道要用什么架构，那就用它。

这种架构将软件分成若干个水平层，每一层都有清晰的角色和分工，不需要知道其他层的细节。层与层之间通过接口通信。

虽然没有明确约定，软件一定要分成多少层，但是四层的结构最常见。

有的软件在逻辑层（business）和持久层（persistence）之间，加了一个服务层（service），提供不同业务逻辑需要的一些通用接口。

用户的请求将依次通过这四层的处理，不能跳过其中任何一层。

优点

缺点

事件（event）是状态发生变化时，软件发出的通知。

事件驱动架构（event-driven architecture）就是通过事件进行通信的软件架构。它分成四个部分。

事件驱动架构（event-driven architecture）核心组件：

对于简单的项目，事件队列、分发器和事件通道，可以合为一体，整个软件就分成事件代理和事件处理器两部分。

优点

缺点

事件驱动架构在通信产品中应用得也非常广泛，典型的如状态机处理。 事件驱动架构不适于做顶层架构，但适合做局部实现，几乎遍布在通信软件的各个角落。

微核架构（microkernel architecture）又称为"插件架构"（plug-in architecture），指的是软件的内核相对较小，主要功能和业务逻辑都通过插件实现。

内核（core）通常只包含系统运行的最小功能。插件则是互相独立的，插件之间的通信，应该减少到最低，避免出现互相依赖的问题。

优点

缺点

微核架构的设计和开发难度较高，这就注定它在企业产品中用得不多，虽然它的优点还不少。

微服务架构（microservices architecture）是服务导向架构（service-oriented architecture，缩写 SOA）的升级。

每一个服务就是一个独立的部署单元（separately deployed unit）。这些单元都是分布式的，互相解耦，通过远程通信协议（比如REST、SOAP）联系。

微服务架构分成三种实现模式。

现在开源的微服务框架比较多，如常用的有Spring Cloud、Dubbo、ServiceComb等等。

优点

缺点

云架构（cloud architecture，现在的说法是云原生-Cloud Native）主要解决扩展性和并发的问题，是最容易扩展的架构。

它的高扩展性，主要原因是可以基于云上计算资源弹性伸缩。然后，业务处理能力封装成一个个处理单元（prcessing unit）。访问量增加，就新建处理单元（Docker容器）；访问量减少，就关闭处理单元（Docker容器）。由于没有中央数据库，所以扩展性的最大瓶颈消失了。由于每个处理单元的数据都独立分库。

这个模式主要分成两部分：处理单元（processing unit）和虚拟中间件（virtualized middleware）。

虚拟中间件又包含四个组件：

随着Docker、Kubernetes等容器化技术的快速发展，上述关于云架构描述有点陈旧了。当前最新的云原生架构，以Docker+Kubernetes为核心，尤其是容器编排Kubernetes 已经成为事实上的行业标准。

云原生架构图的主要特征：

主要目标：

1. 让开发人员聚焦业务逻辑的实现，其他交给容器云平台来完成；

2. 支持业务系统的快速迭代，支撑业务的快速变化和发展；

3. 构建以共享服务体系为核心的业务中台；

下面是我针对某新零售企业设计的云原生架构图，以云和微服务架构为基础构建云原生应用，这里云可以是公有云、私有云、混合云等等。

以上是从不同的视角，对架构进行了分类。实际应用中，各种架构并不是孤立的，可以根据业务环境和业务诉求，对各种架构进行综合和嫁接。每种架构都有其优点和缺点。优点不必多说，缺点则几乎都是通过工具工程（比如自动化发布工具、自动化测试等等）能力的方法来规避，工具工程对软件架构非常重要。

C. 简述kube-proxy的作用

kube-proxy运行在所有节点上，它监听apiserver中service和endpoint的变化情况，创建路由规则以空或升提供服务IP和负载均衡功能。简单理解此进程是Service的透明代理兼负载均衡器，其核心功能是将到某个Service的访问请求转发到后端的多个Pod实例上。我推荐你去看看时速云，他们斗老是一家全栈云原生技术服务提供商，提团羡供云原生应用及数据平台产品，其中涵盖容器云PaaS、DevOps、微服务治理、服务网格、API网关等。大家可以去体验一下。如果我的回答能够对您有帮助的话，求给大大的赞。

D. Apache APISIX 2.12.0 发布，云原生的微服务 API 网关

继 2.11.0 版本发布之后，Apache APISIX 也在即将到来的新春佳节，为大家带来 2022 年 第一个带有新功能的版本 。

新功能

更多的 Serverless 集成

在上个版本里，Apache APISIX 增加了对 Azure Function 的支持。而这次新版本在功能上又加入了对更多 Serverless 厂商的支持。如今用户也可以在 Apache APISIX 中结合 AWS Lambda 和 Apache OpenWhisk，在网关上进行特定函数的暴露。

更多的鉴权插件

此次的新版本，还将带来两个众人翘首以盼的新插件： forward-auth 和 opa 。

通过上述两个插件，将为 Apache APISIX 的鉴权功能锦上添花，给用户带来更多丰富和上手简单的鉴权操作。

更多的日志功能

除了上边提到的鉴权插件，本次新版本还将带来三个新的日志插件： google-cloud-logging 、 splunk-hec-logging 以及 rocketmq-logger 。

从插件名称上也很容易理解，通过上述三个插件可以把日志分别发送到 Google Cloud、Splunk 和 Apache RocketMQ。未来，Apache APISIX 将会对接越来越多的日志服务商和开源 Broker，让日志处理变得更加轻松。

同时，此次 2.12.0 版本还在日志层面支持记录响应体。与 Apache APISIX 其他功能一样，该功能也可以塌陪搜通过表达式进行动态开启。这样在使用中，就可以实现仅在上游返回特定的 Content-Type 和 Content-Length 时进行日志记录，不用再去顾虑全量采集响应体而带来的问题了。

具体示例可参考下方：

上述配置会仅在 Content-Length < 4096 且 Content-Type 为 "application/json" 才记录日志。

另一个跟日志紧密相关的功能，就是新版本的 Apache APISIX 已支持注册自定义变量。同时结合 APISIX 的自定义日志格式，就可以实现完全自定义上报的日志内容。即无需修改具体的日志插件，就能实现日志生成和上团历报的解耦合。这里我们通过一个示例进行简单演示一下。

比如我们可以在自己的插件中注册一个 a6_route_labels 的变量：

并在自定义日志格式中使用它：

假设我们的 Route 长这样：

最终就会收到如下所示的日志：

L4 代理支持 TLS over TCP 上游

在 2.12.0 版本中还引入了新的 Upstream Scheme，现在 Apache APISIX 已支持代理到 TLS over TCP 上游了。

具体做法可参考下方，只需在 Upstream 配置中指明 Scheme 为 TLS 即可。

至此 Apache APISIX 的 TCP 代理功能得到了 TLS 全方位的支持。此外，我们还支持在静态文件中配置 L4 代理的 Access Log：

更新

多语言插件持续完善

在之前版本中，Apache APISIX 已开放了对 WASM 生态的支持。而在 2.12.0 版本中，针对 WASM 生态又做了不少的更新细节。

目前 Apache APISIX 已经支持在 header_filter 的阶段运行 WASM 代码，弥补了现有外部插件无法修改响应的不足。

此外，我们还支持在 WASM 里面通过 Apache APISIX 这个宿主进行 HTTP 通讯。借助这一功能，我们用 WASM 也重新实现了 forward-auth 插件。该插件的功能几乎和 Lua 版本一模一样，甚至连测试用例也是在 Lua 版本上改了下名字就能通过了。

当然，我们也没有忘记针对现有的外部插件进行更新，本次 2.12.0 版本中，Apache APISIX 已允许外部插件获取请求体乱段。

比如最近发布的 Java Plugin Runner 第二版就包含了这一功能。新版本的 Java Plugin Runner 还支持在运行时动态获取 APISIX 变量。

完善

更多细节

除了上述新功能和组件外，Apache APISIX 2.12.0 版本还更新了如下功能：

更多关于 Apache APISIX 2.12.0 的更新细节，可以查看本次发布对应的 Change log 。

下载

想要获取最新的 Apache APISIX 2.12.0 版本，可通过以下路径下载：

源代码： https://apisix.apache.org/downloads/

二进制安装包： https://apisix.apache.org/zh/docs/apisix/how-to-build/

E. 云原生周报 | 2021下半年CNCF开源项目发展总结；Cilium 1.11发布

1. 2021年年底 CNCF 开源项目和发展速度概况

摘要： 本文总结了2021年下半年 CNCF 开源项目的发展速度，其中 OpenTelemetry 在 CNCF 中拥有第二大贡献社区（仅次于 Kubernetes），它表明对现代可观测性工具和协作的兴趣仍然很重要；如果把 Argo 和 Flux 项目的速度结合起来，那么 GitOps 生态系统的速度在 CNCF 中是最高的；Envoy 继续拥有强大且不断增长的社区，并已成为整个服务网格生态系统中使用最广泛的数据平面之一。

2. BFE Server v1.4.0 和控制悔慧面组件 v.0.0.2 发布

摘要： BFE Server 更新包括修复了配合Go 1.17使用时出现的问题；在部分实现中，使用 RWMutex 代替 Mutex，获得了部分性能上的收益；BFE 控制面包括 APIServer、Conf Agent、Dashboard 三个程序，本次均有更新。

1. Cilium 1.11 发布，带来内核级服务网格、拓扑感知路由

摘要： Cilium 是一个开源软件，为基于 Kubernetes 的 Linux 容器管理平台上部署的服务，透明地提供服务间的网络和 API 连接及安全。Cilium 1.11 版本新版本增加了对 OpenTelemetry 的支持，Kubernetes APIServer 策略匹配，增强负载均衡能力，基于拓扑感知将流量路由到最近的端点，或保持在同一个地区（Region）内等。

1. Facebook 流量路由最佳实践：从公网入口到内网业务的全路径 XDP/BPF 基础设施

摘要： 用户请求从公网到达 Facebook 的边界 L4LB 节点之后，往下会涉及到两个阶段（每个阶段都包括了 L4/L7）的流量转发：从 LB 节点负载均衡到特定主机;主机内将流量负载均衡到不同 Socket,以上两个阶段都涉及到流量的一致性路由问题。本文介绍这一过程中面临的挑战，以及我们如何基于最新的 BPF/XDP 特性来应对这些挑战.

2. Kubernetes 集群二进制无损升级实践

摘要： 本文从0到1的介绍 vivo 互联网团队支撑在线业务的集群如何在不影响原有业务正常运行的情况下从 v1.10 版本升级到 v1.17 版本。之所以升级到 v1.17 而不是更高的 v1.18 以上版本, 是因为在 v1.18 版本引入的代码变动会导致 extensions/v1beta1 等高级资源类型无法继续运行（这部分代码在 v1.18 版本删除）。

1. 根因解析 Kubernetes Pod 状态异常九大场景盘点

摘要： Kubernetes Pod 作为 Kubernetes 核心资源对象，不仅 Service、Controller、Workload 都是围绕它展开工作。作为最小调度单元的它，还担任着传统 IT 环境主机的职责，包含了调度，网络，存储，安全等能力。 正是因为 Pod 具有复杂的生碧物答命周期和依赖，绝大多数 Kubernetes 问题最终都会在 Pod 上表现出来。本文介绍了工作实践中会遇到的 9 种典型场景，以及如何使用 Kubernetes 监控来处理这些场景，快速定位发现问题。

2. 使用 eBPF 代替 iptables 优化服务网格数据面性能

摘要： 服务网格的 Sidecar 架构不可避免的会增加请求时延和资源占用，本文介绍通过使用 eBPF 代替 iptables 实现流量劫持，同时使用 sockmap 加速 Sidecar 代理和应用程序间的网络通信，在一定程度上降低了请求时延和资源开销

3. 让容器跑得更快：CPU Burst 技术实蚂激践

摘要： 以前人们在 CPU Bandwidth Controller 中修复了一些 BUG 导致的 CPU 限流问题，当前非预期限流是由于 100ms 级别 CPU 突发使用引起，并且提出 CPU Burst 技术允许一定的 CPU 突发使用，避免平均 CPU 利用率低于限制时的 CPU 限流。在云计算场景中，CPU Burst 技术的价值有：不提高 CPU 配置的前提下改善 CPU 资源服务质量；允许资源所有者不牺牲资源服务质量降低 CPU 资源配置，提升 CPU 资源利用率；降低资源成本（TCO，Total Cost of Ownership）。

4. 如何基于BFE做灰度发布

摘要： “灰度发布”是互联网业务研发所需的重要能力。BFE对于灰度发布的两种方式（基于流量特征的灰度发布、基于流量比例的灰度发布）都提供了支持。结合已经开源的BFE控制面组件，可以使用BFE Dashboard或BFE API完成灰度发布的相关配置。

F. 深入理解Kubernetes的认证与授权机制

众所周知，任意一个系统的安全机制的核心都是基于 认证与授权 （Authentication and Authorization）,即首先通过某种方式确认“你”的身份，再根据一定的授权策略确定“你”在我的系统里面能做什么操作。对于K8S来说，就是体现为客户端对于 kube-apiserver 的api接口操作的鉴权（客户端可以是集群内的工作负载pod，任意服务器上的kubectl程序，或是计算节点上的kubelet组件等等）。Kubernets项目作为一个成熟的开源云计算基础设施项目，让我们来看看他们是如何解决认证与授权这两个核心问题的：

k8s的用户认证机制的官方文档地址： https://kubernetes.io/docs/reference/access-authn-authz/authentication/ 。

Kubernetes中的用户类型分为 service accounts 和 normal users 两类。service accounts是k8s内部自建的一套用户认证体系，主要用于pod里直接调用kube-apiserver过程中的认证。而普通用户类型依赖于外部认证服务，k8本身不关心。

当创建service account对象弊禅时，会对应的创建一个secret对象，内含了这个用户的认证token，当pod启动时，只要yaml里申明了绑定特定的service account账号，那么系统会自动把secret的token注入到pod中的指定目录，接下来当pod调用apiserver接口时，系统都会自动的附加上这个token，这样apiserver就可以识别出这个pod的身份，结合role和rolebinding的配置信息，就可以正确的授权了。service account是基于k8内部的认证体系，使用起来比较方便，直接在集群内创建sa资源即可。此种类型的用户不是本篇文章讨论的重点，想了解具体的操作可以参考我之前的这篇文章： 构建云原生微服务网关系列-篇二：Zuul ，里面有详细的service account的使用说明。

本文讨论的重点，针对普通用户类型，很多人的理解会比较模糊，对此官网有一段说明：

也就是说，k8项目认为普通用户认证应该由外部服务供应商解决，k8本身不关心认证过程，只要告诉他最终的认证结果，即这个用户是“谁”。认证方式可以用公私钥对，或者openstack 的 keystone认证服务、google的Google Accounts服务，甚至是一个有着用户名和密码列表的文件，对于k8s来说，都是一样的。不管用何种方式去认证，最终结果都是告诉k8s，这个用户是“谁”，也就是它的用户id。这里需要注意的时，对于普通用户类型，k8是不会存储用户信息的，而对于service account类型的用户，k8会保存在etcd里面。普通用户也无法通过api调用直接创建。

Kubernetes 支持使用客户端证书、bearer token、认证代理或者http basic auth等方式进行认证，而无论使用哪种方式，认证插件都需要将以下的用户信息和http请求进行关联：

api-server目前支持的认证方式有：

使用由 k8s 根 CA 签发的证书，提取cn字段作为用户id，O字段作为用户组。我们可以使用openssl工具来进行证书的签发（kubernetes 1.4之后支持拍困了证书中携带用户组信息）：

上述操作会生成一个证书请求，username为 jbeda ，并同时属于两个用户组 app1 和 app2 。

静态token列表文件，需要预先在 API Server 服务器上放置该文件，并且在api server的启动参数中加上 --token-auth-file=SOMEFILE ,token文件为csv格式，应至少包含token, user name, user uid这三个字段(逗号分隔)以及一个可选的group names字段，例如：

注意如果用户组有多个的话，整个用户组需要用双引号括起来。

1.18版本进入稳定版的新特性，支持可以在集群启动时动态的创建和管理token，配置比较多，这里不多赘述，有兴趣直接参租贺尘考官方文档

跟静态 Token 文件类似，只是使用了用户名密码的形式进行认证，使用的是http basic auth类型的认证方式，启动参数为 --basic-auth-file=SOMEFILE ，文件格式为：

很好理解，不多说了

之前介绍过了，k8s内部用户体系 Service Account 使用的 Token，认证方式也是bearer token。这里需要注意的是官方文档有一个描述：

因为api-server本身并不关注流量是从哪里过来的，所以基于service account创建的token，只要你拿到了这个token，是可以从 集群外部 发起请求的，api-server会将此请求认证为对应的service account用户。拿到token的方式官网也做了说明：

注意和serviceaccount绑定的secret类型为 kubernetes.io/service-account-token ，其中token字段即为我们需要的令牌（jwt格式），拿着这个令牌就可以直接发起请求了。 注意在secret中保存的token是经过base64编码的，实际使用时还需要先进行base64解码操作，可以使用jwt.io网站来查看这个令牌，以下是k8s签发的一个jwt令牌payload部分字段的示例：

新出来的一种认证方式，基于Oauth2，比较复杂，有兴趣可以参考官方文档，这里不介绍了。对于Oauth2认证以及JWT技术比较感兴趣的，可以参考我之前的博文 深入理解Spring Cloud Security OAuth2及JWT 。（阅读量4万多了，也算爆款了:）

搞定了认证，接下来就是授权了。得益于k8s优良的设计，认证和授权是解耦的，所以只要k8系统识别出了用户身份（username或者uid），接下来要做的事情就是一样的了。关于授权部分的官方文档地址： https://kubernetes.io/docs/reference/access-authn-authz/rbac/

事实上k8s本身也支持多种授权类型，比如rbac，abac，node，dynamic admission 等等。这里只介绍下最常用的rbac（基于角色的访问控制），实际使用中，api-server开启 --authorization-mode=RBAC 参数，即启动了rbac功能。

如果你对于rbac本身已经比较了解，那么其实k8s里面的rbac功能就非常容易理解了。涉及rbac的有两个api对象，role定义了一个角色，申明了此角色可以操作的功能列表，rolebinding其实就是把用户和角色做了一个绑定。

role的api对象示例：

这个yaml定义了一个Role对象，名称为 pod-reader ， 作用域为 default 这个namespace，可以对 pods 这个对象进行 get 、 watch 、 list 操作。
kubernetes完整的操作类型列表如下，都很好理解，不一一说明了：

值得注意的是，有些资源还有子类型，比如pod的logs，如果需要查看，也是需要授权的(添加 pods/log 资源类型)

RoleBinding资源的作用也非常容易理解， 就是绑定Role和用户。下面是一个RoleBinding的示例：

这个例子里把一个类型为User，name叫做jane的用户，和pod-reader的Role做了绑定。注意subjects里面的 kind 字段，即用户类型，前面介绍过了，分别是 User 、 Group 和 ServiceAccount 。绑定完成之后，当使用 jane 这个用户身份对k8s的api进行调用，就可以进行指定的 watch 、 get 、 list 操作了。

这两资源其实和Role、RoleBinding的配置方式是完全一样的，区别在于ClusterRole和ClusterRoleBinding的作用域是集群范围的，并且可以操作 node 这样的集群范围资源，而Role、RoleBinding在metadata中需要指定namespace字段，其他方面没有区别。

弄清原理之后，现在让我们来实际操作一下，目标是使用kubectl客户端工具对于给定的k8集群进行受限操作。基于上述的认证策略的介绍，我们使用 客户端证书 方式来进行用户认证，即使用K8集群的根证书来签发一个用户证书，使用该证书来进行用户认证及授权操作。

关于RSA证书的制作，可以参考官网文档： https://kubernetes.io/docs/concepts/cluster-administration/certificates/ ，这里我们使用常用的openssl工具来制作证书：

1、创建一个2048位长度的RSA格式私钥

2、创建证书签名请求(csr)，CN-对应Username O-对应用户组，上面的文章中已经介绍过

3、使用集群根证书签发这个证书请求(days是证书到期时间，可根据实际需要配置)

首先先找到一台准备作为客户端访问k8集群的linux服务器（或者windows、mac都可以），确保客户端与集群的api-server端口网络联通（一般为6443端口，注意必须是https连接），出于安全考虑，最好开一个操作k8的专用的操作系统账号。把集群master节点中的kubectl二进制文件拷贝至此服务器/usr/bin目录内，同时拷贝release.csr、release.key、ca.pem这三个文件至服务器上的指定目录。

在新建用户的home目录下创建.kube目录，在此目录下新建config文件（或者直接执行kubectl config set-cluster test操作，kubectl会自动创建该文件），编辑该文件填写如下内容：

完成之后可以执行 kubectl config view 来验证一下配置是否正确。

使用管理员登陆k8集群，进行权限配置，这里以添加集群范围的运维用户权限为例：

可以看到，我们定义了一个角色 release ，用于应用的部署及日常运维操作。为了满足日常运维，给其分配了一组受限的资源权限。

具体来说，该角色对"deployments","services","configmap","pvc"资源有全部的操作权限，对于"nodes","events","pods","pods/log","endpoints"只有查看权限，对于其他资源没有任何权限。

这里我们定义了一个ClusterRoleBinding，把User和ClusterRole进行了绑定，到这里全部操作就完成了。

登陆客户端，一切顺利的话，执行 kubectl get pods 就可以返回远程集群的default命名空间下的pods列表了，其他配置的权限应该也可以正常操作。而如果这个用户想访问受限资源，比如想查看secrets信息，则会出现如下的报错信息(403 Forbidden)：

验证成功！

基于上述的描述，可以知道，其实在集群里面创建一个service account，把它的token拷贝出来，配置在客户端的kubectl配置文件中，可以达到同样的效果，这里就不再演示了。

因为service account的token机密信息实际上都是存放于secret对象中，而secret经常被人吐槽的是存放的数据是明文（只是做了base64编码），所以这里多说一句secret的安全性问题。其实k8s是支持secret加密存放的，支持的加密类型还挺多，具体可以看我这篇文章： 使用加密插件加密secrets中的数据 。但其实我并不建议使用这种方式，原因是使用加密插件只能加密存放在etcd里面的数据，而使用api server调取出的数据仍然是解密过后的，这意味着你执行 kubectl get secrets 或者是进入容器的环境变量查看，仍然可以看到明文数据。k8s项目更推荐的权限管理方式是：

做好上面两点，对于一般公司的安全管控来讲已经足够，毕竟集群管理员的权限只是掌握在很小一部分人的手中。而对于安全审计要求更高的企业（比如金融机构），审计可能会有要求敏感数据必须加密存放，此时可使用api-server的加密插件。

G. 电脑培训分享微服务系统架构的发展趋势

随着服务器开发技术的不断发展，微服务架构技术在各个方面都有了很大的技术突破。今天，电脑培训http://www.kmbdqn.com/就一起来了解一下，在互联网大环境下的微服务系统架构的发展趋势。

1.服务网格白热化

服务网格是一个专注于服务间通信的基础设施层，也是目举正前受关注的与云原生有关的话题。随着容器的普及，服务拓扑变得越来越动态化，这对网络功能提出了更多的要求。服务网格通过服务发现、路由、负载均衡、健康检测和可观察性来管理流量，简化容器与生俱来的复杂性。

随着HAProxy、traefik和NGINX逐步把自己定位成数据平面，服务网格也变得越来越流行。尽管服务网正滑悔格还没有得到大规模部署，但确实有些企业已经在生产环境中运行服务网格。另外，服务网格不仅可以用在微服务或Kubernetes环境中，也可以被用在VM和无服务器架构的环境中。例如，美国国家生物技术信息中心虽然没有使用容器，但他们使用了Linkerd。

2.事件驱动架构的崛起

随着业务场景的不断变化，我们已经看到了基于推送或事件的架构正在成为一种趋势。服务向订阅事件的观察者容器发送事件，容器异步做出响应，事件发送者可能对此一无所知。与请求响应式架构不同的是，在基于事件的系统架构中，发起事件的容器并不依赖下游的容器，它们的处理过程和加载的事务与下游让闷容器的可用性或完成情况无关。这种架构的另一个好处是，开发者可以更加独立地设计各自的服务。

3.安全模型的变化

因为对内核访问方面的限制，部署在容器中的应用程序相对安全。在VM环境中，虚拟设备驱动器是暴露可见性的地方。而在容器环境里，操作系统提供了系统调用，信号源也变得更加丰富。之前，管理员需要在VM中安装代理，但那样太复杂了，需要管理太多的东西。容器提供了更清晰的可见性，相比VM，与容器的集成会更加容易。

4.从REST到GraphQL

GraphQL是Facebook于2012年创建并于2015年开源的一套查询语言API规范。GraphQL的类型系统允许开发者自己定义数据schema，可以增加新字段，也可以删除旧字段，这些都不会影响已有的查询，也不需要修改客户端。GraphQL非常强大，因为它没有与特定的数据库或存储引擎绑定在一起。

H. 腾讯课堂图灵的"云原生与大厂项目架构课"怎么样值得购买吗

这个技术对我而言是一个未知的技术，之前连docker都很少用到，docker都只是自己学习玩一下。学习这个课程开始，不能说自己能达到运维一样的牛，但是技术团队内部的问题最起码还是可以解决和完成的。虽然还有很多细节或者说课程上不能完全渗透的点，只能自己项目实战上或者团队中应用的时候才能学习或者提升了，老坦毕竟每个人或者项目遇到的情况不一样，老师也只是负责带你进门，总结精华。对于这个项目所涉及的技术还没办法应用到团队中，不过没关系，知识属于自己的。不吹不捧，事实说如果你公司正在用K8S，或者你想学习K8S。请不要犹豫，图灵VIP为你提供的不单纯是K8S。如果团队有用到K8S，自己又有兴趣或者说自己知道，但是又不是那么熟悉。可以学习下，让自己不是停留在“K-8-S”，而是知道整个技术架构或体系中的每个点负责干什么，怎么协作，怎么简化了运维的过程侍州桐。虽然技术简化了运维的过程，但是只有了解怎么实现的或者说细节，才不至于出现问题的时候手足无措不知道怎么处理。对于刚工作迹孝的人来说解决问题是很有乐趣的，工作很多年之后自己解决问题，让自己的技能成为别人的宝藏也是件很有成就的事情∞

I. 云原生安全的知识哪里有介绍的

这个的话建议你埋槐可以收看产业安全公开课-云原生安全，届时业内大咖会围绕迟皮加密软硬件、密钥/凭据管理、云安全访问代理三大关键能力，帮助企业构建码液差云上数据全生命周期安全保护架构。

J. 有哪些影响云系统安全性的因素

云原生安全仍然需要多层次的防御

在传统的安全术语中，企业将考虑多个安全层。企业可能考虑代码安全，包管理，操作系统补丁，服务器端咐陵点安全等方面的内容。但现在这些不再需要了。但重要的是要明白衡宽，使用云原生工作负载不会从这个角度给出任何快捷方式，从这个角度来看，企业仍然需要用所有必需的安全层包装软件。

云原生安全是端到端的安全

devops的应用将传统专业团队分为两类：一类是部署微服务的开发人员，另一类是致力于云计算的基础架构团队。通常情况下，即使这两个团队也衡拦戚变成了一个单一的“云”团队，也需要承担多重责任。

如果企业考虑到这种环境的安全性，将其分成两组也是更有意义的：

(1)云原生基础架构：包括企业云消费的服务(例如L3-4防火墙，服务器安全，网络加密和存储加密)的安全性。

(2)云原生应用程序：包括需要应用程序感知的任何安全元素(例如，L7防火墙，安全渗透测试，图像安全性，以及应用程序的微分割)。

这将改变人们在市场上看到的安全产品的类型。云计算供应商将在其云端产品中增加更多传统的基础架构功能，以增强其平台吸引力，并提供涵盖所有基础架构安全需求的全方位产品。另一方面，安全提供商将主要侧重于应用程序级安全性，并且还将需要提供端到端的安全解决方案，这也将需要包括前面提到的多个因素。

云原生安全由云团队经营传统上，安全层需要不同人员或团队的专业知识(例如端点，服务器，网络，身份，PKI，存储和软件开发)。企业可以让人们手动添加这些安全层作为基础设施的分配和应用程序的部署，然后调用团队中的专家来配置必要的云概念。但是分配这些资源需要是即时的，并且需要改进其安全产品。

云原生安全性已经引发了重大变化。它决定围绕安全层的策略需要由安全性和基础架构师定。但是，执行这些策略的安全机制必须自动附加到云端和配置进程。通过允许devops或云团队尽可能无缝地进行操作，从而全面展开整个过程。

企办平台提供的云服务，覆盖率更高、速度更快、监控更实时、安全体系更稳固，一定会是您的最优选择。