11月21日，“2019云计算沙龙（lóng）（第三期）：云原（yuán）生（shēng）与多云管理”主题（tí）沙龙（lóng）活动（dòng）在上海市（shì）徐汇区交大科（kē）技园成功召开。此（cǐ）次活动吸引了诸多云计算相关的厂（chǎng）商专家以及业内专业人士积极（jí）参（cān）与，并就云原（yuán）生与多（duō）云管理进行了积极讨论。青藤云（yún）安全，作为安全领域践行（háng）自适应（yīng）安全（quán）理（lǐ）念的先行（háng）者，积极探索为云原生（shēng）应用程序提供全方位（wèi）的安（ān）全服（fú）务，此次受邀出席，并对云生态安全进行了深入讲解。

portant;" />

青藤（téng）云安（ān）全技术总监王洪中对（duì）云生（shēng）态安全进行讲解

在（zài）过去几年（nián）里，随着云计算技术的（de）风起（qǐ）云涌，云形态也发（fā）生着日新月异的变化。云原生技术（shù）也在云平台如火如荼的快速发展（zhǎn）中应运（yùn）而生。

美国专注于云计算（suàn）与大数据基础平台（tái）的公司Pivotal最先（xiān）提出了云原生应用（yòng），后来由谷歌成立的云原（yuán）生计（jì）算基金会（CNCF，全（quán）称Cloud Native Computing Foundation）对云（yún）原生应用进行了（le）定义：

 云（yún）原生技术有利于各组织在公有（yǒu）云、私有云和混（hún）合云等新型动（dòng）态环（huán）境中，构建（jiàn）和运行可弹性扩展的应（yīng）用。

 这些技术能够构（gòu）建（jiàn）容错性好、易（yì）于管理和便于观察的松（sōng）耦合系统。结合可靠的自（zì）动化手（shǒu）段，云原生技术让（ràng）工程师能（néng）够轻（qīng）松地对系统作出频（pín）繁（fán）和可预测的重（chóng）大变更（gèng）。

 云（yún）原生计算基（jī）金会（CNCF）致力于培育和维护一个厂商中立的开源生（shēng）态系统，来推广云原生（shēng）技术。CNCF通过将最前沿的（de）模式民主化，将（jiāng）这（zhè）些创新为大众所用。

这或许看起来有些复杂。简单来说，云原生可以从字（zì）面涵义（yì）来理解，指的是任何在云中（zhōng）诞生、或主要在（zài）云中设计（jì）并运行（háng）的事物（wù）。但云原生不只是指应（yīng）用程序所在的位（wèi）置，更多的是（shì）指应用（yòng）程序（xù）的的构建和部署（shǔ）方式。

云原生的代表性技（jì）术

1． 容（róng）器（qì）

容器技术是一种轻量级的虚拟（nǐ）化技（jì）术，主（zhǔ）要（yào）致力于提供一（yī）种可移植、可重（chóng）用（yòng）且自动化的方（fāng）式来打包（bāo）和运行应（yīng）用。容器这一术语是对船运集装箱的一个（gè）类比（bǐ），它提供了一个标准化方式（shì），将（jiāng）不（bú）同内容组（zǔ）合在一（yī）起，同时又将它们彼此隔离（lí）开来。

将（jiāng）容器和（hé）云原生（shēng）联（lián）系起来，您或许会有些疑惑：容器不仅仅是在云端运行，如果有需（xū）要，也可（kě）以在本地（dì）服务器上运行容器。比如，在本（běn）地CI／CD管道中采用容（róng）器技（jì）术，或者使用容器（qì）来部署本地的（de）内部（bù）业务应用程序。

但（dàn）是，无需对容器技术进（jìn）行太多延展，就可（kě）以将其与云原生技术联系起来。在很大程度（dù）上，容器有助（zhù）于部署云应用：

您（nín）可以在云中部署容（róng）器。通常（cháng）还可以使（shǐ）用相同的开源（yuán）工具（jù）来（lái）管理云中的（de）容器（qì）。这意（yì）味着，容器（qì）最大限度地提高了云（yún）之间的移动性。

可以使用（yòng）容器在（zài）云中（zhōng）部署应（yīng）用程序，而不必为特定云提（tí）供商的虚拟服（fú）务器或计算实例之（zhī）间（jiān）的细微差（chà）别而（ér）困扰。

云供应商可以使用（yòng）容器来构建其他类型的服务，例如（rú）无服务（wù）器（qì）计（jì）算。

容（róng）器为在云中运（yùn）行（háng）的应用程序提供安全优势（shì）。容器应用程序和主机环境（jìng）之间增加了（le）另一层隔（gé）离，而（ér）无（wú）需再运行整个（gè）虚拟服务（wù）器。

因此（cǐ），虽然使用容器是确实不需要使用云，但容器却大大（dà）简化了云应用程序的部（bù）署。在云原生领（lǐng）域中，容器和云齐头并进，共同（tóng）发展。因此，可以说容器技术是云原生（shēng）应（yīng）用发展的基石。

2． 微服（fú）务

微（wēi）服务可以（yǐ）简单地描述（shù）为（wéi）将（jiāng）一（yī）个大（dà）型的软件（jiàn）应用程序（xù）的功能分为多个独立的小型软（ruǎn）件服务或（huò）“微服务”。每（měi）项微服（fú）务通（tōng）常单独部署（shǔ）在容器中（zhōng），负责（zé）一项单（dān）独的任务。为了让微（wēi）服务（wù）协同工作，形成大型（xíng）可伸缩的应用程（chéng）序，微服务之间还可以进行（háng）通信和交换数据。简而（ér）言（yán）之，微服务的（de）特点可（kě）以总结为：

云原生应用程序由多个（gè）不同的可（kě）重用组件（称为（wéi）微服务）组成，这（zhè）些组件都（dōu）可以集（jí）成到任何云环境中。

这些微服务可（kě）以作为应用程序的构（gòu）建模块，通常包装在（zài）容器中。

每个微服务可以协同工（gōng）作，共同构成一个应用程序，单每（měi）个微服务可（kě）以通过自动化（huà）和编排（pái）流程（chéng）进行（háng）独立扩展、持续改进（jìn）和（hé）快速迭（dié）代。

每个微服务的灵活性也提高了云原生应用程序（xù）的敏（mǐn）捷性和持续（xù）改进，解决了单（dān）体大型应用（yòng）程序的复（fù）杂（zá）性和灵活性问题。

以人力资源系统为例。以前（qián），整个人（rén）力资源（yuán）系统部署在一个大软件包中（例如，使用MVC框架的WAR文件）。使用微服务后，就（jiù）无需将人力资源组（zǔ）件（jiàn）部署（shǔ）为（wéi）一个大软件包――大型单体应用程（chéng）序。该大型单体（tǐ）应（yīng）用程序（xù）被划分并部（bù）署为按用途分（fèn）类的（de）若干个较（jiào）小功能单元（工（gōng）资、出勤和员工等微服务（wù））。这样，维护（hù）一个模块时（例（lì）如，“工资”模（mó）块），由（yóu）于微服务可（kě）以独立工作，就无需停（tíng）用（yòng）整个应用程序，也不会影响到其他功（gōng）能，从而提高了更新迭代（dài）速度，也提高（gāo）了服务质量（liàng）。

3． 服务网格

随着微服务数量（liàng）的（de）增（zēng）多，可能会形成上百个（gè）甚至上（shàng）千个相互关联的服务（wù），通过内部或外部（bù）网络（luò）相互连接。如果要绘制出（chū）每个微服（fú）务之间的连接关系，情况就复杂了。从代码级别管理（lǐ）这（zhè）些服（fú）务的连接关（guān）系会很麻（má）烦。这意味着，服务（wù）A需（xū）要（yào）了解（jiě）服务（wù）B的网络层。为了解决这一挑战（zhàn），服务网（wǎng）格（gé）技术应运而生（shēng）。

服务网格是用于处理服务间通信（xìn）的专用基（jī）础结构（gòu）层。对于构成现（xiàn）代（dài）化（huà）的云原生应用程序的服务而言，服务（wù）网格负责可靠地交付这些拓扑结构复（fù）杂的服务请求。实际上，服务网格（gé）通常是（shì）通过一系列的轻量（liàng）级网络代理来实现的，这些网络代理与应用程序代码一起部署（shǔ），而无（wú）需再关（guān）注（zhù）应用（yòng）程序。

portant;" />

服务网（wǎng）格架构图

4． DevOps

DevOps是由Development和Operations形成的组合词，是一种重视“软件开发人员（Dev）”和“IT运维技术人员（yuán）（Ops）”之间沟通合作的文（wén）化、运动或惯例。DevOps通过自动化完成“软（ruǎn）件交（jiāo）付”和（hé）“架构变更”流（liú）程，来更加快捷（jié）、频繁和可靠（kào）地构建（jiàn）、测试、发布软（ruǎn）件。可以把DevOps看作开发（软件（jiàn）工程）、技术（shù）运营和质（zhì）量保障（QA）三者的（de）交（jiāo）集。

portant;" />

DevOps示意图

DevOps打破（pò）了开发人员和运维人员之间历来存在（zài）的（de）壁垒和沟鸿，加强了开发、运营（yíng）和质量（liàng）保证人员之间（jiān）的沟通、协作与整合。从而形成了（le）一（yī）种通过持续交（jiāo）付来优化资源和扩展应用（yòng）的新方（fāng）式。DevOps和（hé）云原生相结合，能够让企业不断改进产品（pǐn）开发流（liú）程（chéng），更好地适应市（shì）场变化，提供（gòng）更优（yōu）质的服务。

portant;" />

CI／CD（持续集成／持续部署）管道可（kě）以（yǐ）说（shuō）是实（shí）施（shī） DevOps 的一大重要成果，可帮助企业在（zài）需要很（hěn）少的人工干预的情况下，更（gèng）快速、更（gèng）频（pín）繁地向客户交付应（yīng）用，并不（bú）断改进产品的质（zhì）量，增加服（fú）务功能，实现精益求精（jīng）的发（fā）展。在整（zhěng）个生命周期内，CI／CD都（dōu）引入（rù）了持续（xù）自动化和（hé）持续监控，从（cóng）而能够快速识别和（hé）改正（zhèng）问题与缺陷（xiàn），实现敏捷开发（fā）。

portant;" />

云原生的优势所在（zài）

1． 与传统的（de）单体应用程序相比，由（yóu）于使用（yòng）敏捷和DevOps流程进行迭代式改进，并且实现了自（zì）动化（huà）构建、测试和部署（shǔ），从而加（jiā）快了产品服务（wù）的上市时间，也更便于管理。

2． 由于云原生（shēng）应用程序由若干（gàn）个相（xiàng）互独（dú）立的微服（fú）务（wù）组成，因此，可（kě）以自动地逐步改进云原生应用程序，以不断（duàn）添加（jiā）新功（gōng）能或者改进原有功能。

3． 可以（yǐ）非（fēi）侵入式地进行改进，不会造成（chéng）停（tíng）机或（huò）中断服务，给用（yòng）户（hù）造成（chéng）不良体验。

4． 支持云原（yuán）生应用程序的基（jī）础（chǔ）架构弹（dàn）性良好，可以轻松进行拓展或缩小规（guī）模。

5． 云原生开发流程可以更好地适（shì）应当今业（yè）务环境所需的速度和创新。

随着云（yún）生态的不断演进，云原生所具（jù）备的巨大优势必将推动云原生（shēng）技术的快速（sù）发展。

青（qīng）藤云安全是国内首（shǒu）家自（zì）适应安全服务商，为客户提供了（le）轻量级的、可弹（dàn）性扩展的新一代安全体系。针（zhēn）对当前（qián）云（yún）原生（shēng）技术的（de）发展（zhǎn）情况，青（qīng）藤云安（ān）全（quán）也对（duì）此进行了深入研究（jiū），并密切（qiē）关注（zhù）云原生应用的发（fā）展趋势。目前，青藤云（yún）安全的容器安全（quán）产品―蜂（fēng）巢提供了企业级容器平台安全保护，并针（zhēn）对应（yīng）用漏洞、不安全配置、入（rù）侵攻击、网络行为，结合安全策略，提供（gòng）了覆盖（gài）容器全生命周期的（de）、持续性安（ān）全防（fáng）护（hù）。青藤蜂巢（cháo）既可（kě）以提供对云原生应用的防（fáng）护，也能全方位防（fáng）护主机安全，实（shí）现（xiàn）一次部署，两种防（fáng）护，助力（lì）云（yún）原生技术的快速发展。