資安

编辑推荐 1.业内专家汪波、何琼、孤失、翟东明联袂力荐 2.本书将向读者展示EOS区块链技术的众多概念和特性，包括初识EOS、EOS的工作原理、开发工具和环境、编写智能合约、EOS RPC接口、创建和部署DApp、部署基于EOS的侧链等内容。 3.本书结合实战经验，从基础的概念和原理，到一线的执行与案例，对EOS技术进行了系统且深入的阐述。 虞家男 编著 内容提要 EOS被称为区块链3.0，是下一代区块链技术，《EOS区块链应用开发指南》将向读者展示EOS区块链技术的众多概念和特性。《EOS区块链应用开发指南》共分为7章，分别是初识EOS、EOS的工作原理、开发工具和环境、编写智能合约、EOS RPC接口、创建和部署DApp、部署基于EOS的侧链等。 《EOS区块链应用开发指南》希望能够帮助开发者进入EOS的世界并比较容易地上手开发DApp。 精彩导读 前言 科技界的发展规律遵循“天下大势，分久必合，合久必分”，区块链世界的发展也许正得益于“分”这个大势。从中心化的传统信息系统世界逐渐过渡到去中心化的区块链新世界，我们正有幸经历着一场从“合”到“分”的生产关系伟大变革。在这个过程中，区块链也在现有如PoW、PoS 这些完全去中心化的共识方式的基础上，开始了一些从“分”到“合”的有益探索，就像EOS 的DPoS+BFT 这种去中心化与中心化相结合的共识模式一样。 在分分合合的大势下，EOS 主网正式上线。经历了比特币、以太坊两代区块链的发展，EOS 被称为区块链3.0。 […]

前言 9月25日晚受邀来到阿里云飞天园区参加阿里云MVP产品夜谈，在会上遇到了容器服务团队的负责人易立，并就容器服务进行了交流。此次参加夜谈的除了来自全球各地的阿里云MVP，还有来自安全团队、容器团队、AIoT 团队、大数据团队、数据库团队、人工智能团队、中间件团队、搜索引擎&智能推荐团队的负责人&产品经理。各个参会的MVP可以根据自己的研究方向或者感兴趣的方向选择，直接与团队负责人面对面交流，获取阿里云产品的最新信息，并提出使用意见，促进产品的发展。由于主要从事云原生&容器方面的工作，我选择了容器团队，与阿里云容器服务团队负责人易立就容器服务进行交流，本文记录了部分交流内容。 容器服务交流 关于集群版本&集群升级 众所周知，Kubernetes 以非常稳定的3个月发布一个版本速度在高速迭代这，Kubernetes v1.16.0 也即将 release ，但是目前 ACK 的 Kubernetes 版本依旧为 v1.12.6-aliyun.1 已落后官方4个大版本。得到的回复是新版本 1.14 已经上线，下周就可以升级了，1.14 版本之前已经上线，只不过一直在灰度测试，下周（2019年9月29日）就全面放开升级了。截止写这篇文章的时候，我们的多个

作者 | 闫守孟、肖俊贤、田洪亮 近日，Linux 基金会宣布全球多家巨头企业成立机密计算联盟（Confidential Computing Consortium），在对于数据安全和隐私担忧的不断增长下，基于可信执行环境技术的机密计算作为一种可行的解决方案，成为互联网巨头关注的焦点。蚂蚁金服很早就关注此类技术，并基于机密计算打造了蚂蚁金服新一代可信编程中间件 SOFAEnclave，为金融业务保驾护航。机密计算是蚂蚁安全计算的一环，也是金融级云原生的一块重要版图，蚂蚁金服表示：相信未来机密计算将和 HTTPS 一样，成为云计算的标配。 引言 互联网金融本质上是对大量敏感数据的处理以及由此沉淀的关键业务智能。近年来涌现出来的新业态更是将数据处理的范畴从单方数据扩展到了涉及合作方的多方数据。 另一方面，从 GDPR 到 HIPAA，数据隐私监管保护的范围愈加扩大，力度日益增强。可见，对金融数据和关键业务智能的安全保护，不仅是互联网金融业务的基础，也是其创新发展的依托，更是攸关合规的关键因素。 近年来迅速发展的机密计算技术是一种创新的数据隔离和加密处理技术，其重要特点是，TCB(trusted computing base 可信计算基)

最炫的技术新知、最热门的大咖公开课、最有趣的开发者活动、最实用的工具干货，就在《开发者必读》！ 每日集成开发者社区精品内容，你身边的技术资讯管家。 每日头条 2019云栖大会精品资料下载 9月25日-27日，2019杭州云栖大会圆满成功。大会包含130+场峰会和专场、上千位重量级分享嘉宾以及硬核科技大型展区。相关详细议程和视频回放请见杭州云栖大会官网。 每一年杭州云栖云栖大会结束后，都有无数开发者希望获取资料进行学习。以下是可对外的73篇PDF资料，供大家下载学习! 最强干货 蚂蚁金服与阿里云“双剑合璧”，加速释放金融科技时代新红利 9月25日，蚂蚁金服与阿里云宣布“双剑合璧”项目正式落地，包括蚂蚁金服分布式中间件SOFAStack、关系数据库OceanBase和一站式移动开发平台mPaaS三套系列产品将率先上线阿里云官网进行售卖。而在未来，还会有越来越多的蚂蚁金服技术产品通过阿里云对外输出。 国庆宅在家？不如来玩玩阿里云大数据产品系列教程~ 面对人山人海的景点，很多小伙伴都机智的选择了宅在家里~刷剧、看动漫、打游戏、吃外卖…嗯，生活是不是有点无聊呢？是不是，缺了点什么？此时此刻，休闲放松之余，爱学习的你还有另一种选择：玩一玩今年新上架的阿里云大数据产品系列教程吧！内容良心，细节感人，手把手教你玩转阿里云大数据产品哦~ “蚂蚁充电”互通高德，阿里小程序集团军持续发力 近期，支付宝端一站式充电服务小程序“蚂蚁充电”与高德实现了互通。 作为整合10大运营商的“蚂蚁充电”覆盖了70%以上的公用充电桩，现在这项服务将可以在高德中直接使用。 同时，高德的地图和导航场景也为蚂蚁充电提供了更精准的服务使用场景。 每天读本书 《阿里云安全白皮书4.0》全新发布，详解云上全栈安全能力 9月27日，阿里云在云栖大会·云安全峰会上，对外正式发布《阿里云安全白皮书4.0》版本（以下简称“白皮书”），是继2017年云栖大会发布3.0版本后的又一次重大更新。白皮书全新定义了下一代安全架构，首次介绍了如何在云上搭建全栈数据保护体系，并对阿里云在安全体系建设上的要求和相关能力做了详细阐述。 精品公开课 云栖大会大师零距离专场（9月27日）

今天上午王坚博士讲了一句话我比较有感触，大家做系统的时候，一定要想下你的系统的数据是怎么流转，这些系统的数据是怎么形成闭环。我们在设计阿里云的K8S容器服务ACK的时候也是融入了这些思考。首先是跟大家先看一下整个容器上云的解决方案。首先因为你已经做过容器，所以当你容器上云的时候，实际上这个事情是非常简单的，我们只需要提供的相应的工具，帮助大家把容器镜像迁入阿里云同时通过工具把K8S的配置迁到阿里云，以及可以用DTS工具把数据库迁入到阿里云。这样我们就可以完成一个完整的容器化上云的过程。所以这个过程其实非常简单，但是上完云之后，不是说我们原来的K8S原来怎么玩我们现在还是怎么玩。我们希望大家从上云的过程中有些收益，所以我们希望提供一些更高效敏捷的一些方式给到大家，包括怎么去做DevOps，包括我们怎么去做安全的软件供应链，以及我们做灰度发布。同时我们希望成本更优一点，关键是大家上完云之后的成本是怎么去核算，以及怎么去节约。所以容器上云后我们怎么去做更好的弹性伸缩，做自动化的运维。所以这个是大家需要在上云的过程中去考虑的问题。同时我们需要更好的管理我们的系统，我们一定要做到更好的高可用，而且要做到一个全局的管理。包括现在很多的公司已经在做混合云管理，这个也是大家在上云的过程中需要考虑的问题。阿里云的K8S容器服务ACK到底长什么样，给大家一个概览图。中间的K8S部分就跟大家去玩开源自建是一个道理，这个K8S是没有什么本质上区别。但是上了阿里云之后，我们希望给到大家的是一个完整的体系，而不是单单一个K8S。所以我们会把底下的跟我们的GPU服务器，跟我们弹性计算ECS，跟我们的网络VPC，跟我们的SLB打通。这个在上完阿里云ACK之后，我们一键的方式把它全部集成好，所以大家不用再去关心阿里云的IaaS层应该怎么去做，所以我们希望给大家屏蔽掉这一层复杂性。同时存储也是一样的道理。存储的话，就是所有的阿里云的存储我们全部都已经支持完了，但是现在我们还在做什么事情？就是我们在把阿里云的日志服务，阿里云的中间件的服务，包括我们APM的ARMS，包括我们云监控的，包括我们高可用服务Ahas等全部对接在一起，让大家有一个更高可用的环境，以及一个更安全的环境。我们给到大家一个K8S还是个原生态的K8S，所以大家可能会问我们你的K8S跟我自己的K8S到底有什么区别，所以还是很简单的回答大家这个问题。首先我们在上云的过程中给到大家永远是一个非云厂商锁定的K8S。就是你在线下怎么玩K8S，在线上也可以怎么玩K8S。如果你哪天你想下云的时候，你一样是可以下去的，所以这是我们很坚持的一个宗旨，就是我们不做任何的锁定。但是我们会注重什么事情？首先我们会去考虑怎么做好安全，就是当你的K80的有问题的时候，我们怎么做快速响应，做CVE快速修复，然后我们怎么去打补丁，我们怎么做安全加固。第二就是我们跟阿里云的整个生态做结合。因为阿里云是我们更熟悉，所以我们跟阿里云的底层技术设施怎么打通，这个事情我们自己会做得更好一点。我们现在也跟神龙服务器在一起，我们知道怎么让神龙服务器发挥更好的性能。同时我们还有很多创新，这样的话帮助大家更好的做好弹性。最重要一点实际上是我们做了那么久，我们已经积累了超过几千家的在线客户，这也是我们最大的优势。所以我们从几千家的客户里面浓缩回来大家所需要的最佳实践，我们收集完、整理完之后要返回给大家，帮助大家去用K8S上生产，这也是我们给客户最大的一个核心价值。然后上完云之后，怎么用好K8S，怎么提升你的整个管理能力，提升你的系统效率，这个是我们要讲的“进攻”的部分。我们主要分三个方面去讲。第一个，我们怎么跟我们阿里云的裸金属服务器做结合。第二个，我们会提供性能比较优化好的网络插件Terway。第三个，怎么做好灵活的弹性。 神龙裸金属服务器已经跟我们的容器平台ACK做了无缝融合。它最大的好处是什么？在容器化的时代，我们不需要再去考虑虚拟化的问题。所以两者的融合基本上是一个零虚拟化的开销的方案，容器直接使用到物理上的资源。在我们的神龙服务器里面，给到大家的实际上是个真实的Memory以及真实的CPU。但是它因为使用了阿里云专有的MoC卡技术，所以它可以直接对接到阿里云的云盘，对接到阿里云的VPC的网络。这样的话它的体验跟所有的ECS是一个道理。这样容器化去做资源切割的时候，我们就不会再受虚拟化的影响。同时，它带来了另外一个好处就是它有一个offload的技术。这样网卡的中断会下沉到下面的这张卡上去，这样的话就是当你的流量比较大的时候，它将处理所有的网卡中断的开销，并不开销你本身的CPU。所以我们可以得到一个更极致的计算性能。同时因为它的密度比较高，它基本上是个96核的机器，所以它加入容器集群之后，这个集群的容器的密度相对来说会比较高，所以它成本节约会比较好一点。另外，它是整个阿里云弹性计算资源里面最高规格的网络带宽，单独给30G的网络带宽带给到VPC，同时有20G的网络带宽留给云盘。这样大家可以比较好的去部署高密度的容器，同时它还是可以支持跟ECS是混搭组建集群的。这个特点在弹性场景里面特别高效。你日常的流量可以用到神龙服务器去构建，当你要去做动态伸缩的时候，你可以用ECS。这样两种弹性资源一起使用会帮助大家把成本做到最优。另外一个方面，就是网络支持的情况了。网络的话是由阿里云独创的Terway网卡的多IP方式。实际上我们利用了阿里云里面的ENI的弹性网卡来构建我们的容器的网络，这样的话我们可以用一个ENI来支持10个IP，来构建我们的POD网络。它最大的好处就是它不会再受VPC的路由表大小的约束。所以POD跟你的ECS或者神龙服务器在同一个网络平面，所以它的网络中转开销是非常小的。同时我们还支持了Network Policy，就是K8S里面的标准的Network Policy，以及我们扩展了带宽限流。这样的话也是避免大家不知道怎么去做网络内部的POD跟POD之间的安全管控，以及去做POD之间的网卡的带宽的约束，避免一个POD可以打爆整个网卡，这样的话就会比较好的去保护你的网络。而这个只需要添加annotation就可以完成，不影响K8S的兼容性。最后一个就是我们要去做灵活的弹性。所以做K8S有个说法，就是你不做弹性基本上就相当于没玩KBS。所以，我们给大家提供了一个完整弹性的体系。除了标准的HPA去做伸缩POS之外，我们实际上还提供了阿里云开源的CronHPA，就是定时的方式来支持大家去伸缩POD。我们还提供了额外的指标，来帮助大家按指标的方式来去做弹性伸缩。包括我们日服务SLS里面提供的Ingress Dashboard，拿到你的QPS，拿到你的Latency，或者我们从我们的Arms，或者Ahas拿到你的每一个POD流量的情况，每个POD延迟的情况来做对应的伸缩。因为大家知道你的程序可能开发出来之后，不一定能那么好的完美地去适配CPU。也就是说不是你所有的POD都能够按照CPU的方式来做伸缩，这个时候你就需要根据我们提供的额外的指标的方式来做伸缩，这是公有云里面给大家一个比较好的弹性的方式。另外一个问题就是，当你的资源不够的时候，你可能就需要买更多的机器来支持容量，这个时候我们提供了Autoscaler，它会对接阿里云的ESS来帮助大家自动化的方式来够买机器，然后再重新扩容。所以通过这种方式，来帮助大家做好自动化的运维。但是这里面也有另外一个问题，你可能希望这个伸缩速度会跟快。但是从购买台机器到冷启动再到加入K8S集群，然后再去扩容器这个时间会比较长，如果你的业务是一个突发的业务的话，可能你等不及机器伸缩。所以为了适配这个场景，我们现在又融合了阿里云的ECI，我们利用弹性容器实例来做这个事情，我们做了一个虚拟化的Kubelet，来对接ECI。这个时候大家不需要再去买机器，你可以直接用扩容的方式去做就好了。所以它最大的好处是什么？就是说你不需要额外买机器，你只需要根据你的业务的情况下，直接伸缩容器，它会到ECI的池子里面去找到对应的空闲的容器，然后挂到你的集群里面去。当你不需要的时候，它更快，它直接就可以释放掉了。因为大家知道，如果你是普通的方式，你还是等那台机器所有的容器全释放才可以释放机器，这个时候还有一个时间差。因为大家知道，弹性好最耗钱的地方就是时间。所以就是我们用最块的方式来帮大家去节约掉这个成本。同时大家如果用这样的方式，还可以不需要去做容量规划。因为大家知道，很多时候很难做容量规划。如果今天有100QPS，明天又有1000个QPS，我不知道这个容量怎么做，这个时候可以利用ECI的技术，大家就可以避免这个容量规划了。当然我前面提到，阿里云ACK制定了很多自定义的指标，所以大家只需要去配置对应的定制指标，根据QPS也好，平均Latency也好，还是P99、P999这些相应的最大延迟指标，以及你的入口流量的指标，来做相应的伸缩。所以大家只需要根据这些指标来配置对应的HPA的扩容的伸缩就可以了。所以这样的话，大家比较容易的去找到适配你业务场景的方式。特别是对电商的场景的话，大家很多时候去根据QPS做是比较合理的，如果大家比较有经验的话。另外，伸缩不是做某一个业务/应用的伸缩。所以大家一定要记住一点就是，伸缩一定是一个一体化的联动性的伸缩，所以大家一定要从接入层到服务层同时考虑伸缩性。所以我们利用了Ingress Dashboard的指标(后面监控会提到)，拿到了QPS，可以伸缩我们的接入层，同时我们可以根据APM的系统，就是像阿里云的ARMS这样一个系统，拿到对应的Latency来伸缩我们服务层。这样的话，大家可以构造一个联动性的全局性的伸缩。不然的话，很可能你在入口层面上做了一次伸缩，直接把流量倒了进来，最后打爆了是你的服务层。所以大家一定要考虑这一点，就是所有的伸缩一定是联动性的全局性的。 这是前面讲了，我们怎么去更好地去做管理，以及我们有什么好的方式来提高我们的性能。第三部分的话给大家讲一下怎么去做防守，主要有三部分。 1、怎么做智能化运维。2、怎么做安全体系。3、怎么去做监控体系。从管理角度来讲的话，大家不可或缺的点就是大家一定要去做灰度。从接触的情况来看的话，很多同学实际上并没有完全做到全灰度才上线，但是在阿里云是强制的要求。所以在K8S里面有方便的方式，大家可以用Ingress的方式来做灰度。其实比较简单，就是大家原来有一个旧的服务，那重新启动一个新的服务，都挂同一个Ingress上。那你在Ingress上面配置流量分割。可以是90%的流量割了旧服务，10%的流量给到新的服务，那这样的话Ingress会帮你做一个分流，这是比较简单的一个方式。但是这里面还是有个问题，大家怎么知道什么时候能不能把90%的流量再切割10%流量过去新服务，让10%变成20%。这个也是大家日前比较痛苦的一个地方。因为很多时候发现很多同学很他们最常见的方式是什么？就是找了一个测试同学过来，她帮我测一下新的服务到底OK不OK，如果OK它就直接将90%的流量下降到80%，将10%的流量涨到20%，但是当它涨上去的时候你的系统立马出问题。因为什么？因为你没有很好的依据去做这个流量的切割，你只是去看测试结果，只是看了当时那一刻到底对还是不对，而不是全局性的来看。所以我们在阿里云的K8S里面，我们会帮助大家集成好对应的灰度监控，然后帮助大家去做好可依据的灰度。我们会同时帮助大家去对比新的服务、旧的服务，当前的流量、平均的延迟、错误率、成功率、最大的延迟等等。通过这些去看新服务到底是不是已经满足你的真实的要求。以这个对比的依据来看，你流量的是否应该再继续切割。就像刚才这例子一样，你新服务10%要变成20%，很可能你的延迟已经在增大，你的错误率已经在升高，这个时候你其实并不应该再去增加流量，而是要做回滚。所以这个大家一定要记住一点，就是我们在运维的过程中，一定要做到运维所有的动作一定要有依据。所以我们利用Ingress Dashboard给大家去做相关有依据的灰度。另外是给大家做好对应的主机上在容器层面上的对应的监测和预警。在开源体系里面有一个组件叫NPD，然后我们阿里云又开一个事件告警器叫Eventer。我们把这两个东西打成了一个Helm包，在应用目录里面提供给大家。大家可以做好相应的配置之后，当你发生Docker挂了，当你发现主机时间同步有问题，或者程序没开发好造成FD被打爆，这个时候我们会把相应的通知，通过钉钉的方式要发给大家。所以大家一定要记住在上完容器之后，你还在容器层面上的主机层的监控，跟你普通的非容器的主机监控是有区别的。所以大家下来一定要想办法把容器层面的主机监控再重新补回去。另外，我们还一直在深化去做一些智能化的运维。例如容器上云后还必须做一些相关优化的配置。大家知道，上云之后，K8S应该用什么机器，用什么的SLB，用什么的网络，这些东西都需要做一个选优的，根据你的业务场景去做选优，所以怎么去选，我们会做一些相关的优化的推荐。我们会帮助大家去做一些相应的深度的监测，你到底有没有改过哪些配置，哪些配置被你改错了等等。如果有一些错误的配置，智能运维会提醒你要去做一些纠错，减少大家后期发现错误的纠错高成本。这一块，我们还一直在深化中。“防守”的第二件事情是要做安全。上云之后，大家会觉得就主机层面上的安全不一定够了。所以在容器管理层面上大家还需要去看看这个安全应该怎么做。安全的话，就是大家还是要记住一点就是安全一定要做全方位的安全，大家不要把安全认为是一个很小的事情，特别是很多公司是没有安全团队的，所以这个时候运维要承担好这个职责。安全的话，我们主要是分三个方面来做安全。第一就是“软性安全”，例如社区层面的合作，然后是阿里云安全团队来帮我们做相应的一些“加持”，同时我们也会给客户做一些定期的安全的赋能。另外一块的话就是IaaS层的安全，我们会做一些CVE的修复。我们还有阿里云自己的IaaS加固，以及我们现在还有镜像漏洞扫描。阿里云的镜像仓库已经支持了镜像扫描，所以这里也提醒大家。每次上业务，上生产之前，务必做一次镜像扫描。所有的开源社区提供的镜像都可能有漏洞的，大家记住。所以怎么去做好这些漏洞的防护，大家一定要下好功夫。同时我们提供对应的磁盘的加密，所以这一块大家可以做好数据的加密。在K8S运行层面的话，我们团队做的更多的是在K8S审计日志方向，我们过会儿讲一下。包括我们会有更严密的KBS的这种安全的配置，以及我们会去做容器运行时的实时安全监测。所以大家有兴趣的话，可以看看阿里云安全的产品，他们已经支持了安全运行态的这种实时的检测。同时我们还支持安全的管控，就是所有的安全配置我们都是双向认证。特别强调一点就是从管理层面上来讲的话，我们会做好对应的整个平台的安全的管理。这里更多的是针对内控。大家知道，实际上真正能偷盗你数据那个人，最容易的那个人是你们公司运维里面最有权限的那个人。所以，这里面才是大家日常需要重点管控的一个地方。我们把所有能够接触到K8S的所有的入口，我们都做了一层安全审计。除了安全审计落日志的同时，我们还提供了很多预置的安全的审计项来帮助大家做预警。这里举一个例子，就是假如你的K8S如果有安全性的入侵，有人进入你的容器，我们会给大家落审期日志，包括到底是哪个用户用了什么命令进入了哪个容器。同时大家可以去配一个钉钉告警，这样一分钟内我们会把这个告警给告出来，这样的话大家可以知道，有人进入你的容器环境了。这样确保整个K8S环境足够的安全。原则上是这样的，就是大家去用K8S的时候，在生产系统里面不应该在有人能够进入容器，所以一定要提醒大家做一点的防范。另外一点大家比较难做的地方就是人员的变动。如果人员的变动之后，他这个人对系统在之前的时间内做过什么事情，大家有没有清楚？所以，同样的道理，我们会提供人员审计视图，根据人员子账户进行搜索审计的信息。这样的话，大家对内的安全管控是比较容易去做的，你只需要输入他使用的子账户名字，我们会帮助你把他所有K8S的操作都列出来。这样就是避免有人偷你的数据到外面去了，而不是两三个月后你还不知道。所以这个是帮助大家去做好人员离职的管控。安全层面上的话，大家务必要把审计日制这个事情看得比较重。最后给大家讲一下，我们怎么去做整个监控体系，以及整个链路分析体系。整个监控体系的话，是非常的庞大。因为大家知道，很多同学在IDC里面自建K8S也好，还是在云上玩也好，只会去考虑Prometheus监控架构为主。但实际上，在上完阿里云之后，会帮助大家做好整个K8S的监控体系以及链路分析。首先是我们从全局的角度来讲，会去给大家展示一下你整个KBS层面上，到底有多少个网络单元有多少个ECS，有多少个SLB，然后你机器部署的情况什么样子。(Demo演示图)我们底层会依赖于阿里云的云监控，以及刚才说的NPD的组件。中间这层还是标准的Prometheus架构。但是这里面有个问题，Prometheus架构非常的耗资源，所以我们会把它剥离出来作为一个托管的服务来提供，避免大家在集群规模越来越大的时候，Prometheus会把资源重新吃回去。顶层的话，我们会给大家提供对应的ARMS以及SLS的Ingress Dashboard的监控。我们细看一下整个流程应该上图这样子，大家一定要把所有的监控体系，以及链路分析体系构建完整。包括你从前端进来，到Ingress入口，然后到中间的Prometheus，最后到应用层的监控Arms，最后落到代码层面上的执行效率还是错误。大家一定要把这个链路链条构建出来，这样话帮助大家出现问题的时候，能够立马找到问题根源。因为在互联网体系里面，大家的每一次的问题，解决所带来的时间开销，就是你的成本。前面刚才提到了，在应用层面的话，我们给大家预置了日志服务SLS提供的Ingress Dashboard。因为大家知道，从Ingress是全局的流量入口。大家通常的做法都去构建一个庞大的ELK系统做监控，这个成本是相当高的。但是，我们会帮助大家只需要落盘到我们的阿里云的SLS的服务。我们就会把这个全部Ingress监控指标构建出来，包括你当天的PV/UV，包括你现在延迟的情况，包括你上一周以及昨天的同时间的一个PV/UV的对比，包括你流量的TOP的省份，TOP的城市，包括你最后错误的以及最高延迟的地方，有500错误发生的地方在URL是什么，我们把这些东西全部给大家做成一个大的Dashboard，这样的话大家可以以成本最低的方式来看你的整个系统的运行情况。同时这个Dashboard是支持扩展的。目前这个也是现在上阿里云ACK的时候，大家非常喜欢的一个东西。如果我们要对服务体系做监控的话，可能大家要去考虑怎么接入APM系统了。这一块，我们之前发现很多同学最痛苦的地方在哪，就是很多业务开发的同学其实并不喜欢做接入。因为他去做接入的时候，你要给他一个jar包，然后他要在程序里去引入这个jar包，重新打镜像才能上线，这个是其中一个繁琐的环节。另外一个环节就是大家其实最讨厌的地方就是当你的APM系统升级的时候，你要求所有的业务人员全部更新换jar包，要重新打包镜像，重新上线，业务开发人员就是非常地恼火了。所以我们在容器时代的时候，我们做了一个比较简单以及优雅的方案。我们提供一个应对的helm包给大家，做好相应的部署之后，只需要做一个事情：只需要你在发布容器的时候打上两个Annotation我们就自动做好APM系统(阿里云Arms)接入了。当你要做升级的时候，只需要把那个应用重新做一次发布，它自动用最新的jar包把那个旧包给换掉了。所以在运维的阶段，大家就可以去决定要不要接入APM系统，而不需要开发的参与。我们连开发包都不需要给到开发。大家也可以用同样思路，在接入外部系统的时候，思考怎么做到一个无侵入的一个方式。刚才提到了，我们实际上是支持了Prometheus的托管。原来大家在K8S里面去做Prometheus的话，需要构建一堆的组件，而这些组件是非常的耗资源的。所以我们现在的做法就是提供一个Helm包给到大家。这样的话，大家只需要简单的一键安装，就可以用到阿里运托管的Prometheus服务。然后通过托管的Grafana的方式去看相应的数据，去做相应的告警。这些都是在后台做了，跟你整个集群没有任何关系，这样你的集群资源是最节约的也是最稳定的。今天大概就这样给大家分享这几部分，谢谢大家！

2019年9月25日，一年一度的杭州云栖大会，聚集了来自世界上几十个国家的上千名科学家、CTO、企业家，以及对技术充满热情的超过6.7万名从业者和爱好者、超1250万人在线观看。阿里云MVP与开发者一起荣聚在云栖小镇内，开展了一系列丰富多彩的活动。 阿里云MVP（阿里云最有价值专家），是专注于帮助他人充分了解和使用阿里云的技术实践领袖。自2017年6月阿里云MVP发布以来，有来自33个国家480+位MVP诞生，他们灿若繁星，来自不同的行业：大数据、人工智能、新零售、安全、数据库、IoT等，在各行各业中接受不同的技术挑战，阿里云MVP正在成为中国和世界数字经济时代的先锋者！ 2019年9月24日-9月27日期间，全球阿里云MVP在杭州参加了2019 阿里云MVP全球闭门会、产品夜谈、杭州云栖大会各专场分享、云栖直播间、Exhibition Tour 等多个环节，认识行业大伽，与技术精英交流不同的技术观点，身体力行的传承技术精神和信仰。 精彩环节：2019 阿里云MVP全球闭门会，荣聚云栖小镇 2019年9月24日，本次全球闭门会回到了2013年首个阿里云创业创新基地的云栖小镇咖啡馆内，在阿里云十年之即回归初心。阿里云MVP一年一度的大型聚会，全球各地的MVP们一起讨论行业的变革、未来机遇、过去一年的实战经验，以技术会友，结识了更多的技术达人。阿里云走过了十年的时光，展望下一个十年，整个社会都将全面进入数字经济时代！ 闭门会现场中，刘湘雯作为阿里云智能战略和合作部的总经理，为远道而来的全球MVP介绍了阿里巴巴集团发展的大事记，包括阿里云的成立、蚂蚁金服的正式成立以及“五新战略”的发布；同时还介绍了目前阿里巴巴数字经济体的构成，过去一年数字媒体及娱乐板块发展迅速；阿里云十年发展到今天，产品一直是核心竞争力，IT基础设施云化、核心技术互联网化、应用数据化智能化，这三个是最为重要的方面。 阿里云未来会更聚焦于基于技术的创新和突破，也希望与MVP共同面对技术挑战。在分享的最后，湘雯回顾了阿里云MVP发展的历史，感谢各位阿里云MVP在过去一年的努力，希望未来可以一起携手共创辉煌！ 何导作为阿里云智能产品管理部的总经理，分享了阿里云产品布局和未来融合IoT的架构构思，IT基础设施未来将会全球云化，新的算力、新效率诞生，同时核心技术将会互联网化，大部分的企业都会获得新架构、新性能、新服务；未来的AIoT平台中，将会出现能够为每个平台提供万物智联的基础设施，让万物能够畅通互联；而即将到来的5G时代，会用到更多的智能边缘计算，而企业在进行万物互联的时候，只有让企业感到安全，它们才能放心！何导的精彩分享带领了MVP抢先走进All In Cloud的新时代。 铮明作为阿里云智能全球技术服务部的资深技术专家，与三位MVP上海雾帜智能科技有限公司CTO傅奎、浙江银杏谷投资总裁技术助理戚俊、畅捷通信息技术股份有限公司运维总监熊昌伟以“企业上云加速科技创新”核心话题，从不同行业和技术领域角度进行了讨论。 更多内容可以关注“MVP时间-杭州云栖大会精选（上线中）“ 同时特别邀请到阿里巴巴集团合伙人&阿里云智能基础产品事业部负责人小邪作为全球MVP的颁奖嘉宾，为过去一年对阿里云产品最有贡献的全球MVP颁发了定制奖杯！感谢在技术分享、产品共建、行业创新等多个方面和阿里云共同前进的技术人，每一个奖项都是MVP对技术梦想的追求和持续实践的证明。 最后三位不同行业和不同技术领域的国内外MVP从金融、物联网和云原生方向带来他们的实战经验。荷兰MVP Leonard分享了主题《Serverless: Past,

  元数据驱动的SAAS架构 道冲而用之或不盈，渊兮似万物之宗 —老子 专用聪明，则功不成，专用晦昧，则事必悖，一明一晦，众之所载 —鬼谷子 君子屈于不己知而伸于知己 —吕氏春秋 年初的计划立了三个方向FLAG，已经码了一个方向：聊聊面向服务的架构，现在开工第二个方向，希望今年完成所有三个方向。   扯淡 前一段时间拖拖拽拽看了电视剧”长安十二时辰“，一路上都是张小敬的一夫当关，万夫之勇，还有各美女相互陪衬，出人意料的是徐宾，一个八品小吏，人微言轻，但总想做出点让自己得意的事，才好闭眼，徐宾选择的是铤而走险，穷其个人谋略，虽然最后挂掉了，但是目的达到了，随了自己的心意。其实这个剧有个人并没有得到应有的聚焦，这个人就是中唐名相—李泌，李泌所处时代说好听点是中唐，说不好听点是乱唐。世人只知盛唐魏征、房玄龄，鲜有人闻乱唐名相李泌。李泌，中唐史上传奇名相，几乎和郭子仪相始终，身经四朝-玄宗、肃宗、代宗和德宗四代帝王，参与宫室大计，辅佐朝廷，运筹帷幄，对外战略，配合郭子仪等各个将领的步调，使其延续唐朝大业，善用谋略拨乱反正、安邦定国。但史评”泌有谋略，而好谈神仙怪诞，故为世所轻“实在是不公平。   引子 作为业务系统技术开发同学，面向当下：1.首先应该是快速搭建业务通路，让线上业务跑起来，快速试错，解决生存问题；2.第二步是在链路通了，业务基本跑起来的基础上如何支撑业务跑更快，解决快速增长问题；3.第三步：在完成支撑业务快速增长的基础上，要进行精细化提升，通过在吃撑业务快跑间隙挤时间打磨系统功能和体验，踏踏实实花时间，抽象能力，沉淀产品，提升效能； 同时我们也必须面向未来:如何在抽象能力以及沉淀了产品的基础上，如何把所承载和沉淀的业务能力快速输出，贡献给整个行业，抑或为整个社会商业生态提供基座支撑。那么面向未来，将平台产品进行SAAS化升级真正将能力进行有价值开放输出是我们提前要布局的核心方向。 那么将平台产品进行SAAS输出，需要解决那些问题呢？这里尝试把核心问题列举一下： 如何根据不同用户需求进行计算能力按需调度分配？（IAAS/PAAS） 如何满足用户数据安全性要求，严格隔离不同用户的数据，使用户只能看到自己的数据？（PAAS） 如何支持不同用户在标准的数据对象/数据模型上按需添加定义自定义的数据对象/扩展模型？（PAAS

导读 唐宋八大家之一欧阳修在《卖油翁》中写道： 翁取一葫芦置于地，以钱覆其口，徐以杓酌油沥之，自钱孔入，而钱不湿。因曰：“我亦无他，唯手熟尔。” 编写代码的”老司机”也是如此，”老司机”之所以被称为”老司机”，原因也是”无他，唯手熟尔”。编码过程中踩过的坑多了，获得的编码经验也就多了，总结的编码技巧也就更多了。总结的编码技巧多了，凡事又能够举一反三，编码的速度自然就上来了。笔者从数据结构的角度，整理了一些Java编程技巧，以供大家学习参考。 1.使用HashSet判断主键是否存在 HashSet实现Set接口，由哈希表（实际上是HashMap）支持，但不保证set 的迭代顺序，并允许使用null元素。HashSet的时间复杂度跟HashMap一致，如果没有哈希冲突则时间复杂度为O(1)，如果存在哈希冲突则时间复杂度不超过O(n)。所以，在日常编码中，可以使用HashSet判断主键是否存在。 案例：给定一个字符串(不一定全为字母)，请返回第一个重复出现的字符。 /** 查找第一个重复字符 */ public static Character findFirstRepeatedChar(String string) { // 检查空字符串 if

最炫的技术新知、最热门的大咖公开课、最有趣的开发者活动、最实用的工具干货，就在《开发者必读》！ 每日集成开发者社区精品内容，你身边的技术资讯管家。 每日头条 消灭 Java 代码的“坏味道” 代码中的”坏味道”，如”私欲”如”灰尘”，每天都在增加，一日不去清除，便会越累越多。如果用功去清除这些”坏味道”，不仅能提高自己的编码水平，也能使代码变得”精白无一毫不彻”。这里，一直从事Java研发相关工作的阿里高级地图技术工程师王超，整理了日常工作中的一些”坏味道”，及清理方法，供大家参考。 最强干货 Java 编程技巧之数据结构 “老司机”之所以被称为”老司机”，原因也是”无他，唯手熟尔”。编码过程中踩过的坑多了，获得的编码经验也就多了，总结的编码技巧也就更多了。总结的编码技巧多了，凡事又能够举一反三，编码的速度自然就上来了。笔者从数据结构的角度，整理了一些Java编程技巧，以供大家学习参考。 含光800NPU云栖PPT回顾【芯片与软件栈系列之—-剑走偏锋】 古往今来，中外各国，兵器种类繁多。中国有“十八般兵器“，还有不少奇门兵器。 上古三剑 一曰“含光”，2019云栖圆满结束，平头哥含光800正式发布，成为了焦点中的焦点。 号外号外，DataV新增拓展包来啦，帮你实现更强大的可视化！ DataV旨让更多的人看到数据可视化的魅力，帮助非专业的工程师通过图形化的界面轻松搭建专业水准的可视化应用，满足您会议展览、业务监控、风险预警、地理信息分析等多种业务的展示需求。 每天读本书 《Docker微服务架构实战》| 每日读本书

蚂蚁金服在过去十五年重塑支付改变生活，为全球超过十二亿人提供服务，这些背后离不开技术的支撑。在 2019 杭州云栖大会上，蚂蚁金服将十五年来的技术沉淀，以及面向未来的金融技术创新和参会者分享。我们将其中的优秀演讲整理成文并将陆续发布在“蚂蚁金服科技”公众号上，本文为其中一篇。 在云原生发展趋势之下，金融行业想要应用云原生技术，安全问题是一个非常大的拦路虎，而云原生社区对安全问题的重视程度远远不够。蚂蚁金服在落地云原生的时候，解决安全问题是重中之重，经过探索与实践，我们沉淀出了一套从底层硬件到软件、从系统到应用层的全链路金融级云原生安全架构。 金融行业最重要的就是信任，我们认为，安全所带来的信任，是一种无形的产品，支撑着所有金融业务。 顺应互联网时代发展，金融行业与机构也发生了很多的变化，包括 App、小程序等更多的访问渠道，更快的业务变化，更多的第三方供应商。但是，不管怎么变化，金融行业有一点始终不变，那就是 Zero Fault，对错误的零容忍，也就是对稳定性和安全性的极高要求。 这里，我还想澄清大家对金融行业的一个错误看法，就是，大家都说金融机构有很多遗留系统，很多技术是十几年前的，就认为金融机构的技术是落后的。但其实，金融行业一直是科技含量非常高的。前段时间有一部电影上映，叫《蜂鸟计划》，根据真实事件改编，讲一帮做高频交易的人，为了降低从堪萨斯到纽约交易所的时间，建造了一条上千英里直通两地的光纤，想尽办法去争取那最后一毫秒。所以，金融行业并不只有平庸保守的科技，它同样也在追逐最前沿最先进的技术，我们的使命就是要用科技来进一步武装金融行业，为金融科技注入更多的活力。 云原生架构其实代表一种新的生产力，金融行业肯定是需要云原生的，它为我们带来了节约成本和敏捷开发的能力，但是在它前面还需要加一个定语，就是安全的云原生架构，它里面不仅仅包含之前的相对简单的安全方案，而是一个从端到端的全链路可信的安全解决方案。包括明晰代码所有权，做到可信启动，对镜像的制作和发布收口，配合账号体系，明晰应用的所有权和访问权限；以及安全可独立部署的精细化隔离方案，将安全策略和实施集成在基础架构中，对软件开发和测试透明。 这里我们着重分享蚂蚁金服正在实践的几项云原生安全技术，包括云原生网络安全 Service Mesh，安全容器，以及机密计算。 云原生网络安全：SOFAMesh 当前，云原生里除了容器之外第二大技术其实就是 Service Mesh，从蚂蚁的实践来看，其实它对金融安全有非常高的帮助。它至少可以做到三点： • 策略化高效流量控制，可以帮助运维迅速适应业务快速变化；•