gVisor

原文链接： https://cloud.tencent.com/developer/news/215218 前言： libvirt-4.3搭配qemu-2.12使用，如果使用默认的编译选项，可能会让qemu无法正常启动虚拟机。会报出来“qemu-system-x86_64: -sandbox on,obsolete=deny,elevateprivileges=deny,spawn=deny,resourcecontrol=deny: seccomp support is disabled”的错误。 1， seccomp support is disabled 在编译的时候，没有打开CONFIG_SECCOMP编译选项。 从configure文件上来看，如果安装了libseccomp就是默认打开的；再或者就是--enable-seccomp和--disable-seccomp来控制。 2，libvirt /etc/libvirt/qemu.conf中通过seccomp_sandbox来控制。 0是关闭，1是打开，-1是自动检测。注意，如果这里没有配置，libvirt则会自动检测。 那么就会出现上文的状况，libvirt的检测逻辑中，没有发现当前版本的qemu不支持sandbox，启动参数中带有了sandbox配置，导致qemu报错。 解决办法就是安装libseccomp

6 月 18 日举办的 ServerlessDays China 活动，技术大咖云集。来自加州大学伯克利分校，serverless.com，腾讯云和谷歌云等云计算领域的学者与专家共同讨论了无服务器计算的最新创新，用例和未来方向。 O'Reilly 在 2019 年对 1500 名 IT 专业人士的调查中，有 40％ 的受访者在采用无服务器架构的机构中工作。 发布于2020年的 DataDog 调查 显示，现在有超过 50％ 的 AWS 用户正在使用无服务器的 AWS Lambda 函数即服务（FaaS）。 无服务器技术正在成为主流。 Serverless Days 是无服务器技术的国际前沿技术盛会。来自业界和学术界的知名专家，就为什么无服务器风靡一时、以及企业为什么要关注无服务器，分享了很多实际案例与洞见。 Johann Schleier-Smith 谈到了无服务器计算的历史和未来。他是《简化的云编程：Berkeley 关于无服务器计算的观点》论文的作者之一，该报告将无服务器计算定义为无状态 FaaS（函数即服务，例如 AWS Lambda）和有状态存储 BaaS（后端即服务，例如 AWS S3）。 在我们的定义中，要使服务被认为是无服务器的，它必须在无需显式配置的情况下自动扩展，并根据使用情况进行计费。 — Berkeley 关于无服务器计算的观点 根据 Schleier

概述 云原生（Cloud Native）是一套技术体系和方法论，它由2个词组成，云（Cloud）和原生（Native）。云（Cloud）表示应用程序位于云中，而不是传统的数据中心；原生（Native）表示应用程序从设计之初即考虑到云的环境，原生为云而设计，在云上以最佳状态运行，充分利用和发挥云平台的弹性和分布式优势。 云原生的代表技术包括容器、服务网格（Service Mesh）、微服务（Microservice）、不可变基础设施和声明式API。更多对于云原生的介绍请参考 CNCF/Foundation 。 笔者将“云原生安全”抽象成如上图所示的技术沙盘。自底向上看，底层从硬件安全（可信环境）到宿主机安全 。将容器编排技术（Kubernetes等）看作云上的“操作系统”，它负责自动化部署、扩缩容、管理应用等。在它之上由微服务、Service Mesh、容器技术（Docker等）、容器镜像（仓库）组成。它们之间相辅相成，以这些技术为基础构建云原生安全。 我们再对容器安全做一层抽象，又可以看作构建时安全（Build）、部署时安全（Deployment）、运行时安全（Runtime）。 在美团内部，镜像安全由容器镜像分析平台保障。它以规则引擎的形式运营监管容器镜像，默认规则支持对镜像中Dockerfile、可疑文件、敏感权限、敏感端口、基础软件漏洞

概述 云原生（Cloud Native）是一套技术体系和方法论，它由2个词组成，云（Cloud）和原生（Native）。云（Cloud）表示应用程序位于云中，而不是传统的数据中心；原生（Native）表示应用程序从设计之初即考虑到云的环境，原生为云而设计，在云上以最佳状态运行，充分利用和发挥云平台的弹性和分布式优势。 云原生的代表技术包括容器、服务网格（Service Mesh）、微服务（Microservice）、不可变基础设施和声明式API。更多对于云原生的介绍请参考 CNCF/Foundation 。 笔者将“云原生安全”抽象成如上图所示的技术沙盘。自底向上看，底层从硬件安全（可信环境）到宿主机安全 。将容器编排技术（Kubernetes等）看作云上的“操作系统”，它负责自动化部署、扩缩容、管理应用等。在它之上由微服务、Service Mesh、容器技术（Docker等）、容器镜像（仓库）组成。它们之间相辅相成，以这些技术为基础构建云原生安全。 我们再对容器安全做一层抽象，又可以看作构建时安全（Build）、部署时安全（Deployment）、运行时安全（Runtime）。 在美团内部，镜像安全由容器镜像分析平台保障。它以规则引擎的形式运营监管容器镜像，默认规则支持对镜像中Dockerfile、可疑文件、敏感权限、敏感端口、基础软件漏洞

概述 云原生（Cloud Native）是一套技术体系和方法论，它由2个词组成，云（Cloud）和原生（Native）。云（Cloud）表示应用程序位于云中，而不是传统的数据中心；原生（Native）表示应用程序从设计之初即考虑到云的环境，原生为云而设计，在云上以最佳状态运行，充分利用和发挥云平台的弹性和分布式优势。 云原生的代表技术包括容器、服务网格（Service Mesh）、微服务（Microservice）、不可变基础设施和声明式API。更多对于云原生的介绍请参考 CNCF/Foundation 。 笔者将“云原生安全”抽象成如上图所示的技术沙盘。自底向上看，底层从硬件安全（可信环境）到宿主机安全 。将容器编排技术（Kubernetes等）看作云上的“操作系统”，它负责自动化部署、扩缩容、管理应用等。在它之上由微服务、Service Mesh、容器技术（Docker等）、容器镜像（仓库）组成。它们之间相辅相成，以这些技术为基础构建云原生安全。 我们再对容器安全做一层抽象，又可以看作构建时安全（Build）、部署时安全（Deployment）、运行时安全（Runtime）。 在美团内部，镜像安全由容器镜像分析平台保障。它以规则引擎的形式运营监管容器镜像，默认规则支持对镜像中Dockerfile、可疑文件、敏感权限、敏感端口、基础软件漏洞

6 月 18 日举办的 ServerlessDays China 活动，技术大咖云集。来自加州大学伯克利分校，serverless.com，腾讯云和谷歌云等云计算领域的学者与专家共同讨论了无服务器计算的最新创新，用例和未来方向。 O'Reilly 在 2019 年对 1500 名 IT 专业人士的调查中，有 40％ 的受访者在采用无服务器架构的机构中工作。 发布于2020年的 DataDog 调查 显示，现在有超过 50％ 的 AWS 用户正在使用无服务器的 AWS Lambda 函数即服务（FaaS）。 无服务器技术正在成为主流。 Serverless Days 是无服务器技术的国际前沿技术盛会。来自业界和学术界的知名专家，就为什么无服务器风靡一时、以及企业为什么要关注无服务器，分享了很多实际案例与洞见。 Johann Schleier-Smith 谈到了无服务器计算的历史和未来。他是《简化的云编程：Berkeley 关于无服务器计算的观点》论文的作者之一，该报告将无服务器计算定义为无状态 FaaS（函数即服务，例如 AWS Lambda）和有状态存储 BaaS（后端即服务，例如 AWS S3）。 在我们的定义中，要使服务被认为是无服务器的，它必须在无需显式配置的情况下自动扩展，并根据使用情况进行计费。 — Berkeley 关于无服务器计算的观点 根据 Schleier

从2015年5月初开始创业开发 HyperContainer (runV) 到现在，也快五年了，在这个时候还来写一篇什么是安全容器，显得略有尴尬。不过，也正是经过这五年，越来越多到人开始感到，我需要它却说不清它，这个时候来给大家重新解释 “ 安全容器 ” 也正是时候。 缘起：安全容器的命名 Phil Karlton 有一句名言—— 计算机科学界只有两个真正的难题——缓存失效和命名。 就容器圈而言，我相信命名绝对配得上这句话，这毫无疑问是一件让老开发者沉默，让新人落泪的事情。 仅就系统软件而言，我们当今比较通行地称为 Linux 容器（LinuxContainer）的这个概念，曾经用过的名字大概还有——jail, zone, virtualserver, sandbox... 而同样，在早期的虚拟化技术栈里，也曾经把一个虚拟机环境叫做容器。毕竟这个词本身就指代着那些用来包容、封装和隔离的器物，实在是太过常见。以至于，以严谨著称的 Wikipedia 里，这类技术的词条叫做“系统级虚拟化”，从而回避了“什么是容器”这个问题。 当2013年 Docker 问世之后，容器这个概念伴随着“不可变基础设施”、“云原生”这一系列概念，在随后的几年间，以摧枯拉朽之势颠覆了基于“软件包+配置”的细粒度组合的应用部署困境，用简单地声明式策略+不可变容器就清爽地描述了软件栈。应用怎么部署似乎离题了

文章联合撰稿人（排名不分先后） 叔同、谷朴、不瞋、育睿、许晓斌、至简、典违、鲁直、改之、小剑、汤志敏、白慕、循环、文卿，喽哥、水鸟、神秀。 在筹备 阿里云首届云原生实践峰会 的过程中，我们展开了对云原生技术的应用和研究领域的探索，邀请了 17 位云原生技术专家从 Serverless、Service Mesh、Kubernetes、边缘计算、容器实例与容器引擎、云原生基础架构、云原生应用开发 7 个发展方向，回顾 2019 云原生领域进展，描绘云原生技术的新十年。 2020 云原生标志性事件预测 展望 2020，在云原生技术的应用和研究领域，我们预见会有这些标志性事件。 第一，云原生技术关注重心在上移，Serverless和应用管理重点。 过去的几年我们看到，云原生技术重心围绕容器和容器编排。Docker 和 K8s 的成功几乎成了云原生的代名词。很多人说，Kubernetes is becoming boring，这是对于技术的趋势来说。 云原生关注重心即将上移： 应用的定义和配置、发布和线上的自动化运维，成为开发和运维人员关心的核心内容。阿里巴巴和微软联合推出的 Open Application Model (OAM) 就是这个方向的一个重要项目； 作为云原生技术的延伸，无服务器计算（Serverless）将进一步释放云计算的能力，将安全、可靠、可伸缩等需求由基础设施实现

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 我们从 2016 年开始在集团推广全面的镜像化容器化，今年是集团全面镜像化容器化后的第 4 个 双11，PouchContainer 容器技术已经成为集团所有在线应用运行的运行时底座和运维载体，每年 双11 都有超过百万的 PouchContainer 容器同时在线，提供电商和所有相关的在线应用平稳运行的载体，保障大促购物体验的顺滑。 我们通过 PouchContainer 容器运行时这一层标准构建了应用开发和基础设施团队的标准界面，每年应用都有新的需求、新的变化，同时基础设施也有上云/混部/神龙/存储计算分离/网络变革这些升级，两边平行演进，互不干扰。技术设施和 PouchContainer 自身都做了很大的架构演进，这些很多的架构和技术演进对应用开发者都是无感知的。 在容器技术加持的云原生形成趋势的今天，PouchContainer 容器技术支持的业务方也不再只有集团电商业务和在线业务了，我们通过标准化的演进，把所有定制功能做了插件化，适配了不同场景的需要。除了集团在线应用，还有运行在离线调度器上面的离线 job 类任务、跑在搜索调度器上面的搜索广告应用、跑在 SAE/CSE 上面的 Serverless 应用、专有云产品及公有云（ACK+CDN）等场景，都使用了 PouchContainer 提供的能力。