《騰訊云：Serverless架構的資源平衡管理（2023）（28頁）.pdf》由會員分享，可在線閱讀，更多相關《騰訊云：Serverless架構的資源平衡管理（2023）（28頁）.pdf（28頁珍藏版）》請在三個皮匠報告上搜索。

1、代 碼 傳 遞 思 想 技 術 創 造 回 響騰訊云工具指南Serverless架構的資源平衡管理04編者按Serverless具備彈性、自由、靈活等云原生技術的天然優勢，但是隨著企業數字化逐步深化，Serverless在實際開發運維中也面臨部署流程復雜、資源管理零散、管理難度大等新的挑戰。騰訊云認為，資源安全可控、運維高效敏捷、成本消耗可預期是資源管理中的三種極致又相互矛盾的需求，如何在企業級運維中實現三者均衡的最優解，是Serverless能否從邊緣的、離線的、非核心的業務，走向核心業務的決定性因素。本期指南將呈現騰訊云相關產品如何實現安全/性能/成本三者的資源平衡管理最優解目錄CONTE

2、NTS騰訊云TVP、CNCF中國區總監陳澤輝CNCF云原生調研中的Serverless 趨勢解讀洞察技術專家解讀趨勢010502案例騰訊云“實戰經驗”分享騰訊云容器專家架構師邱凱使用TKE超級節點實現訪問控制安全08騰訊云存儲產品負責人崔劍Serverless數據湖存儲在AIGC場景的架構與落地11騰訊云數據庫產品經理陳昊使用TDSQL-C Serverless服務實現數據庫極致彈性14騰訊安全云鼎實驗室安全專家張恒Serverless架構資源的安全攻防演繹17小型電商系統的TDSQL-C數據庫應用2703交流開發者的難點與解惑普遍趨勢的數據解讀技術場景問題探討開發環境的動手實驗222325T

3、echo小助手快問快答P A R T01洞察技術專家解讀趨勢Serverless作為云原生開發架構的核心組成部分，逐漸為更多開發者所采用它未來會有什么樣的發展趨勢？以及將會遇到什么樣的挑戰？且聽騰訊云技術專家分享CNCF調研數據及成果騰訊云TVP、CNCF中國區總監 陳澤輝云原生時代，Serverless技術的發展趨勢與面臨的挑戰云原生技術自2015年誕生以來，不斷演進成為一種應用云化開發、部署和運行的主流方式。Serverless作為云原生開發架構的核心組成部分，可以更好地幫助企業和開發者實現敏捷創新。Serverless作為主要的云原生趨勢，能夠讓開發者專注業務發展而無需關心其他底層技術，

4、同時提升云計算資源利用效率，而Serverless具備的極致彈性和自動擴展能力也被越來越多的開發者采用。在CNCF發布的云原生調查報告中，云原生三個方面Service Mesh（服務網絡）、Serverless Architecture/FaaS（無服務器架構/FaaS）、Service Proxies（服務代理）在過去三年上升趨勢明顯，分別占比提升到了47%、53%、71%。云原生時代，Serverless技術強勢崛起洞察技術專家解讀趨勢05騰訊云工具指南 Serverless架構的資源平衡管理趨勢一，Serverless technology和其他技術整合（例如：邊緣計算）。Gartner

5、預測，到2025年，四分之三的企業級數據將在邊緣創建，這將會發生在傳統數據中心或云之外。新興的很多應用程序被安裝并保持在本地，直到需要擴展時將無縫過渡到內置的Serverless云。這種部署對物聯網領域已經采用的邊緣計算極具吸引力,特別是令5G中使用邊緣計算的延遲減少了（1-5 毫秒），這種邊緣加上Serverless將使計算更接近終端用戶。趨勢二，功能即服務或FaaS不斷擴大。Serverless作為端到端應用程序開發平臺的推動者，在開發人員中普及了 FaaS編程風格。還能在多云部署的趨勢下，在公共云服務提供商的產品之上構建抽象層，有助于將業務服務與云供應商的專有技術分離，并提供根據服務特定

6、要求選擇Serverless平臺提供商的靈活性。趨勢三，Serverless平臺和容器，兩個世界力量的結合。容器與Serverless函數相比，被認為是更粗粒度的替代選擇。當前Serverless平臺已經開始支持容器來打包和部署應用程序代碼。趨勢四，Serverless將繼續成為云提供商的重點領域。在此趨勢下表明，新的創新產品將繼續出現。采用Serverless模式后，會將更多服務器運維、安全相關的事情交給云提供商來操作。例如FaaS、BaaS、DBaaS、STaaS、Kubernetes和CaaS、MLaaS等，可以簡化開發者的工作。Serverless持續發展，展現四大趨勢挑戰一，供應商鎖

7、定。Serverless架構在設計和遷移階段必須考慮供應商鎖定問題。因為供應商在運行時的編程語言不都是統一的，一些供應商平臺使用專有或內部開發的工具進行打包和部署。所以從一開始選擇Serverless架構就應當清楚了解從一個供應商過渡到另一個供應商時可能發生的關鍵問題，減少鎖定問題發生的可能性。挑戰二，估算成本難。由于Serverless服務的定價模式是純按使用收費，有時會存在供應商及套餐數量方面的不同，計算方法也存在差異，估算成本也會有難度。因此，在沒有固定費用的情況下，分析各個供應商在資源支付時的報價，也算是應對估算成本挑戰的好方式。挑戰三，冷啟動。Serverless在特定的情況下，可能

8、出現激活延遲（冷啟動）。而造成冷啟動的因素有三：編程語言、分配的和可用的資源、依賴項的數量和整體應用程序的復雜性。因此，如果想減少冷啟動的發生，重要的是處理參數中的每一個以優化函數的啟動時間，然后采用供應商推薦的具體技術改善冷啟動的問題。挑戰四，安全風險。所有Serverless供應商都會提供高級安全系統，但其系統是為多個客戶提供服務所設計的，與專屬的或是本地服務器相比，更易受到安全問題影響。Event Sources越大，反而也增加了潛在的攻擊面。常見的安全風險主要是來自一些的開源軟件和第三方軟件的Serverless功能中的安全漏洞，以及分布式的拒絕服務（DDoS）攻擊。對于其中開源軟件的

9、漏洞，則需要清楚了解軟件材料清單(Software Bills Of Materials)進行規避?？偟膩碚f，使用Serverless架構可能會面臨挑戰，但Serverless所帶來的優勢明顯超過了其所帶來的風險。CNCF非?？春肧erverless發展前景，我們堅信Serverless會加速云原生的普及，將云原生創新性提升到一個新高度。Serverless加速落地，也面臨四大挑戰洞察技術專家解讀趨勢06騰訊云工具指南 Serverless架構的資源平衡管理P A R T02案例騰訊云“實戰經驗”分享開發者在使用Serverless的過程中，會遇到怎樣的難點和挑戰？業務Pod變更頻繁，需要保證

10、訪問安全；AIGC場景下模型訓練數據復雜且高要求；突發性擴縮容，擔心提前購買資源造成浪費；云原生安全如何做好多場景防護.騰訊云講述實戰中如何在企業級運維場景中真正實現安全高效、成本可控的最優解騰訊云容器專家架構師 邱凱TKE超級節點下的Pod網絡安全一、項目背景某互聯網金融企業，云原生場景因為業務的述求和成本述求,其業務Pod需要經常變更,擴縮容頻繁。于是在Pod到Pod之間,Pod到數據庫之間的訪問控制,敏感信息的傳遞都需要一個更便捷高效,貼合云原生的方案。二、主要難點業務現有一套基于虛擬機的安全組,ACL的安全控制,因此希望1、容器化之后既能盡量復用之前的網絡安全方案；2、讓云原生的Pod

11、放開了調度。三、需采用的工具騰訊云容器超級節點及其安全產品（安全組、SSM、CAM）四、解法思路案例騰訊云“實戰經驗”分享08騰訊云工具指南 Serverless架構的資源平衡管理五、解法步驟1、場景一：Pod網絡訪問控制從虛擬機時代到容器時代，是網絡安全解決方案在保證安全可控的前提下盡可能的提高運維效率的進化過程。下面通過“Pod網絡訪問控制”以及“Pod訪問云上資源”兩個典型場景來體現。1）1.0方案：網端管理（從虛擬機到容器的過渡）在虛擬機時代，網絡訪問安全管理有三個特點：以子網為業務安全域；資源變更不頻繁；擴縮容需變更數據庫端的安全組。網端管理跟虛擬機管理一樣“以子網為業務安全域”，但

12、因為容器“資源擴縮容頻繁,Pod還會漂移”，“數據庫安全組直接按子網放通”，帶來了新的挑戰沒有實現端到端安全訪問管理按業務劃分子網,后續子網的管理也相對復雜.0/216 .0/.0/.0/A C B 216 .0/業務A 業務B 允許 2）2.0方案：固定IP+控制器（從管理子網到管理IP）為了解決Pod偏移帶來的管理復雜化，容器資源管理對象改為固定IP，具體實現過程是：通過旁路控制器監聽Pod的創建和銷毀,實現自動更新安全組Pod創建時,動態更新安全組,給業務Pod注入初始化容器檢測安全組放通之后再運行業務容器Pod更新時,IP保持不變Pod刪除時,動態更新安全組但它依然有比較高的復雜度，主

13、要是因為Pod比較多的狀態，云API無法及時更新方案復雜度高，排障成本高 85 A C 85 業務A 業務B 允許 允許 允許 云API 3）3.0方案：超級節點（支持Pod直接綁定安全組）這是解決本文客戶業務痛點的新解決方案。它的主要特點是支持按Pod綁定安全組為核心，具體實現過程是：但在服務客戶過程中，發現還有進一步優化的空間因為客戶業務場景需要大量的“雙向訪問”，安全組層面還有簡化空間。自動創建安全組配置安全組訪問規則自動生成yaml描述 業務和安全組的關系控制器攔截Pod創建請求,匹配標簽,自動設置安全組業務可訪問授權數據庫 142 8 8.142 8 142 8 142 8 A C

14、8 36055 142 8 業務A 業務B 允許 允許 業務名稱 數據庫 訪問控制 業務A 數據庫A 允許 業務B 數據庫B 允許 安全組A 安全組E 允許 安全組B 允許 SecurityGroupPolicy apiVersion: kind:SecurityGroupPolicy metadata:name:my-security-group-policy namespace:my-namespace spec:podSelector:matchLabels:app:my-app securityGroups:groupIds:-安全組B 1.2.配置安全組的訪問規則 3.yaml描述

15、業務和安全組的關系 4.POD創建請求,匹配標簽,5.業務可以訪問授權數據庫 安全組F4）3.1方案：超級節點（安全組綁定業務組）通過這個細節優化，客戶無需每次訪問都重新建立動態安全組。最終這個方案也實現了業務側安全、成本、效率的最大化每個Pod都有獨立的安全組,基于安全組到安全組的放通,簡化Pod到目標端的IP管理邏輯,Pod的擴容,縮容,更新等不再受到約束,通過 SecurityGroupPolicy 組件 分離業務和安全的關注點,讓安全一步到位 65:65:65:65:65:A C 65:14.33 65:業務A 業務B 65:允許 65:允許 業務名稱 安全組 訪問控制 業務A 安全組

16、A 允許 業務B 安全組B 允許 SecurityGroupPolicy apiVersion: kind:SecurityGroupPolicy metadata:name:my-security-group-policy namespace:my-namespace spec:podSelector:matchLabels:app:my-app securityGroups:groupIds:-安全組B 沒有安全組增加旁路控制器基于安全組方案雙向訪問，安全組合并簡化POD綁定安全組案例騰訊云“實戰經驗”分享09騰訊云工具指南 Serverless架構的資源平衡管理六、核心價值點1、Pod,

17、數據庫之間訪問可以實現訪問雙向管理,禁止未授權訪問,支持同地域跨集群管理2、復用安全組和ACL,不打破安全同學的歷史積累的安全邊際3、Pod可控安全訪問云上資源場景二：Pod訪問云上資源1）1.0方案：ID與密鑰通過環境變量傳遞安全訪問云上資源，都需要ID和密鑰以驗證訪問身份與權限，但直接通過環境變量傳遞會存在兩個核心問題團隊人員變動，信息會不會泄露？傳遞過程，密鑰是否有機會隱藏起來？version:2.0,statement:effect:allow,action:cos:*,resource:“qcs:cos:ap-guangzhou:uid/125123456:存儲桶A/*,effect

18、:deny,action:cos:*,resource:qcs:cos:ap-guangzhou:uid/125123456:存儲桶B/*COS 存儲桶A SecretId:xxxxxxxxxxxxxxx SecretKey:xxxxxxxxxxxxxxxxx 2）2.0方案：通過超級節點TKE的ServiceAccount（下文簡稱“SA”）代替騰訊云API訪問密鑰這是解決本文客戶業務痛點的新解決方案。實現訪問ID與敏感信息分開傳遞，并以動態Token取代了靜態的密鑰，即使泄漏，非授權賬戶或設備也無法訪問。具體實現方式是：TKE通過OIDC接入CAMSA扮演騰訊云的云上角色Pod指定啟動的S

19、A，即可擁有CAM權限，確認可訪問的資源version:2.0,statement:effect:allow,action:cos:*,resource:“qcs:cos:ap-guangzhou:uid/125123456:存儲桶A/*,effect:deny,action:cos:*,resource:qcs:cos:ap-guangzhou:uid/125123456:存儲桶B/*COS 存儲桶A BAD IC 3）2.1方案：數據庫DB訪問中，加入SSM系統實現高效與安全的折中2.0方案是比較理想的安全狀態，但是在某些特殊場景，比如數據庫DB訪問中面臨一些復雜度。主要是由于系統需要更換

20、驅動，對于很多老業務訪問，性價比不高。在2.0方案上，對于數據庫DB訪問等場景中，進一步引入了SSM（憑據管理系統）簡化人為操作，具體實現過程是通過SA的token調用云API獲取臨時密鑰臨時密鑰調用SSM SDK初始化訪問數據庫信息SSM服務定時輪轉寫入賬號密碼version:2.0,statement:effect:allow,action:”ssm:*,resource:“qcs:ssm:ap-guangzhou:uid/125123456:業務A/TDSQL DB CB 通過密碼訪問數據庫 CAM鑒權代碼段核心邏輯,讓TKE的SA,代替騰訊云API訪問密鑰引入SSM通過SA的token

21、API獲取密碼案例騰訊云“實戰經驗”分享10騰訊云工具指南 Serverless架構的資源平衡管理一、項目背景國內頭部的一家AIGC文生圖的公司，原始數據素材規模龐大，訓練任務緊迫，且訓練結果精度要求極高。三、需采用的工具騰訊云存儲產品：對象存儲COS、數據湖存儲GooseFS、數據萬象CI、企業網盤TCED四、解法思路二、主要難點1、原始數據素材規模龐大，存儲成本高：素材準備階段，客戶需從多個數據源頭進行數據拉取，完成海量、多格式數據存儲。這需要Serverless化彈性的海量存儲空間，同時享受極致成本。2、要求讀寫I/O性能實現高吞吐、低時延：需Serverless化的存儲IOPS和讀寫吞

22、吐能力，匹配大模型訓練過程中高效高質量的結果需求。3、內容審查要求要準也要快。在AIGC內容生成后，需Serverless化的數據二次加工、內容審核的能力，從而滿足客戶和監管機構對內容質量及合規性的要求。騰訊云存儲產品負責人 崔劍Serverless數據湖存儲在AIGC場景的架構與落地案例騰訊云“實戰經驗”分享11騰訊云工具指南 Serverless架構的資源平衡管理五、解法步驟 審核 、視頻內容審核、視頻、內容分類、共享、查詢 主要分兩大核心場景：1）訓練場景訴求：數據湖統一存儲、數據在業務間自由流動、高吞吐、低時延2）推理場景訴求：內容審核、內容管理AIGC是典型的Data lake+AI

23、 應用場景，數據需要統一存儲，并同時對接多個處理平臺，數據自由在多個平臺之間流動。在與客戶多次深度交流和POC后，我們很好地為他提供Serverless化存儲數據湖三級加速解決方案。1、用Serverless存儲數據湖三級加速解決方案系統性解決AIGC“訓練-推理”全流程1）場景訴求a.支持多源數據存儲：大模型訓練數據集來源多樣，數據集需要跨境跨機房交換和存儲。b.支持多格式數據存儲：訓練數據集和模型產出有圖片、視頻、語音和文本等多種格式數據。c.支持海量數據存儲：公開數據集規模龐大，需要消耗大量公網帶寬，網絡成本高。d.原始數據價值密度低：原始訓練數據集中存在大量臟數據，進一步清洗后才能作為

24、模型輸入。2）解決方案a.提供全球多地域核心機房，支持TB級公網帶寬，提供數據下載。b.通過Flink和Spark等數據分析框架，提供流批一體的低延遲處理，滿足預處理性能訴求。c.基于大數據組件容器化部署能力和云原生對象存儲，實現計算資源和存儲資源的彈性擴展。d.基于數據湖存儲GooseFS跨園區緩存熱數據。e.基于對象存儲COS的跨地域復制能力，將境外數據集近實時傳輸至國內。實現價值：AIGC訓練場景下原始數據素材規模龐大，如何應對？Step1：數據集下載與預處理案例騰訊云“實戰經驗”分享12騰訊云工具指南 Serverless架構的資源平衡管理審核能力 色情低俗/敏感時事/血腥暴力/廣告/

25、謾罵/違禁違法/特殊符號/特殊服裝/特殊語言/特殊旗幟/解決方案 自動化審核服務/場景化運營策略/定制識別服務/歷史數據清洗/內容風險評分 審核結果 數據萬象內容審核 AIGC 模型 0000010100101000100101001010010100101 00101000100101101001010001001 0101001COS Data LakeACC實現價值：AIGC訓練場景下訓練要求精度高，如何解題？Step2：數據訓練加速采用工具使用GooseFS，通過近計算端部署，以本地化文件系統緩存提供毫秒級低延時、百萬級高IO的文件讀寫能力。實現效果1.將訓練數據加載到GPU內存、本地

26、盤或可用區全閃存儲集群等不同級別緩存中，縮短IO路徑，提升數據訪問性能。2.相比起從對象存儲COS中直接讀取，數十倍提升數據訪問延遲、IOPS和吞吐。a.對象存儲COS的單桶OPS指標可付費橫向擴展至10w級 b.對象存儲COS的單桶帶寬指標可付費橫向擴展至TB級。3.全量數據持久化在對象存儲上，提供海量低成本存儲；加速數據訪問，達到高性價比。實現價值：AIGC推理場景下審核要求又全又準，怎么做到？核心產品工具：數據萬象CI提供開箱即用的Serverless化數據處理和審核能力Step3：為推理過程提供全方位審核六、核心價值點1.云原生Serverless化存儲：提供PB級云上對象存儲能力，用

27、戶無需關注數據存儲邊界問題。2.云原生化數據湖加速體系：毫秒級延時、百萬級IOPS、TB級帶寬，為海量大模型AIGC場景提供強力的存儲性能。3.云原生化數據處理能力：針對多媒體提供近存儲側高彈性、低成本、低時延的智能數據處理能力。實現價值：AIGC推理場景下結果的分發與治理，如何妥善管理？核心產品工具:企業網盤TCED一助力企業提升數據管理效率，更大化地挖掘數據的業務價值Step4：為推理結果提供完善的管理服務推理結果管理特性一體化辦公生態：企業網盤與騰訊會議、騰訊電子簽、iDaaS等產品打通，形成騰訊云企業辦公場景的全家桶AI智能化辦公體驗：結合騰訊云OCR、以圖搜圖、標簽搜索及聚類等能力，

28、構建智能化辦公體系企業辦公效率提升：通過文檔協同編輯、數據高效分發共享、一鍵化企業知識庫提高辦公效率推理過程審核方案優勢接入：一體化的存儲內容安全方案，增量數據一鍵開啟審核模型：針對 AIGC 場景審核策略的專項調優和底層模型的定制開發性能：根據存儲數據智能地調度處理集群，近存儲側的處理能力提供更優的數據傳輸時延和更低成本Serverless化存儲數據湖三級加速案例騰訊云“實戰經驗”分享13騰訊云工具指南 Serverless架構的資源平衡管理一、項目背景該客戶是電商平臺客戶，其業務場景有一些類似測試、定時任務、慢查詢等流量負載不確定的業務，在節慶活動時也需要面對突發性高并發。如果前期采購數據

29、庫資源太高會造成浪費，臨時彈性擴縮容又當心響應不及時導致網站因并發量大而崩潰。三、主要場景慢查詢 低頻訪問業務 定時任務開發測試環境 歸檔數據庫 活動類場景騰訊云數據庫產品經理 陳昊使用TDSQL-C Serverless服務實現數據庫極致彈性四、需采用的工具騰訊云TDSQL-C Serverless服務五、解法思路二、主要難點彈性策略：在擴縮容的時候，數據庫會遇到何時觸發彈性的問題，及匹配客戶業務流量及時調度合適規模擴容/縮容的需求。應對彈性過程中的毛刺現象：因為bp的影響，在彈性過程中很有可能會遇到毛刺現象。案例騰訊云“實戰經驗”分享14騰訊云工具指南 Serverless架構的資源平衡管

30、理 六、解法步驟七、核心價值點通過監控業務負載情況，系統對計算資源進行自動擴縮容，并對該時刻所消耗的資源進行計費；當沒有數據庫請求時，監控服務會觸發計算資源的回收，并通知接入層；當用戶再次訪問時，接入層則會喚醒集群，再次提供訪問。1）觸發彈性時機：TDSQL-C Serverless服務的彈性策略是利用監控計算層實現的。TDSQL-C Serverless服務的彈性策略一開始會根據用戶購買時選擇的容量范圍，將CPU、內存資源限制到最大規格，極大程度降低因CPU和內存擴容帶來的時間影響和使用限制；CPU、內存、存儲三層結耦，數十種監控指標觸發彈性，根據實際負載情況進行三層獨立彈性，將資源利用率發

31、揮到極致；當集群觸發到自動彈性的負載閾值后，Buffer pool會根據監控提前進行分秒級調整。此方案下用戶使用數據庫可無感知進行CPU擴容，并且不會因為連接突增導致實例OOM；多種彈性方式融合，針對不同場景的業務形態，融合共享資源與獨立資源的優勢，保證資源利用率。2）擴縮容規格：多種彈性融合方式，融合共享資源及獨立資源優勢。1、難點一：什么時候觸發擴縮容，擴縮容規格如何決定？縮容過程中，回收區的page轉移到非回收區，頻繁持mutex_enter，如果有事務一直未提交且占用了待收縮的page時，收縮會一直重試；回收chunk內的所有block，此過程會持有鎖阻塞其他線程對page的訪問；優化

32、遍歷待回收chunk區域，向非回收區遷移時不再需要多次遍歷LRU鏈表；管控層靈活自動化控制縮容步長，優化后縮容時可能遇到的毛刺問題，最高慢查詢時間不超過600ms，整體毛刺數量降低80%。騰訊云數據庫采用resize bp的優化可以很好地應對Serverless彈性過程中發生的毛刺現象：2、難點二：如何清理縮容過程產生的毛刺？傳統云數據庫存在無法自動擴縮容，無法按使用量計費，存儲與計算綁定等問題。TDSQL-C云原生數據庫在存算分離的架構下，實現了極致的彈性，彈性擴縮容觸發的時機、觸發的規模和方式，縮容時毛刺處理，秒級冷啟動方面都做到了性能、成本、彈性的再平衡。案例騰訊云“實戰經驗”分享15騰

33、訊云工具指南 Serverless架構的資源平衡管理八、延展閱讀：TDSQL-C Serverless服務的三大特性及案例應用1)資源池化及彈性能力：根據業務負載擴縮容實例，開發者無需預測負載并提前擴容資源a)算存分離，資源池化：計算存儲分離，根據負載獨立彈性，不受單機瓶頸限制，根據業務發展平滑拓展集群；b)極致彈性，自動擴縮容：結合時序算法等預測式彈性，提前觸發擴縮容；c)全面Serverless化，充分調度：支持集群全面Serverless化，將資源更細粒度進行拆解，快速添加RO節點，每個實例可進行獨立彈性。2)高可用、高性能能力：利用恢復感知器實現秒級冷啟動，自動啟停，業務不間斷，基于云

34、原生數據庫底座，提供超高性能的彈性能力a)鏈接不斷保持能力：實例暫停狀態下利用恢復感知器實現秒級冷啟動，恢復時間最多僅需2000msb)毛刺清理能力：優化后縮容時可能遇到的毛刺問題，最高慢查詢時間不超過600ms，整體毛刺數量降低80%3)豐富的拓展性及計費能力a)支持Data API方式訪問數據庫：利用restful api集成模式，可提高70%-80%的運維人效，有力幫助用戶降低成本b)靈活的計費方式，不使用不付費：秒級采樣計算存儲使用量，根據使用使用量收費；提前購置資源包價格更優，最高可降低成本90%；實例暫停后無計算費用，只收取存儲費用需求與痛點：海島風暴水上樂園開通在線訂票業務。但是

35、旅游業淡旺季明顯，希望解決短暫高并發難點，并控制成本。解決及效果：騰訊云原生數據庫TDSQL-C Serverless 依據監控數據預判五一假期的數據量會大幅增長，提前自動做好彈性擴容，無需更多設置。當五一期間白天大量購票者涌入后臺數據暴漲時，數據穩定，晚上訂票數量放緩，自動釋放部分資源幫助盤點當天業績。五一活動結束后，又回復到日常的資源采購量。不僅做到了彈性擴縮容滿足業務需求，同時節約了成本，按使用付費?！景咐拷鉀Q信陽海島風暴水上樂園的淡旺季資源彈性訴求需求與痛點：曉餐凍品網原本的電商技術架構復雜，冗余多，希望能進行Serverless架構改造解決及效果：TDSQL-C Serverles

36、s 在Serverless框架之下，讓曉餐凍品網加入云托管，大幅簡化了該網站的技術架構與層級，僅需幾行代碼，2小時即實現后段業務上云，同時依靠云托管數據庫，無需動輒改造，其業務請求成功率和鏈接速度得以提升，受到的網絡攻擊也有所下降?！景咐繒圆蛢銎肪W的Serverless改造需求與痛點：趣做局節日訪問量較大，日常卻低不少，希望云托管之后實現自動擴縮容，省成本，按用付費解決及效果：TDSQL-C Serverless 能夠實現多種付費方式的選擇，不僅能秒級采樣付費或按實時CCU付費，也有資源包購買，同時自動擴縮容不僅能夠實現區分節假日與日常，白天與晚上的資源也可以自動實現按用付費，不用僅收存儲費

37、用。靈活計費方式極大滿足了趣做局的自動擴縮容，真正按用付費的需要?！景咐咳ぷ鼍志W站需求云托管之后實現靈活計費案例騰訊云“實戰經驗”分享16騰訊云工具指南 Serverless架構的資源平衡管理三、需采用的工具騰訊安全產品:SSM、WAF等四、解法思路二、主要難點1、證書、密鑰、敏感信息若以明文保存本地，攻擊者可以輕易獲取。2、在云文件調用上，經常需要各種形式的校驗，且相比虛擬機時代種類更豐富，也存在更多潛在風險。騰訊安全云鼎實驗室安全專家 張恒Serverless架構資源的安全攻防演繹一、項目需求某互聯網金融企業，網站或應用開發場景下，提供 HTTPS 等服務時需使用證書、密鑰。后臺服務開發

38、場景下，開發配置文件中會設計敏感的配置信息、數據庫連接信息等。案例騰訊云“實戰經驗”分享17騰訊云工具指南 Serverless架構的資源平衡管理五、解法步驟解決原理：1、所有的憑據均由密鑰管理系統(KMS)進行加密保護2、用戶可以將代碼中的硬編碼憑證(包括密碼)替換為對憑據管理系統 API 的調用，以便用編程的方式動態查詢憑據，由于該憑據中不包含敏感信息，所以可以保證敏感數據不被泄露。具體編碼中，下圖數據庫需確認用戶名和密鑰。如用第1種明文編碼，直接將ID和密鑰展示出來，很容易造成泄漏。而第2種方法使用SSM將密碼等信息隱藏在云端，客戶首先調用SSM API發起敏感信息獲取請求，以編程的方式

39、動態查詢憑據，保證敏感數據不泄漏。1、明文編碼：用戶名、密鑰均在其中2、使用SSM進行憑據管理，讓密碼隱藏起來1、敏感信息存儲場景：創建任務時采用明文編碼易造成敏感信息泄露，如何做好憑據安全管理？案例騰訊云“實戰經驗”分享18騰訊云工具指南 Serverless架構的資源平衡管理“一切用戶可輸入的問題，都不應該完全被信任”。文件名未過濾是一個從單體應用到云時代應用的常見安全隱患，容易變成隱性的攻擊面。在傳統的Web端，服務商會校驗客戶輸入是否合規。但是在云文件調用上，其文件名總被系統默認是合規的，但有些文件尤其是第三方輸入的文件被調用時，其文件名本身就會成為一個安全漏洞。不僅是文件名校驗，開發

40、者還應該關注更多云安全性的信息校驗，常見有：1.身份校驗，校驗用戶是否合法以及有權限訪問2.輸入參數校驗，常見有文件后綴，文件名，文件類型，文件內容等校驗方式，例如限制png 后綴，文件名作正則校驗，文件內容鑒定webshell，病毒木馬等以上是常見的校驗場景，更安全的校驗需要結合應用場景，確定符合預期的內容是什么，再考慮使用白名單或黑名單的方式進行非預期的校驗過濾。這種對云安全意識的提升，也是進入云時代后安全升級重要的一環。2、多個云服務調用場景：filename未過濾用戶輸入是否合規，導致命令被執行由于Linux命令行是可以被打斷的，如圖被系統截取到了不合規的文件名，卻未經校驗，依然執行后

41、出現右圖的錯誤信息。從實戰角度出發，圍繞云原生場景，通過全方面分析攻擊者戰術與技術，推出云安全攻防矩陣。該矩陣共分9大階段，每個階段中都包含了多種用以實現此階段能力的攻擊技術，而利用Serverless的攻擊方式也覆蓋了每個階段。騰訊云安全建立覆蓋九大階段的Serverless安全攻防矩陣Serverless一般的攻擊流程：攻擊者通過程序漏洞或者組件漏洞實現初始訪問權限，當獲取到服務器權限后，攻擊者會嘗試查找并竊取用戶憑據或服務憑據，然后利用可用憑證進一步橫向攻擊其他云服務。3、核心價值案例騰訊云“實戰經驗”分享19騰訊云工具指南 Serverless架構的資源平衡管理加速一：ISA-L加速C

42、ontainerd鏡像加載加速二：微服務通訊QAT-Crypto TLS handshake acceleration(QPS)optimizationCryptoMB TLS handshake acceleration optimizationEnvoy workers threads load balancing optimization with reduced latencyBypass TCP/IP stack to speed up packet transmission optimization提升服務網格的安全性利用SGX的安全保護機制(TLS/CA/Gateway priv

43、ate key protection,Trusted certificate service,Trusted Attestation Controller)通過Intel技術提升服務網格的各種應用場景的性能QAT-GZIP compression for Istio throughput optimization通過ISA-L/igzip的優化,在Containerd環境下拉取鏡像時解壓縮所需要的時間大大減低，進而降低應用程序部署和擴展所需的時間。Service MeshQAT提供高性能的安全和密鑰保護，并提供壓縮解壓縮加速.他提供了卓越的能力:400/200Gbs Crypto,160Gbs

44、 verified compression,100kops PFS ECDHE&RSA 2K Decrypt.Intel QuickAssist Technology(QAT)DSA為高性能存儲、網絡、持久內存和數據處理的場景提供優化的數據流的移動和傳輸操作，騰出更多CPU資源用于業務使用.Intel Data Streaming Accelerator(DSA)Intel部分加速項目基于云原生的加速三：云原生底層云資源編排容器運行時中的 NRI 提供了一種可插入機制，用于通過容器運行時中的上游公共 API 大規模改進節點內工作負載放置。連同其策略插件，例如拓撲感知、氣球等，它們提高了性能，減

45、少了干擾鄰居問題和不可預測的性能變化。Node Resource Interface(NRI)DRA 為資源分配提供了用戶友好的API，并通過插件管理復雜的設備。DRA 可以有效地管理多租戶云環境中的英特爾高級加速器和設備.K8S Dynamic Resource Allocation(DRA)NFD 是一個 Kubernetes 插件，用于檢測硬件功能和系統配置。英特爾至強 CPU 和 AVX 等平臺功能需要識別 NFD 支持，并將其提供給 K8s 工作負載。NFD 使客戶能夠在 K8s 中無縫集成 IA CPU 和平臺功能.K8S Node Feature Discovery(NFD)Co

46、ntainerd是目前主流的Kubernetes運行時ISA-L是一套針對存儲類應用優化過指令集,igzip其中的一個子集,他提供了高效的壓縮和解壓縮能力案例騰訊云“實戰經驗”分享20騰訊云工具指南 Serverless架構的資源平衡管理P A R T03交流開發者的難點與解惑開發者在一線工作中，總會面臨形形色色的具體問題我們通過問卷調研、具體問題問診、快問快答進行更加全面的答疑解惑騰訊云認證開放了更多開放環境的實踐課程助力開發者加深理解根據開發者調研數據顯示，在“資源管理”場景下，開發者在開發及運維方面最常面臨的的痛點主要是故障增加、存儲的安全性問題、存儲的監控和預警缺陷，以及峰值吞吐不足等

47、問題，這其中遇到的某些問題是Serverless技術結構可以解決的，某些則是云原生帶來的新挑戰。從Serverless架構來看，它在企業運維場景使用比例也逐步提高。采訪中，30%受訪者所在組織/企業有使用過Serverless產品技術，這其中，體感最明顯的優勢主要是“成本降低”、“靈活定制與擴展能力”、“提高資源效率”；而主要挑戰則是集中在“運維可靠性”、“網絡安全性”、“根據負載擴展部署”、“供應商選擇與支持”。摘要從業者說1、安全性問題很難把握，公司公有云、私有云、混合云都有，因此安全管理的復雜性增加了不少。同時，可觀測性問題需要實時監控，云原生應用程序中的組件數量和交互方式的增加，應用程

48、序的可觀測性變得更加困難，目前還沒有好的解決方案。某互聯網企業云計算工程師2、一個是存儲成本問題，存儲成本是我司考慮的重要因素之一，需要考慮成本與性能之間的平衡，另一個是存儲管理問題，隨著存儲數據量的增加，存儲管理變得越來越復雜，需要考慮如何管理存儲設備，包括存儲容量的擴充、數據備份和恢復、存儲設備的維護等方面。某物聯網企業項目經理3、對于客戶端單機軟件數據存儲格式較為單一，無法做到多臺電腦下數據共享，存儲的數據一旦發生錯誤，就無法進行回滾。某汽車企業JAVA軟件工程師4、數據訪問性能問題還沒有更好的方案，由于客戶端和存儲服務器之間存在網絡延遲，因此可能會影響數據訪問性能，需要優化網絡帶寬、I

49、/O性能。某醫療企業架構師從業者說1、我們的云平臺每日會受到大量病毒攻擊，很苦惱。另外有些病毒容易潛伏，大概會半年左右才爆發一次，團隊容易被打的措手不及。某新能源制造業企業系統架構師2、目前在用的K8s自動伸縮沒有預測功能，部署不及時，無法實現運維自動化。某醫療企業架構師3、云原生應用程序的規模和復雜性不斷增加，手動管理和維護越來越難了，希望能有自動化管理的方案。某互聯網企業云計算工程師4、云原生還是比較新，太過專業化導致開發同學技術學習成本高、從傳統的運維平臺到轉變使用Kubernetes來做發布管理很痛苦（所謂的技術慣性），能很好理解云原生邏輯跟K8s運維的人才很少。某Java高級開發工程

50、師一、在“資源管理”場景下，開發者面臨的哪些開發及運維方面的痛點?二、開發者使用Serverless時，遇到的挑戰以及價值感知點都有哪些?數據解讀交流開發者的難點與解惑22騰訊云工具指南 Serverless架構的資源平衡管理遇到的挑戰價值感知點提問方互聯網企業運維團隊負責人虛擬機vs.容器，云原生化關鍵詞騰訊云產品技術專家解答核心需求我們是做互聯網的業務，虛擬化技術非常成熟。由于技術慣性的緣故，團隊從傳統的虛擬化運維平臺到轉變使用Kubernetes來做發布管理很痛苦。1、云原生應用程序中的組件數量和交互方式太多了，手動管理太復雜了。2、業務部分有許多新的應用和玩法，在Kubernetes頻

51、繁出錯，“甩鍋”給運維組，急需容器的自動化方案。騰訊云容器專家架構師 邱凱1、云原生化的核心收益是和云廠商解耦以及降本增效，對公司而言是收益明顯的，但是需要公司各個團隊配合。所以云原生改造是一個從上到下的工程，并不僅僅是需要運維驅動。騰訊云提供了兼容云原生的托管產品矩陣，幫助企業在享受云原生便利的同時，降低運維復雜度。2、如果基于虛擬機的日志監控是基于ELK，Prometheus，發布系統是基于jenkins等，上述方案是可以繼續復用，否則建議在容器環境新建統一監控日志發布方案，然后虛擬機做遷移。3、如果現有監控日志方案無法放棄，可以考慮容器的ELK和Prom把數據送到現有的監控和日志系統中。

52、提問方某醫療企業架構師彈性擴縮容關鍵詞騰訊云產品技術專家解答核心需求我們大約幾十臺服務器采用kubesphere生態，但是K8s自動伸縮沒有預測功能，業務部門的掛號和搶號活動，會有大量用戶突然訪問，但是擴容仍需要時間，至少幾秒，部署不及時會影響業務部門。騰訊云容器專家架構師 邱凱1、首先要理解K8s自動擴容資源的原理，被動的探測到擴容(HPA+CA)是沒法滿足流量暴漲的場景。在云上有充分資源的情況下，可以基于時間屬性提前擴容，如八點放號，七點四十擴容，TKE 有HPC+HPA 可以滿足述求。2、也可以預測性擴容，EHPA 會根據歷史資源用量，預測性提前擴容。在IDC因為資源彈性問題，大多數場景

53、需要用buff去抗。3、如果有條件可以考慮IDC打通云上資源,彈性部分調度到云上(需專線支持)。騰訊云數據庫產品經理 陳昊也可以直接使用數據庫。掛號這個場景，跟“618”、證券放股票這些都很類似，在某個時間段有大量的訪問，而TDSQL-C Serverless可以很好應對這個場景。比如說我在掛號的時候有大量的寫請求或者讀請求，這個時候用TDSQL-C可以做到更好的自動彈性伸縮，這是TDSQL-C Serverless很大的優點。首先如果你的訪問特別大的話，CPU不會成為一個瓶頸，其次是CPU量上來以后，會根據你的CPU到達一個閾值去擴，在這個區間內也不需要去關心什么時候是高峰期，什么時候是低谷

54、期。技術場景問題探討交流開發者的難點與解惑23騰訊云工具指南 Serverless架構的資源平衡管理提問方安全工程師云時代安全性、平臺漏洞關鍵詞騰訊云產品技術專家解答核心需求我們在工作中經常遇到一些平臺漏洞問題，需要對容器環境進行審計和漏洞掃描，比如FAST-JSON反序列化漏洞、Log4j注入漏洞，還有應用程序上的程序漏洞、CVE漏洞等等，必須保證容器操作系統和依賴軟件組件的更新和安全性，有沒有好辦法？騰訊安全云鼎實驗室安全專家 張恒騰訊云的云鼎實驗室負責整個云產品線的安全修復，從安全的角度來說分為幾個方面，供參考：1、拉起安全情報?，F在很多產品依賴于開源服務這些組件，很多大數據組件都有用到

55、云產品，我們要排查哪些產品受影響，針對性地做升級和修復。2、要有防護的產品。我們會沿著防護類的服務比如說防火墻，針對常見的攻擊特征，從源頭上解決再到防御的前置攔截，構建這塊體系底層云平臺的防護。3、針對上層，我們有安全警報，也會對外釋放出來它的利用方式，包括云主機。攻擊者不分云廠商，它是互聯網的廣泛攻擊，我們會把這塊的特征基于主機、網絡沉淀到安全產品，幫客戶做到安全的檢測和防護。提問方某AIGC企業算法工程師AIGC、存儲、模型訓練與推理關鍵詞騰訊云產品技術專家解答核心需求AIGC主要是訓練跟推理兩個階段，對速度都有比較高的訴求。從材料看來，存儲的主要加速階段在訓練，那推理有什么辦法加速?騰訊

56、云存儲產品負責人 崔劍訓練過程相當于是從海量數據中挖掘信息，因此會有很重的數據流動和帶寬吞吐；而推理過程則更多與計算有關，其性能更多取決于模型訓練的成熟度以及推理服務器GPU算力的規模。交流開發者的難點與解惑24騰訊云工具指南 Serverless架構的資源平衡管理動手實驗室小型電商系統的TDSQL-C數據庫應用動手實踐【適用人群】年齡：構建、使用和運維數據庫的主流人群，18-35歲開發者為主；職業：包括但不限于開發工程師、運維工程師、架構師、測試工程師、項目經理、產品經理、數據庫愛好者等；行業：電商、游戲、金融等【實驗目的】1、掌握原理：掌握云原生數據庫的通用原理、所需環境及資源準備2、了解

57、產品：深入學習并掌握TDSQL-C云原生數據庫的技術原理和搭建步驟3、動手實踐：自主親自動手搭建TDSQL-C云原生數據庫，體驗 Serverless數據庫運行，掌握緊急情況應對經驗【實驗過程】參與體驗，動手完成小型電商系統的TDSQL-C數據庫構建全過程【實驗環境】準備合適云數據庫體驗的軟硬件環境云服務器CVM云數據庫TDSQL-CWin10/Mac10.0以上電腦硬盤：50 G以上空余空間交流開發者的難點與解惑25騰訊云工具指南 Serverless架構的資源平衡管理實踐方可出真知。騰訊云為一線開發者提供“學-練-考”體系化認證體系。騰訊云開發者認證圍繞云計算laaS、PaaS和SaaS產

58、品及服務展開，幫助開發者循序算、小程序云開發、大數據及人工智能等領域的技能轉型。持有開發者認證還可以享受多種權益獲騰訊云權威專業憑證，實現自身技術能力轉型，助力事業發展。上述“通用實驗過程&典型場景體驗”屬于TDSQL-C MySQL 數據庫開發者認證“在線實驗”環節，掃碼右側二維碼進入官網了解更多。*模擬的業務邏輯是商品表的全表掃描，所以在模擬測試后，系統監控到并統計了監控告警當中的慢查詢發生情況。*停止訪問系統，再沒有訪問請求一段時間之后，數據庫會自動進入暫停狀態，這個最小周期為10分鐘。*利用恢復感知器實現秒級冷啟動，自動啟停，業務不間斷，基于云原生數據庫底座，提供超高性能的彈性能力。*

59、從一小時內的CCU指標可以看到，在用戶并發訪問壓力產生之后，TDSQL-C數據庫的計算資源產生了自動擴展，用來適應來自業務端的突發性性能要求。以5秒為顆粒度，觀察依據負載的資源彈性擴縮情況。*模擬多用戶高并發下問題產生：先使用壓測工具模擬并發，模擬10000請求，100個連接；再查看請求計數，如出現小于10000的情況，需要立即做出思考和判斷?！镜湫蛨鼍?高并發的告警及啟?！俊掘v訊云開發者認證及證書簡介】交流開發者的難點與解惑26騰訊云工具指南 Serverless架構的資源平衡管理認證流程：掃描參與認證資格考試快問快答Q1：第三方寫入的云服務需要開發者嚴格校驗，除了文件后綴，還有哪些？主要注

60、意校驗哪些呢？Techo小助手：1.身份校驗，校驗用戶是否合法以及有權限訪問。2.輸入參數校驗，常見有文件后綴，文件名，文件類型，文件內容等校驗方式，例如限制png 后綴，文件名作正則校驗，文件內容鑒定webshell，病毒木馬等。以上是常見的一些校驗場景，更安全的校驗需要結合應用場景，確定符合預期的內容是什么，再考慮使用白名單或黑名單的方式進行非預期的校驗過濾。Q2：在大活動期間，我們都會選擇提前擴容導致浪費。按照serverless方案提前把CPU擴起來，是不是也會導致成本上升以及資源浪費？Techo小助手：不會的，提前擴容只是為了把可用空間提前擴起來，我們計費是按照實際使用負載去收費的。

61、Q3：通過Serverless部署容器，假如一個容器每天平均1vCPU只有900秒負載，其余時間都是空閑（但需要持續提供服務不能停止），Serverless是否有vCPU低負載計費措施？Techo小助手：Serverless部署容器，容器已經付費了，所以低負載的情況下，資源容器里面其他任務可以消耗資源。SCF自己可以提供0副本啟動,也就是請求來的時候才啟動實例，開始計費。Q4：好多虛擬機應用用K8s來維護不太兼容，換驅動又比較麻煩，有什么比較平滑的過渡性兼容方案？Techo小助手：富容器玩法，把環境都打包到一個大容器里面，比如用超級節點 跑一個完整的CentOS鏡像,應用程序跑在里面和cvm區

62、別不大，很多公司可以通過發布系統把應用無縫地發布到容器或者虛擬機里面，同時業務無感知。Q5：請問騰訊云存儲支持帶寬范圍是多少?Techo小助手：存儲帶寬分為多級，底層對象存儲COS提供單桶15Gbps帶寬；往上層我們也提供了COS加速器產品，支持將較熱的數據預熱上去，COS加速器提供200Mbps/TB的帶寬；最上層是近計算端存儲goosefs，其帶寬取決于計算端可利用的資源，最高可達Tb級別帶寬。Q6：一個虛擬機跑一個Pod是什么意思？要怎么實現它靈活擴縮的優勢呢？Techo小助手：傳統的k8s是通過pod peding觸發ca擴容，采購節點，然后調度pod到節點；超級節點是通過pod pe

63、nd-ing直接采購虛擬機。交流開發者的難點與解惑27騰訊云工具指南 Serverless架構的資源平衡管理編后語本期工具指南為大家詳細呈現超級節點TKE、Serverless數據湖存儲、TDSQL-C Serverless服務、騰訊安全產品在資源管理場景中，如何利用Serverless技術，實現在企業服務及運維中的平衡最優解。關于產品更多信息，請點擊官網了解。騰訊云工具指南旨在結合當前熱點技術話題，以企業級開發運維場景為視角，以解決開發者具體工作痛點為目的，為廣大一線開發運維人員梳理相關議題的技術專家趨勢研判、騰訊云實戰經驗分享以及開發者具體問題洞察等。往期工具指南可掃碼下載，希望對您的工作有所幫助！交流開發者的難點與解惑28騰訊云工具指南 Serverless架構的資源平衡管理第2期 云原生全棧開發與實踐第3期 信息系統遷移難點與解法第1期 輕量級云開發與云應用云安全攻防矩陣容器服務TKE數據加速器 GooseFS云原生數據庫 TDSQL-C