401認證廠商的問題，透過圖書和論文來找解法和答案更準確安心。 我們找到下列問答集和資訊懶人包

Harbor權威指南：容器鏡像、Helm Chart等雲原生製品的管理與實踐

為了解決401認證廠商的問題，作者張海寧 這樣論述：

在雲原生生態中，容器鏡像和其他雲原生製品的管理與分發是至關重要的一環。本書對開源雲原生製品倉庫Harbor展開全面講解，由Harbor開源專案維護者和貢獻者傾力撰寫，內容涵蓋Harbor的架構、原理、功能、部署與配置、運維、定制化開發、API、專案治理和成功案例等，很多未公開發表的內容在本書中都有詳盡講解，如：Harbor的架構原理；OCI製品的支援方式；高可用製品倉庫的設計要點；鏡像等製品的掃描；許可權和安全性原則；備份與恢復策略；API使用指南等。 張海寧 VMware   中國研發中心雲原生實驗室技術總監，Harbor開源專案創建者及維護者，擁有多年軟體架構設計及全棧

開發經驗，為多個開源項目貢獻者，Cloud Foundry中國社區較早的技術佈道師之一，“亨利筆記”公眾號作者，從事雲原生、機器學習及區塊鏈等領域的創新工作。 第1章 雲原生環境下的製品管理 1 1.1 雲原生應用概述 2 1.2 容器技術簡介 5 1.2.1 容器技術的發展背景 5 1.2.2 容器的基本原理 7 1.2.3 容器運行時 8 1.3 虛擬機器和容器的融合 14 1.3.1 vSphere Pod 14 1.3.2 Kata Containers 16 1.4 容器鏡像的結構 17 1.4.1 鏡像的發展 17 1.4.2 Docker鏡像的結構 18 1.

4.3 Docker鏡像的倉庫存儲結構 20 1.4.4 Docker鏡像的本機存放區結構 24 1.4.5 OCI鏡像規範 25 1.5 鏡像管理和分發 34 1.5.1 Docker鏡像管理和分發 34 1.5.2 OCI分發規範 35 1.5.3 OCI Artifact 37 1.6 鏡像倉庫Registry 40 1.6.1 Registry的作用 41 1.6.2 公有Registry服務 43 1.6.3 私有Registry服務 43 1.6.4 Harbor Registry 44 第2章 功能和架構概述 47 2.1 核心功能 47 2.1.1 存取控制 48 2.1.2

鏡像簽名 49 2.1.3 鏡像掃描 50 2.1.4 高級管理功能 52 2.2 組件簡介 58 2.2.1 整體架構 58 2.2.2 核心組件 59 2.2.3 可選組件 63 第3章 安裝Harbor 65 3.1 在單機環境下安裝Harbor 65 3.1.1 基本配置 66 3.1.2 離線安裝 74 3.1.3 線上安裝 76 3.1.4 源碼安裝 77 3.2 通過Helm Chart安裝Harbor 80 3.2.1 獲取Helm Chart 80 3.2.2 配置Helm Chart 81 3.2.3 安裝Helm Chart 95 3.3 高可用方案 96 3.3.1

基於Harbor Helm Chart的高可用方案 96 3.3.2 多Kubernetes集群的高可用方案 99 3.3.3 基於離線安裝包的高可用方案 101 3.4 存儲系統組態 105 3.4.1 AWS的Amazon S3 106 3.4.2 網路檔案系統NFS 108 3.4.3 阿裡雲的物件存儲OSS 108 3.5 Harbor初體驗 110 3.5.1 管理主控台 110 3.5.2 在Docker中使用Harbor 120 3.5.3 在Kubernetes中使用Harbor 121 3.6 常見問題 124 第4章 OCI Artifact的管理 125 4.1 Ar

tifact功能的實現 125 4.1.1 資料模型 126 4.1.2 處理流程 128 4.2 鏡像及鏡像索引 131 4.3 Helm Chart 134 4.3.1 Helm 3 135 4.3.2 ChartMusuem的支持 139 4.3.3 ChartMuseum和OCI倉庫的比較 141 4.4 雲原生應用套裝程式CNAB 142 4.5 OPA Bundle 145 4.6 其他Artifact 147 第5章 存取控制 149 5.1 概述 149 5.1.1 認證與授權 149 5.1.2 資源隔離 150 5.1.3 用戶端認證 152 5.2 用戶認證 153 5

.2.1 本地資料庫認證 153 5.2.2 LDAP認證 154 5.2.3 OIDC認證 159 5.3 存取控制與授權 169 5.3.1 基於角色的訪問策略 169 5.3.2 用戶與分組 170 5.4 機器人帳戶 173 5.5 常見問題 175 第6章 安全性原則 177 6.1 可信內容分發 177 6.1.1 TUF與Notary 178 6.1.2 內容信任 182 6.1.3 Helm 2 Chart簽名 186 6.2 外掛程式化的漏洞掃描 188 6.2.1 整體設計 190 6.2.2 掃描器管理 192 6.2.3 掃描API規範 193 6.2.4 掃描管理

197 6.2.5 非同步掃描任務 201 6.2.6 與掃描相關的API 202 6.3 使用漏洞掃描功能 207 6.3.1 系統掃描器 207 6.3.2 專案掃描器 209 6.3.3 專案漏洞掃描 210 6.3.4 全域漏洞掃描 213 6.3.5 自動掃描 214 6.3.6 與漏洞關聯的部署安全性原則 214 6.3.7 已支援的外掛程式化掃描器 216 6.4 常見問題 218 第7章 內容的遠端複製 220 7.1 基本原理 220 7.2 設置Artifact倉庫服務 223 7.3 複寫原則 225 7.3.1 複製模式 225 7.3.2 篩檢程式 225 7.3.

3 觸發方式 226 7.3.4 創建複寫原則 228 7.3.5 執行複寫原則 229 7.4 Harbor實例之間的內容複製 231 7.5 與協力廠商倉庫服務之間的內容複製 232 7.5.1 與Docker Hub之間的內容複製 233 7.5.2 與Docker Registry之間的內容複製 234 7.5.3 與阿裡雲鏡像倉庫之間的內容複製 235 7.5.4 與AWS ECR之間的內容複製 236 7.5.5 與GCR之間的內容複製 236 7.5.6 與Helm Hub之間的內容複製 237 7.6 典型使用場景 238 7.6.1 Artifact的分發 238 7.6.2

雙向同步 239 7.6.3 DevOps鏡像流轉 240 7.6.4 其他場景 241 第8章 高級管理功能 242 8.1 資源配額管理 242 8.1.1 基本原理 242 8.1.2 設置專案配額 247 8.1.3 設置系統配額 247 8.1.4 配額的使用 249 8.1.5 配額超限的提示 252 8.2 垃圾回收 253 8.2.1 基本原理 253 8.2.2 觸發方式 256 8.2.3 垃圾回收的執行 257 8.3 不可變Artifact 258 8.3.1 基本原理 259 8.3.2 設置不可變Artifact的規則 260 8.3.3 使用不可變Artifa

ct的規則 262 8.4 Artifact保留策略 263 8.4.1 基本原理 263 8.4.2 設置保留策略 265 8.4.3 模擬運行保留策略 269 8.4.4 觸發保留策略 271 8.5 Webhook 272 8.5.1 基本原理 273 8.5.2 設置Webhook 276 8.5.3 與其他系統的交互 280 8.6 多語言支援 284 8.7 常見問題 286 第9章 生命週期管理 288 9.1 備份與恢復 288 9.1.1 資料備份 288 9.1.2 Harbor的恢復 290 9.1.3 基於Helm的備份與恢復 291 9.1.4 基於鏡像複製的備份和

恢復 292 9.2 版本升級 295 9.2.1 資料移轉 296 9.2.2 升級Harbor 299 9.3 系統排錯方法 300 9.4 常見問題 305 9.4.1 設定檔不生效 305 9.4.2 Docker重啟後Harbor無法啟動 305 9.4.3 在丟失secret key的情況下刪除已簽名的鏡像 306 9.4.4 丟失了系統管理員admin的密碼 307 第10章 API的使用方法 308 10.1 API概述 308 10.1.1 核心管理API概述 309 10.1.2 Registry API概述 313 10.2 核心管理API 315 10.2.1 用戶管

理API 315 10.2.2 專案管理API 317 10.2.3 倉庫管理API 319 10.2.4 Artifact管理API 319 10.2.5 遠程複製API 322 10.2.6 掃描API 324 10.2.7 垃圾回收API 326 10.2.8 項目配額API 327 10.2.9 Tag保留API 328 10.2.10 不可變Artifact API 329 10.2.11 Webhook API 330 10.2.12 系統服務API 331 10.2.13 API控制中心 332 10.3 Registry API 336 10.3.1 Base API 337

10.3.2 Catalog API 337 10.3.3 Tag API 337 10.3.4 Manifest API 338 10.3.5 Blob API 338 10.4 API程式設計實例 339 10.5 小結 340 第11章 非同步任務系統 341 11.1 系統設計 341 11.1.1 基本架構 342 11.1.2 任務程式設計模型 350 11.1.3 任務執行模型 353 11.1.4 任務執行流程解析 354 11.1.5 系統日誌 357 11.1.6 系統組態 358 11.1.7 REST API 360 11.2 核心代碼解讀 364 11.2.1 代碼

目錄結構 365 11.2.2 主函數入口 366 11.2.3 系統的啟動過程 367 11.2.4 API伺服器的啟動過程 371 11.2.5 任務運行器的執行過程 375 11.2.6 系統中的關鍵子模組 379 11.3 常見問題 400 11.3.1 如何排除故障 401 11.3.2 狀態不一致 402 第12章 應用案例 404 12.1 Harbor功能的集成 404 12.1.1 vSphere 7.0 404 12.1.2 Tanzu Kubernetes Grid 412 12.1.3 P2P鏡像分發 414 12.1.4 雲原生的聯邦學習平臺 420 12.2 成功

案例 423 12.2.1 網易輕舟微服務平臺 423 12.2.2 京東零售鏡像服務 428 12.2.3 品高雲企業級DevOps實戰 431 12.2.4 騫雲SmartCMP容器即服務 434 12.2.5 前才雲容器雲平臺 435 12.2.6 360容器雲平臺的Harbor高可用方案 440 第13章 社區治理和發展 443 13.1 Harbor社區治理 443 13.1.1 治理模式 443 13.1.2 安全回應機制 446 13.1.3 社區參與方式 449 13.1.4 參與專案貢獻 451 13.2 項目展望 463 13.2.1 鏡像代理 463 13.2.2 P2

P鏡像預熱 464 13.2.3 Harbor Operator 466 13.2.4 非阻塞垃圾回收 467 附錄A 詞彙表 471 本書寫作初衷   2013年，Docker在發佈之後取得空前的成功，成為史上非常受歡迎的開發工具之一。除了簡便、易用，鏡像技術也是Docker的核心所在，包括鏡像格式的創新和用於鏡像分發的Registry服務。Docker公司的著名口號“Build, Ship and Run”（構建、傳送和運行），概括了應用開發的精髓，其中隱藏的含義是“構建鏡像、傳送鏡像和運行鏡像，一切皆以鏡像為中心”。OCI組織的三個規範與該口號分別對應：鏡像規範（構

建）、運行時規範（運行）和正在制定的分發規範（傳送）。儘管目前這些規範有一些不同的實現，但鏡像規範的實現基本上以Docker的鏡像格式為主。由此可見，鏡像是容器應用的關鍵技術，圍繞鏡像的一系列管理工作將是實際運維工作的重中之重。 在Docker出現之前，我在Sun公司任職時已經接觸和使用過容器技術（Solaris Containers）。從2012年開始，我在VMware公司負責Cloud Foundry開源PaaS專案的技術推廣工作。Cloud Foundry專案使用了被稱為Warden的容器引擎來運行應用。 Warden與Docker類似，都是PaaS專案中的容器執行引擎，只是被“埋藏

”在Cloud Foundry項目中，沒有像Docker那樣獨立發佈出來。 我初次接觸Docker後，被其流暢的使用體驗和優秀的容器方案所震撼，深感這將是應用開發的一個大趨勢。對Docker進行研究後，我發現容器鏡像是Docker軟體的命脈所在，而當時並沒有很好的鏡像管理工具。在同期的一些技術大會上，也有不少用戶抱怨在鏡像管理方面遇到各種難題。 於是，針對鏡像管理的諸多痛點，我帶領團隊開發了一個容器鏡像管理軟體，在公司內部試用後取得一定的成效。這個軟體就是Harbor的原型。Harbor在開源後受歡迎的程度遠超我們所料。Harbor圖形化的鏡像管理功能獨樹一幟，切中了容器應用開發和運維的要

點，在國內獲得大量用戶的青睞，參與Harbor開源專案的開發者也在與日俱增。 在加入CNCF後，Harbor和全球雲原生社區的合作更加緊密，並加強了對Kubernetes和Helm的支持。在Harbor 2.0中還支援OCI的鏡像規範和分發規範，可管理各類雲原生領域的製品。 目前已經有很多使用者在生產系統中部署了Harbor，國內很大一部分用戶都將Harbor作為鏡像和Helm Chart的製品倉庫。 Harbor的維護者們通過微信群、GitHub及郵件組等的問題回饋瞭解到不少用戶遇到的問題，這些問題產生的主要原因有二：其一，使用者對Harbor的安裝、配置等理解不徹底；其二，文檔資料不

完整或者缺失。由此可見，Harbor用戶亟需一本參考書作為Harbor系統的使用指引，然而市面上並沒有這樣的書籍。正逢電子工業出版社的張國霞編輯邀請我編寫一本關於Harbor的技術書，我便與Harbor專案的維護者們進行了溝通，溝通的結果是大家一致希望編寫本書來完整介紹Harbor項目的方方面面，讓Harbor帶來更大的價值。本書的編撰工作便開始了。 撰寫書稿是相當艱辛的，大多數作者需要在繁忙的工作之余擠出時間查資料和編寫書稿，並且互相審閱和修訂，有的章節甚至修改了不下十遍。但作者們都有一個共同的心願：希望通過本書把Harbor的各個功能準確、詳盡地傳遞給讀者，幫助讀者理解和使用好Harbo

r的功能。  

雲原生服務網格Istio：原理、實踐、架構與源碼解析

為了解決401認證廠商的問題，作者張超盟 這樣論述：

本書分為原理篇、實踐篇、架構篇和源碼篇，由淺入深地將Istio項目庖丁解牛並呈現給讀者。原理篇介紹了服務網格技術與Istio專案的技術背景、設計理念與功能原理，能夠説明讀者瞭解服務網格這一雲原生領域的標誌性技術，掌握Istio流量治理、策略與遙測和安全功能的使用方法。 實踐篇從零開始搭建Istio運行環境並完成一個真實應用的開發、交付、上線監控與治理的完整過程，能夠幫助讀者熟悉Istio的功能並加深對Istio的理解。架構篇剖析了Istio專案的三大核心子專案Pilot、Mixer、Citadel的詳細架構，幫助讀者熟悉Envoy、Galley、Pilot-agent等相關專案，並挖掘Ist

io代碼背後的設計與實現思想。源碼篇對Istio各個專案的代碼結構、檔組織、核心流程、主要資料結構及各主要代碼片段等關鍵內容都進行了詳細介紹，讀者只需具備一定的Go語言基礎，便可快速掌握Istio各部分的實現原理，並根據自己的興趣深入瞭解某一關鍵機制的完整實現。 張超盟 華為雲應用服務網格首席架構師，擁有10年以上軟體研發經驗，先後負責華為雲PaaS容器應用運維、微服務平臺、雲服務目錄、服務網格等產品架構設計與開發工作，在容器服務、微服務架構、大資料、應用性能管理、資料庫中介軟體及DevOps工具等多個領域有深入的研究與實踐。開源愛好者，Istio社區成員。曾就職於Tren

dMicro和中鐵一局。   章鑫 華為雲應用服務網格首席系統工程師， 擁有10年以上IT從業經驗，先後參與華為雲PaaS運維平臺、容器自動化運維工 具、服務網格等產品設計與開發，主導了多個服務網格專案的落地與實施工作。Istio社區成員，對於Pilot、Mixer等多個元件 的 調 優 有 豐 富 的 經 驗。曾 在VIA-Telecom和Nokia擔任研發專家。   徐中虎 華為雲原生開源團隊核心成員，Istio社區Approver，Kubernetes專案核心貢獻者，現 聚 焦 於Cloud Native、Docker、Kubernetes、Service Mesh等領域，對分散式系統性

能優化、高可靠、可擴展等有深入的研究。曾就職于網易、Nokia。   徐飛 華為雲原生開源團隊核心成員，Istio社區Approver，Kubernetes、Federation、Kubeflow、Virtual-Kubelet社區項目成員及核心貢獻者，浙江大學碩士。從2015年開始參與容器平臺的設計與開發，並參與上游社區的貢獻。   華為雲原生團隊 華為雲原生團隊創建於2013年，是國內較早參與雲原生這一技術領域的團隊之一。作為CNCF（雲原生計算基金會）的初創成員和白金會員，華為在容器、服務網格、微服務等雲原生技術領域都有著深厚的造詣，擁有10多名CNCF開源項目維護者，在Kubernet

es、Istio等核心開源項目上的貢獻位居全球前列。華為雲也提供了基於CNCF開源項目所打造的商業化雲原生系列產品，包括雲容器引擎、雲容器實例、應用服務網格、容器交付流水線等。 華為雲原生團隊致力於雲原生技術在國內的普及與推廣，通過“容器魔方”官方微信公眾號，以及與CNCF聯合打造的CloudNative Days China（CNDC）Meetup、Cloud Native Lives雲原生技術線上直播、線下CKA培訓等活動，推動了國內雲原生技術的學習與交流熱潮。此次打造的華為雲原生技術叢書，內容涵蓋以CNCF專案為主的多個雲原生技術熱點，可為廣大雲原生技術愛好者提供詳盡、專業、及時的原理講

解與技術剖析。   作者:原 理 篇   第1章  你好，Istio. 2 1.1  Istio是什麼... 2 1.2  通過示例看看Istio能做什麼... 4 1.3  Istio與服務治理... 6 1.3.1  關於微服務... 6 1.3.2  服務治理的三種形態... 8 1.3.3  Istio不只解決了微服務問題... 10 1.4  Istio與服務網格... 11 1.4.1  時代選擇服務網格... 11 1.4.2  服務網格選擇Istio. 14 1.5  Istio與Kubernetes 15 1.5.1  Istio，Kubernetes的好

幫手... 16 1.5.2  Kubernetes，Istio的好基座... 18 1.6  本章總結... 20 第2章  Istio架構概述... 21 2.1  Istio的工作機制... 21 2.2  Istio的服務模型... 23 2.2.1  Istio的服務... 24 2.2.2  Istio的服務版本... 26 2.2.3  Istio的服務實例... 28 2.3  Istio的主要組件... 30 2.3.1  istio-pilot 30 2.3.2  istio-telemetry. 32 2.3.3  istio-policy. 33 2.3.4  ist

io-citadel 34 2.3.5  istio-galley. 34 2.3.6  istio-sidecar-injector 35 2.3.7  istio-proxy. 35 2.3.8  istio-ingressgateway. 36 2.3.9  其他組件... 37 2.4  本章總結... 37 第3章  非侵入的流量治理... 38 3.1  Istio流量治理的原理... 38 3.1.1  負載均衡... 39 3.1.2  服務熔斷... 41 3.1.3  故障注入... 48 3.1.4  灰度發佈... 49 3.1.5  服務訪問入口... 54 3.1

.6  外部接入服務治理... 56 3.2  Istio路由規則配置：VirtualService. 59 3.2.1  路由規則配置示例... 59 3.2.2  路由規則定義... 60 3.2.3  HTTP路由（HTTPRoute）... 63 3.2.4  TLS路由（TLSRoute）... 78 3.2.5  TCP路由（TCPRoute）... 81 3.2.6  三種協定路由規則的對比... 83 3.2.7  VirtualService的典型應用... 84 3.3  Istio目標規則配置：DestinationRule. 89 3.3.1  DestinationR

ule配置示例... 90 3.3.2  DestinationRule規則定義... 90 3.3.3  DestinationRule的典型應用.... 103 3.4  Istio服務閘道配置：Gateway. 107 3.4.1  Gateway配置示例... 108 3.4.2  Gateway規則定義... 109 3.4.3  Gateway的典型應用... 112 3.5  Istio外部服務配置：ServiceEntry. 120 3.5.1  ServiceEntry配置示例... 120 3.5.2  ServiceEntry規則的定義和用法... 121 3.5.3 

ServiceEntry的典型應用... 123 3.6  Istio代理規則配置：Sidecar 126 3.6.1  Sidecar配置示例... 126 3.6.2  Sidecar規則定義... 126 3.7  本章總結... 129 第4章  可擴展的策略和遙測... 131 4.1  Istio策略和遙測的原理... 131 4.1.1  應用場景... 131 4.1.2  工作原理... 136 4.1.3  屬性... 137 4.1.4  Mixer的配置模型... 140 4.2  Istio遙測適配器配置... 147 4.2.1  Prometheus適配器...

148 4.2.2  Fluentd適配器... 155 4.2.3  StatsD適配器... 159 4.2.4  Stdio適配器... 161 4.2.5  Zipkin適配器... 163 4.2.6  廠商適配器... 168 4.3  Istio策略適配器配置... 169 4.3.1  List適配器... 169 4.3.2  Denier適配器... 171 4.3.3  Memory Quota適配器... 172 4.3.4  Redis Quota適配器.... 175 4.4  Kubernetes Env適配器配置... 178 4.5  本章總結... 181

第5章  可插拔的服務安全... 182 5.1  Istio服務安全的原理... 182 5.1.1  認證... 185 5.1.2  授權... 189 5.1.3  金鑰委付管理... 192 5.2  Istio服務認證配置... 193 5.2.1  認證策略配置示例... 193 5.2.2  認證策略的定義... 194 5.2.3  TLS訪問配置... 196 5.2.4  認證策略的典型應用... 200 5.3  Istio服務授權配置... 202 5.3.1  授權啟用配置... 202 5.3.2  授權策略配置... 203 5.3.3  授權策略的典型應用

... 207 5.4  本章總結... 210 第6章  透明的Sidecar機制... 211 6.1  Sidecar注入... 211 6.1.1  Sidecar Injector自動注入的原理... 214 6.1.2  Sidecar注入的實現... 216 6.2  Sidecar流量攔截... 219 6.2.1  iptables的基本原理... 220 6.2.2  iptables的規則設置... 223 6.2.3  流量攔截原理... 224 6.3  本章總結... 228 第7章  多集群服務治理... 230 7.1  Istio多集群服務治理... 23

0 7.1.1  Istio多集群的相關概念... 230 7.1.2  Istio多集群服務治理現狀... 231 7.2  多集群模式1：多控制面... 232 7.2.1  服務DNS解析的原理... 233 7.2.2  Gateway連接的原理... 237 7.3  多集群模式2：VPN直連單控制面... 238 7.4  多集群模式3：集群感知服務路由單控制面... 240 7.5  本章總結... 246   實 踐 篇   第8章  環境準備... 248 8.1  在本地搭建Istio環境... 248 8.1.1  安裝Kubernetes集群... 248 8.1.2 

安裝Helm.. 249 8.1.3  安裝Istio. 250 8.2  在公有雲上使用Istio. 253 8.3  嘗鮮Istio命令列... 255 8.4  應用示例... 257 8.4.1  Weather Forecast簡介... 257 8.4.2  Weather Forecast部署... 258 8.5  本章總結... 259 第9章  流量監控... 260 9.1  預先準備：安裝外掛程式... 260 9.2  調用鏈跟蹤... 261 9.3  指標監控... 265 9.3.1  Prometheus. 265 9.3.2  Grafana. 268

9.4  服務網格監控... 273 9.5  本章總結... 277 第10章  灰度發佈... 278 10.1  預先準備：將所有流量都路由到各個服務的v1版本... 278 10.2  基於流量比例的路由... 279 10.3  基於請求內容的路由... 283 10.4  組合條件路由... 284 10.5  多服務灰度發佈... 286 10.6  TCP服務灰度發佈... 288 10.7  自動化灰度發佈... 290 10.7.1  正常發佈... 291 10.7.2  異常發佈... 294 第11章  流量治理... 296 11.1  流量負載均衡... 29

6 11.1.1  ROUND_ROBIN模式... 296 11.1.2  RANDOM模式... 298 11.2  會話保持... 299 11.2.1  實戰目標... 300 11.2.2  實戰演練... 300 11.3  故障注入... 301 11.3.1  延遲注入... 301 11.3.2  中斷注入... 303 11.4  超時... 304 11.5  重試... 306 11.6  HTTP重定向... 308 11.7  HTTP重寫... 309 11.8  熔斷... 310 11.9  限流... 313 11.9.1  普通方式... 314 11.9

.2  條件方式.... 315 11.10  服務隔離... 317 11.10.1  實戰目標... 317 11.10.2  實戰演練... 317 11.11  影子測試... 319 11.12  本章總結... 322 第12章  服務保護... 323 12.1  閘道加密... 323 12.1.1  單向TLS閘道... 323 12.1.2  雙向TLS閘道... 326 12.1.3  用SDS加密閘道... 328 12.2  存取控制... 331 12.2.1  黑名單... 331 12.2.2  白名單... 332 12.3  認證... 334 12.3.

1  實戰目標... 334 12.3.2  實戰演練... 334 12.4  授權... 336 12.4.1  命名空間級別的存取控制... 336 12.4.2  服務級別的存取控制... 339 12.5  本章總結... 341 第13章  多集群管理... 342 13.1  實戰目標... 342 13.2  實戰演練... 342 13.3  本章總結... 350   架 構 篇   第14章  司令官Pilot 352 14.1  Pilot的架構... 352 14.1.1  Istio的服務模型... 354 14.1.2  xDS協議... 356 14.2  P

ilot的工作流程... 360 14.2.1  Pilot的啟動與初始化... 361 14.2.2  服務發現... 363 14.2.3  配置規則發現... 368 14.2.4  Envoy的配置分發... 376 14.3  Pilot的外掛程式... 383 14.3.1  安全外掛程式... 385 14.3.2  健康檢查外掛程式... 390 14.3.3  Mixer外掛程式... 391 14.4  Pilot的設計亮點... 392 14.4.1  三級緩存優化... 392 14.4.2  去抖動分發... 393 14.4.3  增量EDS. 394 14.4.4

  資源隔離... 395 14.5  本章總結... 396 第15章  守護神Mixer 397 15.1  Mixer的整體架構... 397 15.2  Mixer的服務模型... 398 15.2.1  Template. 399 15.2.2  Adapter 401 15.3  Mixer的工作流程... 403 15.3.1  啟動初始化... 403 15.3.2  使用者配置資訊規則處理... 409 15.3.3  訪問策略的執行... 416 15.3.4  無侵入遙測... 421 15.4  Mixer的設計亮點... 423 15.5  如何開發MixerAda

pter 424 15.5.1  Adapter實現概述... 424 15.5.2  內置式Adapter的開發步驟... 425 15.5.3  獨立進程式Adapter的開發步驟... 430 15.5.4  獨立倉庫式Adapter的開發步驟... 437 15.6  本章總結... 438 第16章  安全碉堡Citadel 439 16.1  Citadel的架構... 439 16.2  Citadel的工作流程... 441 16.2.1  啟動初始化... 441 16.2.2  證書控制器... 442 16.2.3  gRPC伺服器... 444 16.2.4  證書輪

換器... 445 16.2.5  SDS伺服器... 446 16.3  本章總結... 449 第17章  高性能代理Envoy. 450 17.1  Envoy的架構... 450 17.2  Envoy的特性... 451 17.3  Envoy的模組結構... 452 17.4  Envoy的執行緒模型... 453 17.5  Envoy的記憶體管理... 455 17.5.1  變數管理... 455 17.5.2  Buffer管理... 456 17.6  Envoy的流量控制... 456 17.7  Envoy與Istio的配合... 457 17.7.1  部署與交互

... 457 17.7.2  Envoy API 458 17.3  本章總結... 459 第18章  代理守護進程Pilot-agent 460 18.1  為什麼需要Pilot-agent 461 18.2  Pilot-agent的工作流程... 461 18.2.1  Envoy的啟動... 462 18.2.2  Envoy的熱重啟... 465 18.2.3  守護Envoy. 466 18.2.4  優雅退出... 467 18.3  本章總結... 468 第19章  配置中心Galley. 469 19.1  Galley的架構... 469 19.1.1  MCP.

470 19.1.2  MCP API 470 19.2  Galley的工作流程... 471 19.2.1  啟動初始化... 471 19.2.2  配置校驗... 476 19.2.3  配置聚合與分發... 479 19.3  本章總結... 482   源 碼 篇   第20章  Pilot源碼解析... 484 20.1  進程啟動流程... 484 20.2  關鍵代碼分析... 486 20.2.1  ConfigController 486 20.2.2  ServiceController 490 20.2.3  xDS非同步分發... 495 20.2.4  配置更新

預處理... 503 20.2.5  xDS配置的生成及分發... 509 20.3  本章總結... 514   第21章  Mixer源碼解析... 515 21.1  進程啟動流程... 515 21.1.1  runServer通過newServer新建Server對象... 517 21.1.2  啟動Mixer gRPC Server 520 21.2  關鍵代碼分析... 520 21.2.1  監聽使用者的配置... 520 21.2.2  構建資料模型... 524 21.2.3  Check介面... 533 21.2.4  Report介面... 536 21.2.5 

請求分發... 539 21.2.6  協程池... 541 21.3  本章總結... 543 第22章  Citadel源碼解析... 544 22.1  進程啟動流程... 544 22.2  關鍵代碼分析... 548 22.2.1  證書簽發實體IstioCA.. 548 22.2.2  SecretController的創建和核心原理... 551 22.2.3  CA Server的創建和核心原理... 556 22.3  本章總結... 558 第23章  Envoy源碼解析... 559 23.1  Envoy的初始化... 559 23.1.1  啟動參數bootstr

ap的初始化... 559 23.1.2  Admin API的初始化... 560 23.1.3  Worker的初始化... 562 23.1.4  CDS的初始化... 562 23.1.5  LDS的初始化... 563 23.1.6  GuardDog的初始化... 564 23.2  Envoy的運行和建立新連接... 564 23.2.1  啟動worker 565 23.2.2  Listener的載入... 565 23.2.3  接收連接... 566 23.3  Envoy對資料的讀取、接收及處理... 567 23.3.1  讀取數據... 568 23.3.2  接收

資料... 568 23.3.3  處理資料... 569 23.4  Envoy發送資料到服務端... 570 23.4.1  匹配路由... 571 23.4.2  獲取連接池... 572 23.4.3  選擇上游主機... 572 23.5  本章總結... 573 第24章  Galley源碼解析... 574 24.1  進程啟動流程... 574 24.1.1  RunServer的啟動流程... 577 24.1.2  RunValidation Server的啟動流程... 578 24.2  關鍵代碼分析... 580 24.2.1  配置校驗... 580 24.2.2

  配置監聽... 584 24.2.3  配置分發... 585 24.3  本章總結... 589 結語... 590 附錄A  源碼倉庫介紹... 592 附錄B  實踐經驗和總結... 598 推薦序 服務網格技術Istio是雲原生（Cloud Native）時代的產物，是雲原生應用的新型架構模式，而雲原生又是雲計算產業發展的新制高點。雲計算是近10年左右流行的概念，但實際上，雲已經走了很長一段路。 雲的概念可以追溯到20世紀60年代。約翰•麥卡錫教授在1961年麻省理工學院的百年慶典上說：“電腦也許有一天會被組織成一種公用事業，就像電話系統是一種公用事業一樣

。每個訂閱者只需為實際使用的容量付費，就可以訪問到具有非常龐大的系統的計算資源……”。第一個具有雲特徵的服務出現在20世紀90年代，當時，電信公司從以前主要提供點對點的專用資料電路服務，轉到提供服務品質相當但成本較低的虛擬私人網路絡（VPN）服務。VPN服務能夠通過切換流量和平衡伺服器的使用，更有效地使用整體的網路頻寬。電信公司開始使用雲符號來表示提供商和使用者之間的責任介面。在自20世紀60年代以來流行的分時模式的基礎上，服務提供者開始開發新的技術和演算法，優化計算資源和網路頻寬的分佈，使用者可以按需獲取高端計算能力。 2006年，亞馬遜首次推出彈性計算雲（EC2）服務，雲計算的新時代開始

了。兩年後，第一個用於部署私有雲和公有雲的開源軟體OpenNebula問世；谷歌則推出了應用引擎的測試版；Gartner公司也首次提到了雲的市場機會。2010年，Rackspace和NASA聯手創建了OpenStack開源雲計算平臺，企業首次可以在標準硬體上構建消費者可以使用的雲。甲骨文、IBM、微軟等眾多公司也相繼發佈雲產品，雲市場開始進入快速增長期。 雲計算使企業擺脫了複雜而昂貴的IT基礎設施建設和維護，因此，當時的雲計算使用以資源（虛擬機器、網路和存儲）為主，也就是基礎設施即服務（IaaS）。企業主要關心怎樣將現有的IT基礎架構遷移到雲上，但在關鍵應用上對雲還是敬而遠之。隨著雲的成熟，

包括Netflix和Airbnb在內的眾多雄心勃勃的互聯網初創公司開始把雲計算變成了新商業模式，直接在雲上構建企業的關鍵應用和業務；與此同時，在技術上，人們開始將Linux容器與基於微服務架構的應用結合起來，實現雲應用真正意義上的可擴展、高可靠和自動恢復等能力，於是雲原生計算誕生了。 雲原生的崛起源于企業應用的快速發展和彈性可擴展的需求。在雲原生時代最具代表性和歷史性的技術是Kubernetes容器應用編排與管理系統，它提供了大規模和高效管理雲應用所需的自動化和可觀測性。Kubernetes的成功源于應用容器的興起，Docker第一次真正使得容器成為大眾所喜歡和使用的工具。通過對應用的容器化

，開發人員可以更輕鬆地管理應用程式的語言運行環境及部署的一致性和可伸縮性，這引發了應用生態系統的巨變，極大地減小了測試系統與生產系統之間的差異。在容器之上，Kubernetes提供了跨多個容器和多主機服務及應用體系結構的部署和管理。我們很高興地看到，Kubernetes正在成為現代軟體構建和運維的核心，成為全球雲技術的關鍵。Kubernetes的成功也代表了開源軟體運動所能提供的前所未有的全球開放與合作，是一次具有真正世界影響力的商業轉型。華為雲PaaS容器團隊很早就開始參與這一開源運動，是雲原生計算基金會CNCF的初創會員與董事，在Kubernetes社區的貢獻位於全球前列，也是雲原生技術的

主要貢獻者之一。 雲原生容器技術和微服務應用的出現，推動了人們對服務網格的需求。那麼，什麼是服務網格？簡而言之，服務網格是服務（包括微服務）之間通信的控制器。隨著越來越多的容器應用的開發和部署，一個企業可能會有成百上千或數萬計的容器在運行，怎樣管理這些容器或服務之間的通信，包括服務間的負載均衡、流量管理、路由、運行狀況監視、安全性原則及服務間身份驗證，就成為雲原生技術的巨大挑戰。以Istio為代表的服務網格應運而生。在架構上，Istio屬於雲原生技術的基礎設施層，通過在容器旁提供一系列網路代理，來實現服務間的通信控制。其中的每個網路代理就是一個閘道，管理容器或容器集群中每個服務間的請求或交互

。每個網路代理還攔截服務請求，並將服務請求分發到服務網格上，因此，眾多服務構成的無數連接“編織”成網，也就有了“網格”這個概念。服務網格的中央控制器，在Kubernetes容器平臺的説明下，通過服務策略來控制和調整網路代理的功能，包括收集服務的性能指標。 服務網格作為一種雲原生應用的體系結構模式，應對了微服務架構在網路和管理上的挑戰，也推動了技術堆疊分層架構的發展。從分散式負載平衡、防火牆到服務的可見性，服務網格通過在每個架構層提供通信層來避免服務碎片化，以安全隔離的方式解決了跨集群的工作負載問題，並超越了Kubernetes容器集群，擴展到運行在裸機上的服務。因此，雖然服務網格是從容器和微

服務開始的，但它的架構優勢也可以適用于非容器應用或服務。 從初始的雲理念到雲計算再到雲原生的發展過程中，我們看到服務網格是雲原生技術發展的必然產物。作為雲原生架構和技術棧的關鍵部分，服務網格技術Istio也逐漸成為雲原生應用平臺的另一塊基石，這不僅僅是因為Istio為服務間提供了安全、高可靠和高性能的通信機制，其本身的設計也代表一種由開發人員驅動的、基於策略和服務優先的雲原生架構設計理念。本書作者及寫作團隊具有豐富的Istio實戰經驗，在本書中由淺入深地剖析了Istio的原理、架構、實踐及源碼。通過閱讀本書，讀者不但能夠對Istio有全面的瞭解，還可以學到雲原生服務網格的設計思路和理念，對任

何一名軟體設計架構師或工程師來說都有很大的幫助，這是一本非常有價值的雲原生時代分散式系統書籍。   廖振欽 華為雲PaaS產品部總經理

探討藥品通路商選擇藥廠供應商之評估：以Z公司為例

為了解決401認證廠商的問題，作者曾暄雅 這樣論述：

醫療產業屬於高知識、高法規管制且高附加價值的產業，因其攸關民眾生命及健康安全，故於世界各國都是備受重視的產業。醫療的進步為人類帶來生命延長，但因壽命的增長所帶來整個社會人口高齡化的現象，已是世界各國所面臨的棘手問題。人口老化的趨勢，導致醫療需求逐年增加，相關的用藥安全也逐漸受到重視，醫療產業的優劣已影響了國家民生與社會經濟。醫療產業的供應環節中，供應鏈是否健全完善，藥品的品質是否安全無虞，儼然成為醫療產業非常重要的管理課題。供應商的選擇是供應鏈管理中重要的決策議題之一，選擇優良的供應商，能提升企業的競爭力及達成營業目標，進一步優化產業供應鏈的健全。根據文獻回顧發現，對於供應商評選的研究雖多，

但探討醫療產業的藥廠供應商評選之研究並不多見，故本研究以藥品通路商為主要研究對象，建構出通路商選擇藥廠供應商的關鍵因素之決策模型，以協助藥品通路商選擇適合本身企業的藥廠供應商夥伴。本研究首先透過文獻回顧方式，彙整出企業選擇供應商之評選構面及準則，其次採用德菲法(Delphi Method)，針對醫藥產業相關之專家訪談及問卷填寫，歸納得出符合醫藥產業選擇藥廠供應商之關鍵評選因素，再透過層級分析法(Analytic Hierarchy Process, AHP) 得出各項評選構面及準則的相對權重與重要性順序，建構出選擇藥廠供應商的評選模型。本研究結果得出藥品通路商選擇藥廠供應商之關鍵四大評選構面分

別為：產品質量構面、企業經營構面、信譽及知名度構面、與財務構面等。關鍵的評選準則因素，依重要性順序之前四項準則為：產品品質，其次為生產設備與供貨能力、商譽與業界地位、供貨價格與服務佣金等。供應商的評選具複雜性且屬於多準則的決策議題，本研究擬得出兼具質性訪談與量化研究，建構出具客觀性、公正性、及系統化的藥廠供應商評選模型，以協助藥品通路商之決策者選擇其合適的藥廠供應商。優良的藥廠供應商夥伴，不僅能幫助藥品通路商提升本身績效及競爭力，更能達到企業永續經營的目標，進而增加醫藥產業的整體效益，並優化台灣醫療產業供應鏈及造福民眾之健康福祉。