有個小游戲，今年風靡全網，堪稱現(xiàn)象級，但很快又遭群嘲。

在它剛火的日子里，有人玩著玩著手機突然卡??；有人費了好大勁也沒通關，一問才發(fā)現(xiàn)身邊人早就闖關成功了……

(資料圖片)

——沒錯，說的就是《羊了個羊》。

且不論游戲模式本身。造成此番混亂場景的原因，除了“羊”火得太出人意料，還有就是其服務器和API受到海量CC攻擊和bot攻擊，市面上還出現(xiàn)了一堆針對API的外掛軟件。

怎么應對？

等等，“API”、“服務器”……這些不正是云的關鍵詞嗎？

事實上，“羊”的開發(fā)者后來真去求助了云服務商。據悉，騰訊云團隊幫助“羊”攔截的bot自動化攻擊高達5000萬次。

說起云和云計算，其核心技術主要在于大規(guī)模的計算力調度。

不過在云迅速發(fā)展的同時，技術人員發(fā)現(xiàn)，傳統(tǒng)軟件上云并非易事，各大APP往往都有自己獨特的架構；現(xiàn)在要上云，大伙兒還得費盡周折地做構建，顯得比較笨拙。

為了讓軟件上云更靈活，有人打開新思路：

之前是先有軟件再考慮上云，誒~那何不反過來從云出發(fā)來構建軟件？

這個新思路，后來衍生出了一種新技術，并且有了個形象的名字：云原生。

云原生：云計算基礎上生出的新事物

這里闡明一點：云原生和云計算關系密切，但云原生≠云計算。

云原生的概念說來話長，簡單來講，云原生是通過在云環(huán)境中運行容器化等，來構建和運行應用程序，它繼承了云計算的不少優(yōu)點。

對云計算服務而言，“成本，可能是其最大的一個優(yōu)勢?！?/strong>

中國人民大學信息學院計算機科學與技術系主任柴云鵬如是說道。

△柴云鵬

當一個東西足夠便宜，就可以吸引許多人來用它，讓規(guī)模化變得比較容易。

另外，云計算有利于硬件資源共享，保障服務質量，能提高資源利用率，減少浪費。

柴教授指出，云計算本身，就屬于是技術和商業(yè)模式的結合。

現(xiàn)在越來越多產品算法的設計，都是把成本優(yōu)化和系統(tǒng)優(yōu)化放在一起考慮的，所以天然就有一定的成本優(yōu)勢。這點對不管是大企業(yè)還是小企業(yè)來說，都很有魅力。

小企業(yè)前期的投入門檻很低，使用云計算的風險很??；大企業(yè)效率很高，對資源共享需求很大。

舉個例子~

一項Olap數(shù)據分析的任務，以前需要10臺機器計算10個小時；而用上云計算這個BUFF后，花同樣的成本就可以租來100臺機器——于是只要1個小時就搞定了。

后來，隨著各公司一個接一個紛紛上云，有人在實踐中發(fā)現(xiàn)，效率其實還能更上一層樓。

因為傳統(tǒng)軟件的硬件資源利用率并不是很高，主要是它們不夠“有彈性”。

過去為了追求性能，一般會把CPU、Memory等硬件資源用滿，并且可能還遠遠超過了上層軟件的需求，造成大量的資源浪費。

另外，傳統(tǒng)軟件的架構往往是唯一的，當面對不同情況時，其不靈活的一面就凸顯出來了。

那么如何才能減少浪費、讓上云變得更靈活？

答案是：軟件架構分離。

這就好比拆機，一層層剝開來看的話，首先是存算分離，然后進一步是CPU和內存分離（阿里也在搞這個），再往下細分就是軟件內部模塊化。

和傳統(tǒng)軟件不同，云原生軟件在編寫過程中更注重設計一個個小模塊，更有個性化的味道——這有點像搭積木，先把一塊塊積木都準備好，然后根據不同人的需求造出他們想要的樣子。

不過一塊塊“積木”可不是隨意設計的，需要符合一定標準，也就是說，云原生軟件要符合特定框架或“合同”，比如12-factor app。

至于整個軟件的個性化，完全靠人力定制是不夠的，必須要通過自適應技術來做；而要怎么做好自適應，這是一個需要研究探索的新課題，或許還任重而道遠。

隨著當下云原生的發(fā)展，整個云計算圈子的比賽開始進入下半場，搶占蘿卜坑的時代已成過往，精細化運營被提上日程。

安全，就是無數(shù)個“0”前面那個“1”

云計算、云原生，聽著很高大上，但它們都離不開一個基礎——安全。

如果說，各種子業(yè)務好比一個個“0”，那么安全就是0前面的那個1。有了安全這個1，整體業(yè)務才有不斷成長擴大的機會；否則說難聽點，再怎么折騰也是白瞎。

由于云擁有資源集中、共享等特點，所以云廠商能夠比較容易地從宏觀角度去觀測全網的一個安全勢態(tài)。

結果，不看不知道，一看嚇一跳。

騰訊安全云原生產品安全負責人徐展指出，截止到今年10月底，互聯(lián)網已經披露出2.5萬+漏洞，其中有超過4000個是高危漏洞。

△徐展

然而……這些漏洞的修復率還不到20%。

漏洞對許多企業(yè)來說都有極大影響，連鵝廠自己都不例外。

他們一度深受某漏洞的困擾——這個漏洞名曰Log4j，利用Java中的一個缺陷，可發(fā)起能完全控制系統(tǒng)的遠程代碼攻擊，破壞力驚人。

徐展坦言，連騰訊這樣的大廠，動員了全集團去修復收斂，都花了近2個月的時間。

更讓人難受的是，云計算技術在進步的同時，漏洞也在更新?lián)Q代，Log4j3.0版本之后，又有了 Log4j3.01……

對整個云上的攻擊，騰訊團隊做了一個抽樣分析，然后發(fā)現(xiàn)有其中將近70%都是和挖礦勒索有關。

另外，他們研究發(fā)現(xiàn)，自今年以來，云上的攻擊的手法越來豐富多樣，還孵化出了一堆黑產團隊。

而在云原生架構下，面臨的情況其實更復雜。

在云原生環(huán)境下，包括容器的構建、部署到運行等，整個過程會產生更多風險。

比如，容器帶來了更多東西向流量訪問，這就讓傳統(tǒng)的南北向網絡防火墻有點尷尬了。

另外，云原生化的應用，主要包括API 、 Serverless，微服務，都成了新的靶子。

來看個真實事件感受一下：某省份專用云的API遭到轟擊，導致好幾百G的重要數(shù)據泄露。

而企業(yè)老板們也飽受安全問題折磨，一頓飯功夫都能收到好幾個報警。

不難看出，云原生的總體安全堪憂。

那怎么辦？

從監(jiān)管機構角度，信通院已經發(fā)了一份《云原生能力成熟度模型》，專門云原生的架構安全制定了行業(yè)標準。

從云服務商的角度來看，簡單來說，在云上構建新應用時，不能只追求性能了，還得為原生的基礎設施加上“保護殼”——安全能力也要原生化。

而且，這些“保護殼”也要足夠有彈性，這樣才能適配云原生應用的“模塊”。

作為國內比較有經驗的云廠商，騰訊也分享了他們“縱深防御”的一些經驗：三道防線，再加一個整體運營。

云原生，實用效果如何？

其實，從2015年起幾條大方向的規(guī)則被提出，云原生出現(xiàn)也有幾個年頭了。

那么云原生的實踐結果如何？

不妨來看一段小故事：

時間回到2015年，呂曉陽和同事從一個游戲公司出來創(chuàng)業(yè)。

彼時還處于IDC時代，他們的前公司也挺厲害——2013年月流水就有大幾個億的那種。在那時，他們的前公司也用著自己的網絡數(shù)據中心機房。

“但是創(chuàng)業(yè)公司沒有錢啊。”呂曉陽言簡意賅。

窮則變，變則通，通則久。

他們只花了一晚上就做出一個決定：要把 IDC 干掉！

雖然那時云并不太穩(wěn)定，外界許多聲音都在說云不靠譜，但他們還是早早地成了阿里云的深度客戶，甚至親自上手幫阿里修改了很多底層Bug。

了解科技最新勢頭的他們，后來又用上了云原生。

在今天看來，他們當初的選擇和血汗淚，都獲得了回報。

現(xiàn)為游酷盛世科技VP的呂曉陽分享道，同是處理一項相似的業(yè)務，他們和另一家規(guī)模相似（如今都有幾十億流水）的友商比起來，成本僅為后者的1-2%。

因為他們深諳云原生的一個特點：無狀態(tài)。

無狀態(tài)的東西是比較容易擴展，對于降成本來說很有意義；但是在很多行業(yè)里，很多場景下，無狀態(tài)其實不太合適：

比如王者榮耀，如果全用無狀態(tài)，每次數(shù)據都要從存儲上去拉，成本反而很高，所以游戲場景很多是有狀態(tài)的。

但呂曉陽他們偏偏另辟蹊徑，花了很大的心血，從有狀態(tài)的東西拆分出無狀態(tài)的部分。

最終，他們可以更容易地做出伸縮、多級緩存，甚至還有余力去做下內存加速，而且也能在無狀態(tài)中做有狀態(tài)加速。

總而言之，他們通過云原生和自身努力，極大地降低了運維成本。

在這次活動的Panel上，呂曉陽分享道：

云原生確實有很多問題，但是在當下，云原生在一些特定的場景下，已經比原來的云有非常多的提升了。

△主題Panel，左起依次為：王一鵬，呂曉陽，柴云鵬，劉文濤，徐展

CCF C³

以上精彩內容，全部出自CCF C³的第16期活動，主題為“云原生技術的探索與實踐”，由騰訊北京總部承辦。

C³活動由中國計算機學會CCF CTO Club發(fā)起，旨在聯(lián)結企業(yè)CTO及高級技術人才和資深學者，每次以一個技術話題為核心，走進一家技術領先企業(yè)。

目前為止已經舉辦至第16期，此前已先后走進京東、小米、搜狗、百度、亞馬遜、阿里巴巴、快手等企業(yè)。

下次CCF將再度走進聯(lián)想，開展第17期活動，敬請期待~