数字化转型浪潮下，为紧跟时代步伐，谋求智能化、高效率发展，各企业“囤积”大量数据资产。这些资产助力企业快速转型同时，蕴藏了大量数据安全风险，特别是工业和信息化领域的企业，生产经营高度依赖智能化设备，一旦出现数据安全问题，势必影响企业良好运转。 因此，目前很多工业和信息化领域的企业都在谋求开展数据安全风险评估工作，但如何开展数据安全风险评估也是许多企业发展的“痛点”。 在这种情况下，工业和信息化部在贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作的纲领下，研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》。 明确数据处理者职责和数据安全管理机构 《征求意见稿》第三条指出工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作，组织开展相关评估标准制修订及推广应用。其余各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。 对于企业重要数据资产，征求意见稿》第五条和第四条明确要求重要数据和核心数据处理者按照应当按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，及时、客观、有效的原则开展数据安全风险评估，形成真实、完整、准确的评估报告，并对评估结果负责。 数据处理者开展数据安全风险评估的准则 数据安全风险评估工作复杂多变，涉及部门众多，数据处理者很难轻易做到完全独立做好数据安全风险评估工作。《征求意见稿》第七条中表示重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估，评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队，制定完备的评估工作方案，配备有效的技术评测工具。 对于数据安全风险评估过程中可能存在的安全隐患，数据处理者要做好准备，及时采取适当措施消除或降低风险隐患。注意，《征求意见稿》强调在评估工作完成后的 10 个工作日内，应当立刻向本地区行业监管部门报送或更新评估报告。 此外，《征求意见稿》第六条同时提出了重要数据的评估期限，规定重要数据和核心数据处理者每年完成至少一次数据安全风险评估，并形成评估报告。数据安全风险评估结果有效期为一年，自评估报告首次出具之日起计算。在评估有效期出现涉及重要数据、核心数据的安全事件等情况时，要重新开展数据安全风险评估工作。 相关部门做好数据安全风险报告评估及监管 对于数据处理者提交的数据安全风险评估报告，《征求意见稿》第十一条提出行业监管部门根据管理需要，自行或委托专业机构对评估报告进行审核，发现不符合国家及行业有关规定和标准的，通知重要数据和核心数据处理者改正。涉及跨境提供、转移、委托处理重要数据和核心数据的，或者跨主体提供、转移、委托处理核心数据的，地方行业监管部门对评估报告审查后，报工业和信息化部，工业和信息化部按照国家有关规定进行复核。 行业监管部门对于违反国家认证认可相关规定的认证机构，将相关线索移交市场监督管理部门处理。行业监管部门对第三方评估机构的评估活动进行监督管理，对违反法律法规、未按行业规定和标准开展评估活动、未履行保密义务的第三方评估机构，视情按照规定权限和程序进行约谈、通报或指导相关认证机构撤销认证。 最后，《征求意见稿》第十六条和第十七条对涉密做出了明确要求，规定行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等，负有保密义务。对于涉及军事、国家秘密信息等数据处理活动，按照国家有关规定执行。 附件全文：工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）.doc ...

2023年，本地云应用和平台持续增长。组织一直在努力最大化其应用程序的潜力，以确保无缝的用户体验，并推动业务增长。 混合云环境的兴起和容器化技术（如Kubernetes）的采用彻底改变了现代应用程序的开发、部署和扩展方式。 在数字领域，Kubernetes无疑是大多数云原生应用程序和工作负载的首选平台，被各行业广泛采用。根据2022年的一份报告，96%的公司已经或正计划在其云系统中使用Kubernetes，这个流行的开源实用程序有助于容器编排和发现、负载平衡和其他功能。 【传统部署 VS 虚拟化部署 VS 容器部署】 然而，这种转变带来了一系列新的挑战。随着应用程序复杂性的增加，对强大的可观察性解决方案的需求也在增加，这些解决方案使企业能够深入了解其容器化工作负载。Kubernetes的可观察性是在混合云环境中管理和优化容器化应用程序的一个关键方面。 在本文中，我们将深入研究Kubernetes的可观察性，探索6种有效的策略，以帮助企业在混合云环境中释放其容器化应用程序的全部潜力。这些策略以行业专业知识和实际经验为基础，旨在增强Kubernetes部署的可观察性，从而推动业务成功。 Kubernetes的可观察性 Kubernetes是管理容器化应用程序的强大工具。不过，尽管它具有强大的功能，但要跟踪混合云环境中发生的事情可能异常困难。这就是“可观察性”的用武之地。 可观察性是对特定环境中的数据进行收集、分析和处理。在Kubernetes情境中，可观察性指的是获得对于在Kubernetes集群中运行的容器化应用程序的行为、性能和健康状况的洞察。 Kubernetes的可观察性基于三个关键支柱： 日志：日志提供了关于Kubernetes集群内的行为和事件的有价值信息。它们捕获重要的细节，如应用程序输出、系统错误和操作事件。分析日志有助于排除问题、理解应用程序行为、识别模式或异常。 指标：指标提供了对Kubernetes环境性能和资源利用率的洞察。它们包括CPU使用情况、内存消耗、网络流量和请求延迟信息。监视和分析指标有助于识别性能瓶颈、计划容量和优化资源分配。 跟踪：跟踪支持对Kubernetes应用程序中跨微服务的请求流的端到端可见性。分布式跟踪捕获定时数据和不同组件之间的依赖关系，从而提供对请求路径的全面理解。跟踪有助于识别延迟问题，了解系统依赖关系，并优化关键路径以提高应用程序性能。 Kubernetes可观察性过程通常涉及从各种来源收集和分析数据，以了解系统的内部状态并提供可操作的情报。通过实施正确的可观察性策略，组织可以深入了解其应用程序和基础设施，这将帮助组织实现以下目标： 快速检测和排除问题； 提高性能和可靠性； 优化资源使用； 满足法规遵从性要求 可观察性流程正在被IT团队快速采用。到2026年，70%的组织将成功应用可观察性来缩短决策延迟，同时增加分布式、有组织和简化的数据管理流程。 实现混合云环境下Kubernetes可观察性的6条有效策略 1. 使用集中式日志和日志聚合 为了深入了解分布式系统，集中式日志记录是一种必要的策略。在Kubernetes环境中，应用程序跨越多个容器和节点，因此，从各种来源收集和分析日志变得至关重要。 集中式日志记录包括将来自不同组件的日志整合到一个易于访问的位置。集中式日志的重要性在于它能够提供系统行为和性能的整体视图。 通过Kubernetes日志记录，组织可以在Kubernetes集群中关联事件并识别模式，从而实现高效的故障排除和根本原因分析。 想要在Kubernetes中实现集中式日志记录，组织可以利用强大的日志聚合工具或云原生解决方案，如Amazon CloudWatch Logs或Google Cloud logging。这些工具提供了可扩展且高效的方式来收集、存储和分析Kubernetes集群的日志。 2. 利用分布式跟踪实现端到端可见性 在复杂的Kubernetes环境中，微服务分布在多个容器和节点，想要理解不同组件之间的请求流和交互变得极具挑战性。这就是分布式跟踪发挥作用的地方，当请求遍历各种服务时，它可以提供对请求执行路径的端到端可见性。 分布式跟踪允许组织跟踪请求从入口点到其所涉及的所有微服务的过程，捕获关于每一步的有价值信息。通过使用跟踪库或代理对应用程序进行检测，组织还可以生成显示每个服务的持续时间、延迟和潜在瓶颈的跟踪数据。 在Kubernetes中利用分布式跟踪的好处是显著的。 首先，它可以帮助组织理解服务之间的依赖关系，从而实现更好的故障排除和性能优化。当请求出现延迟或错误时，组织还可以快速识别负责的服务或组件，并采取纠正措施。 其次，分布式跟踪允许组织衡量和监视单个服务及其交互的性能。通过分析跟踪数据，组织可以识别性能瓶颈，检测低效的资源使用，并优化系统的总体响应性。这些信息对于容量规划和确保Kubernetes环境中的可扩展性都是非常宝贵的。 市场上有多种流行的分布式跟踪解决方案可用。这些工具提供了必要的工具和基础架构来有效地收集和可视化跟踪数据。通过将这些解决方案集成到Kubernetes部署中，组织可以全面了解微服务的行为并推动持续改进。 3. 集成Kubernetes与APM解决方案 为了在Kubernetes中实现全面的可观察性，必须将组织的环境与应用程序性能监控（APM）解决方案集成在一起。APM解决方案提供了超越传统指标和日志的高级监控功能，可以深入了解单个应用程序组件的性能和行为。 APM集成的主要好处之一是能够检测和诊断Kubernetes应用程序中的性能瓶颈。 使用APM解决方案，组织可以在请求遍历各种服务时对其进行跟踪，并确定高延迟或资源争用的区域。有了这些信息，组织就可以采取有针对性的操作来优化关键路径，并提高整体应用程序性能。 许多APM解决方案提供专用的Kubernetes集成，可以简化容器化应用程序的监视和管理。这些集成提供了预配置的仪表板、警报和工具库，简化了在Kubernetes环境中捕获和分析APM数据的过程。 4. 使用基于指标的监控 基于指标的监控构成了Kubernetes中可观察性的基础。它包括收集和分析关键指标，这些指标可以洞察Kubernetes集群和应用程序的运行状况、性能和资源利用率。 当谈到Kubernetes中基于指标的监控时，有以下几个基本组件需要考虑： 节点级指标：监控Kubernetes集群中单个节点的资源利用率对于容量规划和基础设施优化至关重要。CPU使用情况、内存使用情况、磁盘I/O和网络带宽等指标可以帮助组织识别潜在的资源瓶颈并确保最佳分配。 pod级指标：pod是Kubernetes中部署的基本单元。监视与pod相关的指标允许组织评估它们的资源消耗、运行状况和总体性能。关键pod级指标包括CPU和内存使用情况、网络吞吐量和请求成功率。 容器级指标：pod中的容器封装了各个应用程序组件。监视容器级指标可以帮助组织了解特定应用程序服务或流程的资源消耗和行为。CPU使用情况、内存使用情况和文件系统使用情况等指标可以帮助组织深入了解容器性能。 特定于应用程序的指标：根据应用程序的需求，组织可能需要监控特定于业务逻辑或领域的自定义指标。这些指标可能包括错误率、缓存命中率或其他相关性能指标。 【基于指标的监控架构图】 5. 使用自定义Kubernetes事件增强可观察性 自定义事件（Custom event）在Kubernetes组件之间以及Kubernetes与外部系统之间进行通信。它们可以发出重要事件的信号，例如部署、扩展操作、配置更改，甚至容器中特定于应用程序的事件。 通过利用自定义事件，组织可以在可观察性方面获得以下好处： 主动性监控：自定义事件允许组织定义和监控需要注意的特定条件。例如，组织可以创建事件来指示何时资源不足、何时pod遇到故障或何时超过特定阈值。通过捕获这些事件，组织可以在问题升级之前主动检测并解决问题。 上下文信息：自定义事件可以包含有助于排除故障和分析根本原因的其他上下文信息。组织可以附加相关的详细信息，例如错误消息、时间戳、受影响的资源或任何其他提供事件重要性的元数据。这个额外的上下文有助于更有效地理解和解决问题。 与外部系统集成：Kubernetes自定义事件可以由外部系统使用，例如监控平台或事件管理工具。集成这些系统允许组织基于特定事件触发自动响应或通知。这简化了事件响应过程，并确保及时解决关键问题。 要利用自定义Kubernetes事件，组织可以使用Kubernetes事件hook、自定义控制器，甚至使用Kubernetes API开发事件驱动的应用程序。通过定义事件触发器、捕获相关信息并对事件作出反应，组织可以建立一个强大的可观察性框架，以补充传统的监控方法。 6. 将合成监控纳入主动可观测性 合成监控（Synthetic Monitoring）会模拟用户旅程或表示与应用程序的日常交互的特定事务。这些合成测试可以安排在不同的地理位置定期运行，以模拟用户行为并测量关键性能指标。 在Kubernetes环境中集成合成监控有以下几个关键好处： 主动问题检测：合成测试允许组织在实际用户受到影响之前检测问题。通过定期模拟用户交互，组织可以识别性能下降、错误或无响应组件。这种早期检测使组织能够主动解决问题并保持应用程序的高可用性。 性能基准测试：合成监控为性能基准测试和SLA遵从性提供了基线。组织可以通过在不同位置运行一致的测试来测量正常条件下的响应时间、延迟和可用性。这些基准可以作为检测异常和确保最佳性能的参考。 地理洞察：组织可以将合成测试配置为从不同的地理位置运行，从而获得对来自不同区域的应用程序性能的洞察。这有助于识别可能影响用户体验的延迟问题或区域差异。通过基于这些见解优化应用程序的性能，组织可以确保全球一致的用户体验。 组织可以利用专门的工具将合成监控集成到Kubernetes环境中。这些工具提供了创建和调度合成测试、监控性能指标和生成报告的功能。 结语 通过使用集中式日志记录和日志聚合、利用分布式跟踪、将Kubernetes与APM解决方案集成、采用基于指标的监控、合并自定义Kubernetes事件和综合监控，组织可以增强对Kubernetes部署的行为和性能的理解。 实现这些策略将提供对分布式系统的全面洞察，支持高效的故障排除、性能优化、主动问题检测和改进的用户体验。无论是运行小型Kubernetes环境的组织，还是管理复杂的混合云部署的组织，都可以应用这些策略来发挥应用程序的最大潜力。 原文链接： https://dzone.com/articles/6-effective-strategies-for-kubernetes-observabilit ...