Nacos3.0架构 安全零信任&AI Registry Nacos PMC 2025/07/10 一个易于构建 AI Agent 应用的服务、配置和AI智能体管理平台 柳 遵 飞 （ 翼 严 ） CONTENT 目录 Nacos3.0 架构升级&核心能力 性能 & 可拓展性提升 01 Nacos3.0 安全零信任 Nacos内核&应用安全零信任实践 02 Nacos Router 03 Nacos 3.0 未来规划演进 一个易于构建 AI Agent 应用的服务、配置和AI智能体管理平台 04 Part 1 Nacos3.0 架构升级&核心能力 性能 & 可拓展性提升 Nacos 简介 Nacos2.0时代：一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台 https://nacos.io/ Nacos社区 2.0发展回顾 • Github仓库突破3w 构建AI应用部署形态改变 • 原生配置&服务的模型如何支持 AI应用构建，相比微服务时代提 供更易用的产品化功能 • 默认命名空间不统一：服务&配 置标识不一致 • 配置及服务的动态订阅 • 分布式锁功能支持 • 内核和控制台同端口 • 鉴权开关绑定 • 应用侧数据源动态无损轮转 Nacos-Controller : k8s 配置及服务同步 价值 • 可视化管理界面

信息安全测评实施作业指导书 测评层面：TOMCAT 序 号 测评项 操作步骤 预期结果 1 应按照用户分配账 号。避免不同用户间 共享账号 1、参考配置操作 修改 tomcat/conf/tomcat-users.xml 配置文件，修改或添加帐号。 注意： http://ip:8080/manager/html 管 理页面，进行 Tomcat 服务器管理 2 应删除或锁定与设备运 行、维护等工作无关的 账号 1、参考配置操作 修改 tomcat/conf/tomcat-users.xml 配置文件，删除与工作无关的帐号。 例如 tomcat1 与运行、维护等工作无关，删除 tomcat1 帐号。 1、判定条件 被删除的与工作无关的账号 tomcat1 禁用超级用户启用 tomcat 1、参考配置操作 在普通用户的模式下，运行 tomcat 的启动脚本 2、检测操作 查看当前系统的 tomcat 进程，确认程序启动时使用的身份。 注意：通过 services.msc 服务属性设置 禁用超级用户启用 tomcat 4 对于采用静态口令认证 技术的设备， 口令长 度至少 8 位， 并包括 1、参考配置操作 在 tomcat/conf/tomcat-user

运维数据治理规范 故障处理流程 应急恢复流程 运维业务管理 变更管理 爆炸半径管理 问题与故障管理 云网跨域协同 事件管理 运维事件、变更事件 监控管理 全链路监测 服务台 配置管理 配置一致性管理 性能管理 限流管理、上线压测 风险管理 应急与混沌工程 版本管理 维保管理 运维知识库管理 运维数据管理 流程数据管理 产品生命周期管理 EOX管理、版本变更 典型的指标度量体系包含告警响应及时率、事故 恢复及时率、事故数量、变更成功率等。 2、运维组织治理 根据用户实际情况定义运维组织架构，识别关键运 维岗位，明确岗位职责，按照岗位承担的职责和定 义的人效比，为岗位配置预期数量的人员以及人员 的绩效考核条目。涉及周边组织协同配合场景，需 要明确周边组织的协同职责，无隶属关系的组织需 要报请上级部门协调，确保职责落地。 3、运维业务管理 运维业务管理主要是针对服务内容进行定义，可以 主动运维线 深度巡检：在运维流程设计时应制定完善的风险防控机制，对云平台日常维护期内各云服务关键配置、健康 度进行巡检，发现潜在风险，减少异常情况对业务带来负面影响。 16 例行计划 问题管理 1、根据问题管理流程、例行计划、人员、资源等制定巡检计划； 2、审批巡检计划可实施性，保证合理配置，确保巡检计划顺利完成； 3、根据批准后的巡检计划创建巡检工单，指派工单给巡检执行人；根据巡检需

训练算法选择......................................................................................64 5.2 训练参数配置......................................................................................65 5.3 训练过程监控 .......................................................................................95 8.1 硬件资源配置......................................................................................98 8.2 软件优化策略 部署环境准备....................................................................................106 9.2 系统安装与配置................................................................................109 9.3 系统测试与验收...

召回信 息出现波动等问题，可以引入知识图谱或GraphRAG技术，提供多路召回方式提升召回准确率和 稳定性，此外，也可以通过数据预处理矫正出问题的数据。 智能化部署：AI基于用户需求，自动生成配置文件并完成数据库部署，简化传统部署流程。 �.� AI对传统运维的影响 故障诊断与智能运维：根据不同数据库特性，利用AI生成巡检、监控、处置脚本和工具，协助完成 日常运维的巡检、监控、告警等操 提供多样化的用户接入方式，可灵活对接业务，统一调度资源与权限，保障系统安全与高效运行， 同时支持全链路监控、故障自愈与性能优化。 腾讯云数据库TDSQL架构设计 �� Web 控制台：可视化操作界面，具备数据库实例管理、监控、配置等功能。同时提供 OpenAPI 标准 化接口服务，支持第三方系统集成与自动化运维。 管理服务：负责集群管理、多种语法兼容模式的数据库内核实例部署及实例生命周期管理、扩缩 容、监控告警、备份恢 等功能， 帮助用户智能监控和管理数据库。 OBS 监控告警服务：实时采集数据库性能指标（如QPS、延迟、资源利用率），支持阈值告警与可视 化报表。 元数据库：存储集群元数据（如节点拓扑、权限配置），支撑全局一致性管理。 监控数据库：存储监控数据，为 OBS 监控告警服务提供基础支撑。 OSS 管控服务：访问及管理 TDSQL 各引擎，下发及执行运维流程。 MySQL 模式：兼容原生 MySQL

析，帮劣用户判断搜索结果导向。 生成报告：对搜索癿分析结果进行报告生 成，可以保存或进行订阅、推送。 简报观察角度自定义，分析结果实时呈现 自由选择观察角度： 配置观察对象、配置观察领 域、选择观察时间段 内容结果分析：提供多种简报模板，用户可根据 配置癿观察角度自由分析，生成相应癿简报。分 析结果采用图表列表癿展示斱式。 添加对比：分析结果可添加对比，添加其他癿观 察角度即可 订阅推送：对搜索癿分析结果进行订阅推送，通 资讯简报 用智慧发现信息价值 Discover information . 用户可以自己定义观察视角，自 定义关注对象、关注领域。 . 同一事物，丌同癿人有丌同癿观 察视角，每个用户可以独立配置 自己癿使用习惯。 . 定义癿关注领域，可以是多层级 癿，用户可以定义具有父子关系 癿多层级领域树。 自定义观察领域树 自定义观察对象 自定义观察对象、观察维度 观察对象 4 观察对象 新产品 用智慧发现信息价值 Discover information 自由定义观察角度 关注对象配置：用户可以自由配置自己所关注 癿对象。 关注领域配置：用户可以自由配置自己所关注 癿领域。 自定义观察对象、观察维度 分类展示用户所关注的重要资讯 内容结果分析： 用户可根据选择配置癿 观 察角度自由筛选结果，展示相应类别癿重 要资讯展示。 自定义分类：内容癿筛选分类可从类别库

08) 、《XX 信 息网计算机操作系统安全配置基本要求》GA/T 1252-2005，用户接入网的终端安全基线主 要 包括： 身份鉴别、安全审计、访问控制、资源控制、入侵防护 5 个部分。 终端安全检查是计算机终端入网的凭证，不安全的终端接入网络，将可能给网络带来 无 法估量的损失，例如病毒恶意传播，木马泛滥导致机密泄露，不安全策略配置导致对黑 客入 侵缺乏抵抗能力等。终端安全控制系统针对以上问题， 能访问指定的安全控制域，避免因为不安全的终端接入网络而造成的未知风险。 2.1.3.5 终端安全加固 根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008) 、《XX 信 息网计算机操作系统安全配置基本要求》 GA/T 1252-2005 用户接入网终端应安装经国家 有 关部门检测、认证的正版防病毒软件，实时监测各类非入侵行为，并保持及时更新系统补 丁、 封堵风险漏洞等功能。主要包括防病毒 ，且只需要通过一种方式的认证即可实 现 接入。 2.3.3 安全检测 2.3.3.1 复制分流器 IPS、流量分析、沙箱检测、数据防泄漏等各类检测设备针对流量的安全检测需求， 可 通过配置一台高性能的 TAP 复制分流器对重要的网络节点镜像的流量进行采集和复制，把 流量均衡分散到多个出接口， 转发给 IPS、流量分析、沙箱检测、数据防泄漏等各类检测设 备的安全检测引擎进行数据分析，维持同源同宿，

础设施、网络安全态势感知产品、信息系统安 全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 远江盛邦（北京）网络安全科技股份有限公司.................................................................................365 安全配置检查产品 北京威努特技术有限公司.................................................................................. 防止安全 域内部敏感信息被非授权泄露的产品。 28 数据销毁软件产品 采用信息技术进行逻辑级底层数据清除 , 彻底销毁存储介质所承载数据 的产品。 29 安全配置检查产品 基于安全配置要求实现对资产的安全配置检测和合规性分析 , 生成安全 配置建议和合规性报告的产品。 30 运维安全管理产品 对信息系统重要资产维护过程实现单点登录、集中授权、集中管理和审 计的产品。 31 日志分析产品 采集信息系统中的日志数据

自行软件 开发 外包软件 开发 等级测评 环境管理 设备维护管理 网络和系统安全管理 介质管理 备份与恢复管理 恶意代码防范 管理 漏洞和风险管理 安全事件处置 资产管理 密码管理 配置管理 变更管理 应急预案管理 外包运维管理 安全管理制度 14 安全要求项 第一级 第二级 第三级 第四级 增加内容说明 云计算安全扩展要求 11 29 46 49 主要增加的内容包括 2.0 能力要求（扩展要求） 技 术 管 理 安全运维管理 安全建设管理 安全管理中心 安全计算环境 安全区域边界 安全通信网络 访问控制 入侵防范 访问控制 云服务商选择 配置管理 一级 二级 三级 四级 分类 安全物理环境 基础设施位置 云 计 算 网络架构 安全审计 数据完整性和保密性 镜像和快照保护 数据备份恢复 安全审计 集中管控 供应链管理 云计算环境管理 技 术 管 理 安全运维管理 安全建设管理 安全管理中心 安全计算环境 安全区域边界 安全通信网络 边界防护 入侵防范 移动应用管控 移动应用软件采购 配置管理 一级 二级 三级 四级 分类 安全物理环境 无线接入点的物理位置 移 动 互 联 访问控制 移动终端管控 移动应用软件 开发控 技 术 管 理 安全运维管理 安全建设管理

Demo 和文档，有效提升鲲鹏原生开发效率。 3.1.1 代码开发 07 / 鲲鹏原生开发技术白皮书 鲲鹏原生开发能力介绍 鲲鹏应用工程 提供场景化的鲲鹏应用工程模板，快速辅助工程环境构建、配置检查、依赖下载、构建文件生成等。 步骤 1 创建鲲鹏应用工程（通用计算应用工程，界面截图以 VS Code 环境为例）。 图 3-2 创建工程 步骤 2 部署 SDK。 图 3-3 部署 SDK 版本，适用于使用块存储或对象存储服务场景，不支持 Bcache，该特性是针对开源 Ceph 的 EC 流程进行优化，降低了数据读写流程中的 IO 放大比例，从而使得整体性能更高。相对于 Ceph 开源 EC，在均衡型 配置下，对于块存储服务，EC Turbo 性能可达到 x86 三副本 80% 以上，存储成本降低 50%；对于对象存储服务， ECTurbo（4+2）性能达到 x86 三副本 80% 以上，大 IO 存储成本比三副本降低 OS 已在手机侧商用近 10 年，用户数已过亿，同时安全 性获得 CC EAL4+ 认证，兼容性获得 GlobalPlatform 认证。在规格方面也较为灵活，其中 TEE 侧安全内存支持按 需配置，最大可配 512GB，可支持大数据、AI 等大型应用运行。 图 3-18 机密计算 » TEE SDK：提供机密计算 REE（Rich Execution Environment，富执行环境）侧和