记者从市公安局获悉，近期，虚假投资理财类诈骗多发，诈骗分子打着新型投资的旗号，构建虚假的交易平台，通过发行虚假的股票、证券募集资金，待时机成熟后，便会将资金全部卷走。

近期，方女士看到一条介绍股票投资的视频讲得不错，便加入一个QQ群。群中有很多“股友”，群主经常在群中传授“炒股”知识、推荐股票。方女士按照对方的推荐在某官方网站上投资，有赚有赔，但总体上还是赚钱的，便逐渐信任了群主。之后，群主以在群中谈论投资容易被监管为由，发送某APP的下载链接，又以股票涨停无法申购或新股上市不易购买等理由，声称可在该APP中购买新股，并保证稳赚不赔。方女士下载APP后，向“平台客服”提供的陌生银行账户转账充值。此后，对方不断鼓动她追加投资。直到警方通过96110打来诈骗预警电话时，方女士才发现自己被骗。

我市警方提醒：在虚假投资理财类诈骗中，诈骗分子在社交网络平台发布推广股票、外汇、期货、虚拟货币等投资理财产品的消息，以交流投资经验、加入投资群聊、听取“投资专家”“导师”直播课等方式，谎称有内幕信息、回报丰厚，诱导受害人在其提供的虚假网站、APP中投资。前期小额投资可能会收到利润，待受害人加大投资后，便会发现无法提现或全部亏损，最终被对方拉黑，投资理财网站、APP也无法登录。

孙瑜 半岛晨报、39度视频首席记者黄凤桐

eBPF是Kubernetes世界的热门话题，利用它构建“无sidecar服务网格”的想法最近引起了热议。这一想法的支持者声称，eBPF可以通过移除sidecar来降低服务网格的复杂性。他们没有说的是，该模型只是用多租户每主机代理取代了sidecar代理——这在安全性和可操作性方面都是一个显著的倒退，增加了复杂性。

sidecar模式代表了行业的巨大进步。sidecar允许在运行时将功能动态注入到应用程序中，同时保留容器实现的所有隔离保证。从sidecar回到多租户，共享代理失去了这种关键的隔离，导致安全性和可操作性显著下降。

事实上，服务网格市场已经亲眼目睹了这一点：第一个服务网格Linkerd 1.0大约在2017年使用相同的每主机代理模型提供了“无sidecar”服务网格，由此带来的运维、管理和安全方面的挑战直接导致了基于sidecar的Linkerd 2.0。

eBPF和sidecars不是非此即彼的选择，而eBPF需要取代Sidecar的说法是一种营销，并不是实际需求。eBPF在服务网络中有未来，但是是eBPF+sidecar。

eBPF简介

我们首先需要理解eBPF。eBPF是一个强大的Linux内核功能，允许应用程序直接在内核中动态加载和执行代码。这可以极大地提高性能：我们可以在内核内部进行处理，而不是在内核和应用程序空间之间不断移动数据进行处理。性能的提升意味着以前不可行的应用程序现在可行，尤其是在网络可观察性等领域。

但eBPF不是灵丹妙药。eBPF程序非常有限，理由很充分：在内核中运行代码是危险的。为了防止不良行为，内核必须对eBPF代码施加重大约束，其中最重要的是“验证器”。在允许执行eBPF程序之前，验证器对程序执行一系列严格的静态分析检查。

自动验证任意代码很困难，错误的后果也是不对称的：拒绝一个完全安全的程序可能会让开发人员感到烦恼，但允许一个不安全的程序运行将是一个主要的内核安全漏洞。因此，eBPF程序受到高度限制。它们不能阻塞或具有无界循环，甚至不能超过预定义的大小。验证器必须评估所有可能的执行路径，这意味着eBPF程序的总体复杂度是有限的。

因此，eBPF仅适用于某些类型的工作。例如，在eBPF中实现需要有限状态的功能，例如“计算与IP地址和端口匹配的网络数据包数量”，相对简单。而需要累积状态的程序，例如，“解析此HTTP/2流并根据用户提供的配置进行正则表达式匹配”，甚至“协商此TLS握手”，要么根本无法实现，要么需要Rube Goldberg级别的扭曲来使用eBPF。

eBPF和服务网格

现在让我们转到服务网格。可以用eBPF替换sidecar吗？

鉴于eBPF的局限性，答案是否定的——服务网格所做的远远超出了纯eBPF的能力。服务网格处理现代云原生网络的所有复杂性。例如，Linkerd启动和终止双向TLS，在瞬时故障的情况下重试请求，透明地将连接从HTTP/1.x升级到HTTP/2，基于加密工作负载身份强制执行授权策略等。

与大多数服务网格一样，Linkerd通过在每个应用程序pod中插入一个代理来实现这一点——众所周知的sidecar。在Linkerd的例子中，这是超轻Linkerd2代理“微代理”，用Rust编写，旨在消耗尽可能少的系统资源。该代理拦截并增强与pod之间的所有TCP通信，并最终负责实现服务网格的完整功能集。

该代理中的一些功能可以通过eBPF实现。例如，有时候，sidecar的工作只是将TCP连接代理到目的地，而无需L7分析或逻辑。可以使用eBPF将其卸载到内核。但是sidecar所做的大部分工作需要显著的状态，并且在eBPF中实现是不可能的，或者是不可行的。

因此，即使使用eBPF，服务网格仍然需要用户空间代理。

sidecar的情况

如果我们正在设计一个服务网格，那么代理的位置就由我们决定。从架构的角度来看，我们可以将它们放在sidecar级别、主机级别、集群级别，甚至其他地方。但从运维和安全的角度来看，实际上只有一个答案：与任何替代方案相比，sidecar为安全性、可维护性和可操作性提供了实质性和具体的好处。

sidecar代理处理单个应用程序实例的所有流量。实际上，它是应用程序的一部分。这带来了一些显著的优势：

——sidecar代理资源消耗随应用程序的流量负载而变化，因此Kubernetes资源限制和请求直接适用。

——sidecar故障的“爆炸半径”仅限于pod，因此Kubernetes的pod生命周期控制直接适用。

——升级sidecar代理的处理方式与升级应用程序代码的处理方式相同，例如通过滚动部署。

——sidecar代理的安全边界被清晰地划定，范围也很严格：sidecar代理仅包含与该pod相关的秘密材料，并充当pod的执行点。这是粒度强制，是网络安全零信任方法的核心。

相反，每主机代理（以及其他形式的多租户代理，例如集群范围代理）处理到主机上调度的任意一组pod-Kubernetes的流量。这意味着sidecar的所有运维和安全优势都将丧失：

——每主机代理资源消耗是不可预测的。它是Kubernetes动态调度决策的函数，这意味着资源限制和请求不再有用。你无法提前知道代理需要多少系统。

——每主机代理必须确保公平性和QoS，否则应用程序将面临饥饿风险。这是一个非常重要的要求，并且没有流行的代理来处理这种形式的“竞争多租户”。

——每主机代理的爆炸半径很大，并且不断变化。每主机代理中的故障将影响主机上调度的任意应用程序的任意pod集。类似地，升级每主机代理将对任意应用程序产生任意程度的影响，具体取决于机器上调度了哪些pod。

——安全是混乱的。每主机代理必须包含该主机上调度的所有pod的关键材料，并且必须代表该主机上的所有调度应用程序执行强制。这将代理变成一个新的攻击向量，容易受到代理问题的困扰，代理中的任何CVE或缺陷现在都会产生更大的安全影响。

简而言之，sidecar代理构建在通过容器获得的隔离保证之上，允许Kubernetes和内核强制执行安全性和公平性。每主机代理完全超出了这些保证，给操作、安全和维护带来了极大的复杂性。

我们该怎么办？

eBPF是网络的一大进步，它可以通过将服务网格移动到内核来优化一些工作。但是eBPF总是需要用户空间代理。有鉴于此，正确的方法是将eBPF和sidecar结合起来。

提出用eBPF建立无sidecar服务网是本末倒置。从用户的角度来看，“用eBPF逐步改进sidecar”是一个正确的决定。

sidecar模式是一大进步，也面临着挑战，但它是迄今为止处理全范围云原生网络的最佳方法，保持了通过采用容器实现的隔离保证。eBPF可以扩充这个模式，但不能取代它。

上一篇：明天涨停的股票选股公式(今天买明天涨的股票)

下一篇：股票002007 注册制股票交易规则