前言 Istio 1.12 中新的 WebAssembly 基础设施使其能够轻松地将额外的功能注入网格部署中。 经过三年的努力,Istio 现在有了一个强大的扩展机制,可以将自定义和第三方 Wasm 模块添加到网格中的 sidecar。Tetrate 工程师米田武(Takeshi Yoneda)和周
2023-07-09
编者的话 本文作者是 Isovalent 联合创始人&CTO,原文标题 How eBPF will solve Service Mesh - Goodbye Sidecars,作者回顾了 Linux 内核的连接性,实现服务网格的几种模式,以及如何使用 eBPF 实现无 Sidecar 的服务
2023-07-09
前言 Slack 有一个全球客户群,在高峰期有数百万同时连接的用户。用户之间的大部分通信涉及到向对方发送大量的微小信息。在 Slack 的大部分历史中,我们一直使用 HAProxy 作为所有传入流量的负载均衡器。今天,我们将讨论我们在使用 HAProxy 时所面临的问题,我们如何用 Envoy Pr
2023-07-09
什么是 Wasm 插件? 你可以使用 Wasm 插件在数据路径上添加自定义代码,轻松地扩展服务网格的功能。可以用你选择的语言编写插件。目前,有 AssemblyScript(TypeScript-ish)、C++、Rust、Zig 和 Go 语言的 Proxy-Wasm SDK。 在这篇博文中,我们
2023-07-09
前言 今天,我们很高兴地宣布 Envoy Gateway 成为 Envoy 代理家族的新成员,该项目旨在大幅降低将 Envoy 作为 API 网关的使用门槛。 历史 Envoy 在 2016 年秋天开源,令我们惊讶的是,它很快就引领了整个行业。用户被这个项目的许多不同方面所吸引,包括它的包容性社区、
2023-07-09
前言 今天,Envoy 社区宣布了一个令人兴奋的新项目:Envoy Gateway。该项目将行业领导者联合起来,精简由 Envoy 驱动的应用网关的好处。这种方法使 Envoy Gateway 能够立即为快速创新打下坚实的基础。该项目将提供一套服务来管理 Envoy 代理机群,通过易用性来推动采用,
2023-07-09
主要收获 对于现代软件系统来说,可观测性不是关于数学方程。它是关于人类如何与复杂的系统互动并试图理解它们。 混沌工程利用了可观测性,因为它可以检测到系统稳定状态的偏差。混沌工程借助可观测性可以发现和克服系统的弱点。 可观测性依赖于系统所发出的信号,这些信号提供了关于系统行为的原始数据。然
2023-07-09
前言 OpenTelemetry 追踪包含了理解分布式系统和排除故障的信息宝库 —— 但你的服务必须首先被指标化,以发射 OpenTelemetry 追踪来实现这一价值。然后,这些追踪信息需要被发送到一个可观察的后端,使你能够获得关于这些数据的任意问题的答案。可观测性是一个分析问题。 本周早些时候,
2023-07-09
编者的话 Istio 1.14 版本增加了对 SPIRE 集成的支持,这篇文章将指导你如何在 Istio 中集成 SPIRE。 SPIRE 是 SPIFFE 规范的一个生产就绪的实现,它可以执行节点和工作负载证明,以便安全地将加密身份发给在异构环境中运行的工作负载。通过与 Envoy 的 SDS A
2023-07-09
编者的话 本文翻译节选自 A Kubernetes engineer’s guide to mTLS,为了便于读者理解,笔者对原文做了一点修改 1。因为笔者最近在研究 Istio 中的身份认证及 SPIFFE,对如何在 Kubernetes 中应用 mTLS 以及为什么要使用 mTLS 产生了浓厚的
2023-07-09
编者的话 本文是来自 Tetrate 工程师的分享,Tetrate 的拳头产品是 Tetrate Service Bridge(下文简称 TSB),它是在开源的 Istio 和 Envoy 基础上构建的,但为其增加了管理平面。 简介 Tetrate 的应用连接平台 Tetrate Service B
2023-07-09
背景介绍 Apache SkyWalking 观察部署在服务网格中的服务的度量、日志、追踪和事件。在进行故障排除时,SkyWalking 错误分析是一个宝贵的工具,可以帮助确定错误发生的位置。然而,确定性能问题更加困难:利用预先存在的观察数据往往不可能找到性能问题的根本原因。为此,动态调试和故障排除
2023-07-09
关键要点 零信任通过有选择地只允许访问用户应该被允许访问的特定资源,解决了开放网络访问的问题。 实现持续验证的关键策略是零信任网络访问 (ZTNA)。 实施零信任有助于解决 SOC(安全运营中心)或安全分析师角色中的组织技能短缺问题。 在零信任环境中,开发人员必须全面了解如何保护请求者与应用程序交
2023-07-09
本文译自 Cloud Native Network Functions Are Here,译者 Jimmy Song。 主要收获 云原生网络不是另一种方式的 SDN,它以一种完全不同的方式来看待网络。 虽然 SDN 似乎是把物理网络和机器做了虚拟化,但「云原生网络功能」(Cloud-native
2023-07-09
今天,我们很高兴地介绍 Ambient Mesh(译者注:笔者更倾向于将其称为 Ambient Mode,即外围模式),这是一种新的 Istio 数据平面模式,旨在简化操作、扩大应用兼容性并降低基础设施成本。用户可以选择将 Ambient Mesh 集成到其基础设施的网格数据平面,放弃 sideca
2023-07-09
我们最近发布了 Istio Ambient Mesh(译者注:笔者更倾向于将其称为 Ambient Mode,即外围模式,但译文中仍然保留了 Ambient Mesh 的叫法),它是 Istio 的无 sidecar 数据平面。如公告博客中所述,我们使用 Ambient Mesh 解决的首要问题是简
2023-07-09
Istio最近宣布了“Ambient Mesh” —— 一种用于 Istio 的实验性“无 sidecar”部署模型。我们最近在从服务网格中获得最大性能和弹性的背景下写了关于 sidecar 与 sidecar-less 的文章。在本文中,我们将特别介绍我们对 Ambient Mesh 的看法。 如
2023-07-09
最近 Envoy Gateway 0.2 发布了,API 网关的生态系统迎来了新的变化。这篇文章将想你介绍 Kubernetes API 网关领域的最新进展。 如何将外部的网络请求路由到 Kubernetes 集群?你可以使用入口控制器:一组 HTTP 反向代理,将流量转接到集群中,并由 opera
2023-07-09
在这篇文章中,我们将亲身体验 Envoy Gateway 和 Gateway API。以下是逐步指导你安装 Envoy Gateway 的说明,以及通过 Envoy 代理在集群外公开 HTTP 应用程序的简单用例。 如果你不方便运行,我在本文中包含了每个命令的输出,即使你没有 Kubernetes
2023-07-09
Kubernetes 是编排现代云原生工作负载的事实标准。但是,它不提供开箱即用的安全通信。这意味着每个需要实施传输中加密以对其 Kubernetes 部署采用零信任安全态势的人都需要自己解决这个问题。 幸运的是,有很多易于理解的方法可以实现,在本文中,我们将介绍在 Kubernetes 中实现双向
2023-07-09