传统的网络安全依赖于围绕可信内部网络的强大防御边界,以将不良行为者拒之门外,将敏感数据拒之门外。在日益复杂的网络环境中,维护强大的边界越来越困难。 零信任安全正在成为企业保护其传统和现代云原生应用程序的首选方法。零信任网络架构颠覆了边界安全的假设。在零信任网络中,每个资源都在内部受到保护,就好像它暴
2023-07-09
在本文中,我们将探讨如何使用 Hashicorp Vault 作为一种比使用 Kubernetes Secret 更安全的方式来存储 Istio 证书。默认情况下,Secret 使用 base64 编码存储在 etcd 中。在安全策略严格的环境中,这可能是不可接受的,因此需要额外的措施来保护它们。一
2023-07-09
当我们与想要使用 Istio 的客户或用户交流时,这一个问题时长会出现——Istio 中的证书信任如何工作的?Istio 有自己的证书颁发机构,而我们也有自己的证书颁发机构,如何确保它们相互信任? 简而言之,通过中间签名证书将 Istio 纳入到您现有的信任链中。 如果您使用 Istio 作为演示或
2023-07-09
Istio 的核心功能之一是通过管理网格中服务的身份来促进零信任网络架构。为了在网格中检索用于 mTLS 通信的有效证书,各个工作负载向 istiod 发出证书签名请求 (CSR)。Istiod 反过来验证请求并使用证书颁发机构(CA)签署 CSR 以生成证书。默认情况下,Istio 为此目的使用自
2023-07-09
本文是 Tetrate 即将出版的《Istio in Production》一书中摘录的服务网格最佳实践系列的第一篇,作者是 Tetrate 创始工程师 Zack Butcher。 我们接到许多实施网格的企业的问题,其中之一是“我还需要哪些控制,而网格提供哪些控制?”换句话说,他们想知道网格如何适应
2023-07-09
这是 服务网格最佳实践系列文章 中的第二篇,摘自 Tetrate 创始工程师 Zack Butcher 即将出版的书籍 Istio in Production。 当涉及到在多集群的基础设施中部署服务网格时,有一些可移动的部分。这里主要想强调的是控制平面应该如何部署在应用程序附近,入口应该如何部署以促
2023-07-09
这是 服务网格最佳实践系列文章 中的第三篇,摘自 Tetrate 创始工程师 Zack Butcher 即将出版的新书 Istio in Production。 Istio 就像一组乐高积木:它具有许多功能,可以按照您想要的任何方式进行组装。出现的结构取决于您如何组装零件。在 上一篇中,我们描述了一
2023-07-09
译者评论 本文作者观点是:不应该将自由和开源软件(FOSS)置于你的软件供应链中,而是寻找他们的供应商,因为只有能够为软件负责任的供应商存在才能作为供应链的一环。 在过去的几年里,我们看到了很多围绕软件供应链概念的讨论。这些讨论始于 LeftPad 时代,并随着过去几年发生的各种事件而升级。这个领
2023-07-09
下面是我所知道的关于将 Rust 编译为 WebAssembly 的所有知识。 前一段时间,我写了一篇如何在没有 Emscripten 的情况下将 C 编译为 WebAssembly 的博客文章,即不默认工具来简化这个过程。在 Rust 中,使 WebAssembly 变得简单的工具称为 wasm-
2023-07-09
我们从最简单的基于 IDP 的 RBAC 开始,最终将基于组的 RBAC 与细粒度的权限和细粒度的资源相结合。 授权很复杂,因为每个应用程序都必须发明自己的授权模型。但是,有一些陈旧的路径可以作为大多数应用程序的良好起点。这篇文章将描述这些模式以及 Topaz 开源项目或 Aserto 授权服务等授
2023-07-09
Envoy Gateway (EG)首次公开发布 四个月后,我们很高兴地宣布发布 版本 0.3 起。这个最新版本是几位 Tetrate 同事和整个社区其他人辛勤工作的结晶。Envoy Gateway 现在支持整个 Kubernetes Gateway API,包括实验部分——添加了一些强大的新功能,
2023-07-09
译者注:这篇文章从多个角度探讨了 WebAssembly(Wasm)的现状和未来。首先,文章引用了 Cloud Native Computing Foundation(CNCF)的报告,指出 WebAssembly 在网页、无服务器、游戏和容器化应用中的应用越来越广泛,并预测 WebAssembly
2023-07-09
译者注:这篇文章介绍了 Istio 的 Rust-Based Ztunnel,它是一种基于 Rust 语言的轻量级代理,用于 Istio 的 ambient mesh。在文章中,作者解释了为什么需要一种新的代理,以及 Rust 语言是如何成为最佳选择的。文章还讨论了如何使用 workload xDS
2023-07-09
本文作者 Bilgin Ibryam 是 Diagrid 的技术产品经理,致力于开发人员生产力工具。在此之前,他曾在 Red Hat 担任顾问和架构师,同时也是 Apache 软件基金会的提交者和成员。Bilgin 还与人合著了两本关于 Kubernetes 模式和 Camel 设计模式的书。在业余
2023-07-09
译者注:本文译自 Tetrate 博客。这篇文章介绍了 wazero,一个由 Tetrate 开发的用 Go 语言编写的 WebAssembly 运行时。wazero 可以让开发者用不同的编程语言编写代码,并在安全的沙箱环境中运行。wazero 有以下几个特点: 纯 Go,无依赖,支持跨平台和跨架
2023-07-09
译者注:本文译自 Fusion Auth Developer。JSON Web Token(通常缩写为 JWT)是一种通常与 OAuth2 等标准协议一起使用的令牌。本文解释了 JWT 的组成部分和工作原理。 在我们继续之前,重要的是要注意 JWT 通常被错误地称为 JWT Tokens。在末尾添
2023-07-09
客户向我们询问服务网格实践中关于开放策略代理 (OPA) 和服务网格如何结合使用的问题。我们探讨了关于服务网格和 OPA 策略的最佳实践,以及它们如何相互补充的想法。为了构建讨论框架,我们使用了 NIST 的零信任架构标准。在即将发布的 NIST 标准文档特别出版物 800-207A 中,基于身份的
2023-07-09
译者注:本文介绍了如何使用 OCI 容器来运行 WebAssembly 工作负载。WebAssembly(也称为 Wasm)是一种可移植的二进制指令格式,具有可嵌入和隔离的执行环境,适用于客户端和服务器应用。WebAssembly 可以看作是一种小巧、快速、高效、安全的基于栈的虚拟机,设计用于执行不
2023-07-09
译者注:本文介绍了 Istio 的新的目的地导向的 waypoint 代理,它可以简化和扩展 Istio 的功能。文章介绍了 waypoint 代理的架构,部署方式,以及如何将源代理的配置转移到目的地代理,从而提高可扩展性,可调试性,一致性和安全性。文章还展示了如何使用 Istio 的策略和遥测来管
2023-07-09
如果你正在阅读这篇博客文章,我假设你已经熟悉 Kubernetes 并且知道它是一个容器编排平台。在创建新的应用程序版本时,你的容器构建过程已经很好了。Kubernetes 提供了广泛的功能,使用户能够执行复杂的部署策略。挑战在于根据你的环境,有正确和错误的使用方式。 你组织中的平台工程师很可能非常
2023-07-09