本文为翻译文章，点击查看原文。 在做项目的云原生改造时我们可以采用微服务架构。DevOps和自动化构建两方面的成功经验对微服务的实践很有帮助。经过一段时间的实践，你可能会有将微服务架构推广到其他部门的想法。而你担心微服务本身的复杂性和分布式系统的高维护成本会让其他部门难以接受它。可能在我们想方设法解决微服务带来的问题时，总会有些人觉得这样做毫无意义。因为现在技术发展如此之快，总会出现更好的技术方案

设计目标 当前实现将用户 pod 流量转发到 proxy 的默认方式是使用 privileged 权限的 istio-init 这个 init container 来做的（运行脚本写入 iptables），Istio CNI 插件的主要设计目标是消除这个 privileged 权限的 init container，换成利用 k8s CNI 机制来实现相同功能的替代方案 原理 Istio CNI P

本文为翻译文章，点击查看原文。 欢迎回到我们关于Service Mesh和Istio的博客文章系列。 在之前的帖子中，我们讨论了Istio服务网格是什么，以及它为什么如此重要。然后，我们介绍了如何将Istio投入生产环境中，包括了如何进行高级应用程序部署和安全功能，到SRE监控最佳实践。 今天，在Google Cloud NEXT ‘19之前，我们正在谈论在各种环境中使用Istio，以及Istio

所谓边车模式（ Sidecar pattern ），也译作挎斗模式，是分布式架构中云设计模式的一种。因为其非常类似于生活中的边三轮摩托车而得名。该设计模式通过给应用程序加上一个“边车”的方式来拓展应用程序现有的功能。该设计模式出现的很早，实现的方式也多种多样。现在这个模式更是随着微服务的火热与 Service Mesh 的逐渐成熟而进入人们的视野。 什么是边车模式 在 Azure Architec

本周作者：张磊 临石 禅鸣 至简 宋净超 编辑：木环 这是 Cloud Native 周报第一期。 业界要闻 在上周于旧金山举办的 Google Cloud Next 2019 大会上，Google Cloud正式发布了： Cloud Run。这是一个跟Microsoft Azure ACI，AWS Fargate 类似的容器实例服务。但与 ACI 和 Fargate 基于虚拟机技术栈的实现不同，

本文转载自zhangguanzhang的博客。 从之前对ingress controller到现在了解架构和一些经验总结下，顺带给人科普少走弯路 需要看懂本文要具备一下知识点： Service实现原理和会应用 知道反向代理原理，了解nginx和apache的vhost概念 了解service的几种类型（Nodeport、clusterip、LB） 四层和七层区别（不明白就这样去理解，七层最常见就是

本文转载自zhangguanzhang的博客。 旨在面向新手讲解手动部署过程，本文dashboard的暴露不会用nodePort（不喜欢使用它）和apiserver的web proxy代理也就是/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/这种。 主要讲下四种场景方式： 纯dashboard ht

本文为翻译文章，点击查看原文。 编者按 本文先后阐述服务网格中监控的重要性和Istio相关名词概念，再由一个实例切入，详解在Istio中部署和实现监控的全过程。（注：阅读本文需要有一定的Kubernetes实践基础，并了解集群中常用的监控工具Prometheus。） 前言 istio-monitoring-explained 如果我说“服务网格”是当今技术社区的热门话题，没有人会感到惊讶。这个领域

本文为翻译文章，点击查看原文。 编者按 本文介绍如何为 Envoy 构建控制面指南的第4部分：构建的可扩展性。Gloo团队建议将重点放在控制平面的简单核心上，然后通过插件和微服务控制器的可组合性扩展它。Gloo的体系结构是这样构建的，它使Gloo团队能够快速添加任何新特性，以支持任何平台、配置、过滤器，以及更多的新特性。这就是为什么，尽管Gloo是非常kubernets原生的，但它是为在任何云上的

原文地址：http://wei-meilin.blogspot.com/2019/03/my2cents-eight-things-leads-to.html。 编者按 作者以较为嘲讽的口吻列举了在开发云原生微服务系统时可能出现的8个错误，告诫开发人员要注意避免这些问题。其观点集中在业务划分、解耦合、重复代码和过度的API交互等方面。作者以自嘲的方式把这些想法用"我的两分钱"比喻，译者意译为"随笔

本周报由阿里巴巴容器平台联合蚂蚁金服共同发布 本周作者：傅伟，敖小剑，张磊，临石，南异，心贵，王夕宁，长虑 责任编辑：木环 业界要闻 Kubernetes External Secrets 近日，世界上最大的域名托管公司 Godaddy公司，正式宣布并详细解读了其开源的K8s外部 Secrets 管理项目： Kubernetes External Secrets，简称KES。这个项目定义了Exte

本文为翻译文章，点击查看原文。 编者按 作者是Shopify的工程师，公司在引入Istio作为服务网格的过程中发现消耗的计算成本过高。基于此问题，作者使用了公司内部开发的基准测试工具IRS对Istio和Linkerd的CPU使用情况做了测试和对比。测试结果发现Istio在CPU的使用上要比Linkerd耗费更多的资源。这为Istio的拥趸们敲响了警钟，提醒大家Istio在生产化的道路上还有很多需要

本文为翻译文章，点击查看原文。 编者按 Envoy 创始人 Matt Klein 分享了他对企业开始使用 Envoy 部署微服务所遇到的挑战以及可观察性的看法和选择，他认为 Service Mesh 还处于早期阶段，企业应该逐步推进，同时最好选择商业解决方案。 Service Mesh 的受欢迎程度正在飙升，尽管它还处于初期阶段。在为部署 Envoy 的企业寻求有关服务网格和可观察性最佳实践的建议

摘要： Docker Hub遭入侵，19万账号被泄露；Java 8 终于开始提供良好的容器支持；Snyk 年度安全报告出炉，容器安全问题形势空前严峻。 业界要闻 Docker Hub遭入侵，19万账号被泄露 : 4月25日Docker官方邮件曝露，因为Hub的一个数据库收到非授权访问，影响了约19万用户的用户名和哈希后的密码，以及用户自动构建的Github和Bitbucket Token。Dock

背景 昨日得到的消息，CNCF正在筹建通用数据平面API工作组（Universal Data Plane API Working Group / UDPA-WG)，以制定数据平面的标准API，为L4/L7数据平面配置提供事实上的标准，初始成员将包括 Envoy 和 gRPC 项目的代表。 目前还处于非常早期的筹备阶段，具体内容可以见下面的文档： https://docs.google.com/do

本文通过对Google近期发布的Anthos混合云产品的核心组件 Anthos Config Management进行分析，探究其背后设计的核心理念——Infrastructure as Code 是如何推动业内一直以来非标准的混合云慢慢走向标准化、供应商无锁定化。 0. Anthos Config Management是什么？ Hello World Demo 大家可以看Arctiq公司搞的修改

Traffic Director介绍 img Traffic Director 是 Google Cloud 推出的完全托管的服务网格流量控制平面。 援引来自Traffic Director官方网站的介绍资料，Traffic Director的定位是： Enterprise-ready traffic management for open service mesh. 适用于开放式服务网格的企业级

在Cloud Next 2019 大会上，Google 宣布了 Cloud Run，这是一个新的基于容器运行 Serverless 应用的解决方案。Cloud Run 基于开源的 knative 项目，宣称要将 serverless 带入容器世界。 Cloud Run介绍 在旧金山举办的 Google Cloud Next 2019 大会上，Google 宣布了 Cloud Run，这是一个新的基

作者: 钟华，腾讯云容器产品中心高级工程师，热衷于容器、微服务、service mesh、istio、devops 等领域技术 今天我们来解析istio控制面组件Pilot, Pilot为整个mesh提供了标准的服务模型, 该标准服务模型独立于各种底层平台, Pilot以插件方式对接不同的服务发现平台, 解析用户输入的流控配置, 转换为统一的服务发现和流量控制模型, 并以xDS方式下发到数据面。

如今，API网关经历了一系列身份认同危机： 它们是集中式共享资源，有助于将API暴露和维护到外部实体吗？ 它们是否为集群的ingress哨兵，严格控制用户流量在集群的进出？ 或它们是否为某类API的集成，以便更简洁地表达API，具体取决于它所具有的客户端类型？ 当然还有不愿多谈但我经常听到的一个问题：“服务网格是否会使API网关过时？” 有关背景 随着技术的快速发展，以及行业在技术和架构模式中的快