背景 在生产环境使用 Istio 的时候,可能最需要考虑的问题一个是安全问题一个是性能问题,在这里和大家一起探讨下一个安全问题,如何在 Istio 网格中访问外部服务。Istio 提供了两种模式来配置对外部请求的访问策略,并通过配置项 outboundTrafficPolicy.mode 来指定。
2023-07-10
我们要祝贺 Kubernetes SIG Network 社区发布了 Gateway API 规范的 beta 版本。除了这个里程碑,我们很高兴地宣布,对在 Istio ingress 中使用 Gateway API 的支持正在升级为 Beta,并且我们打算让 Gateway API 成为未来所有
2023-07-10
摘要:本文译自 OSM 官方博客。开放服务网格(OSM)宣布停止更新,将与 Istio 社区更加紧密地合作,以加速实现下一代服务网格技术的发展。服务网格社区的发展,如 Kubernetes Gateway API 和 GAMMA,进一步凸显了服务网格在当今云原生栈中的关键重要性和成熟度。OSM 团队
2023-07-09
Istio授权功能是基于角色的访问控制(RBAC),支持在Istio Mesh中,为服务提供名称空间级别,服务级别和方法级别的访问控制。它具有以下特点: 基于角色的语义,简单易用。 支持服务到服务,以及终端用户到服务授权。 灵活性的自定义属性支持,例如角色和角色绑定中的条件。 高性能,Istio授
2023-07-09
2.Knative Knative还在不断变化中,一些设计文档也并没有对外开放,读起来就相对k8s难一些,但整体代码量相比较也少了一些,在后续的文章里面我们还是先管中窥豹,逐个组件进行代码阅读,但因为没有相关的Proposal, 主要是参考冬岛大神的相关文章来进行代码的阅读,只是个人理解,
2023-07-09
此处的Istio在Kubernetes环境下进行安装部署,部署时采用Helm工具进行,Helm客户端部署在Windows操作中。 1. 前置要求 在部署Istio之前,需要具备下面的条件: 已有Kubernetes集群环境,此处的Kubernetes的版本为15.4; 以在Kubernetes集群
2023-07-09
作者 | 田晓旭、Christian Posta 2017 年,Istio 发布了 0.1 release 版本之后,其优雅的架构设计就获得了大家的认可。随着版本迭代,有开发者吐槽 Istio 太复杂。于是,Istio 1.5 版本推翻了之前的架构设计,提出了“回归单体”的架构设计,1.6 版本的
2023-07-09
编者的话 本文译自 Istio 官方博客 Security Best Practices。 Istio 的安全功能提供了强大的身份、策略、透明的 TLS 加密以及认证、授权和审计(AAA)工具来保护你的服务和数据。然而,为了充分安全地利用这些功能,必须注意遵循最佳实践。建议在继续阅读之前,先回顾一下
2023-07-09
编者的话 本文译自 Istio 官方博客,博客原标题 gRPC Proxyless Service Mesh,其实是 Istio 1.11 版本中支持的实验特性,可以直接将 gRPC 服务添加到 Istio 中,而不需要再向 Pod 中注入 Envoy 代理。本文中还给出了一个 Demo 性能测试数
2023-07-09
前言 Istio 1.12 中新的 WebAssembly 基础设施使其能够轻松地将额外的功能注入网格部署中。 经过三年的努力,Istio 现在有了一个强大的扩展机制,可以将自定义和第三方 Wasm 模块添加到网格中的 sidecar。Tetrate 工程师米田武(Takeshi Yoneda)和周
2023-07-09
什么是 Wasm 插件? 你可以使用 Wasm 插件在数据路径上添加自定义代码,轻松地扩展服务网格的功能。可以用你选择的语言编写插件。目前,有 AssemblyScript(TypeScript-ish)、C++、Rust、Zig 和 Go 语言的 Proxy-Wasm SDK。 在这篇博文中,我们
2023-07-09
编者的话 Istio 1.14 版本增加了对 SPIRE 集成的支持,这篇文章将指导你如何在 Istio 中集成 SPIRE。 SPIRE 是 SPIFFE 规范的一个生产就绪的实现,它可以执行节点和工作负载证明,以便安全地将加密身份发给在异构环境中运行的工作负载。通过与 Envoy 的 SDS A
2023-07-09
今天,我们很高兴地介绍 Ambient Mesh(译者注:笔者更倾向于将其称为 Ambient Mode,即外围模式),这是一种新的 Istio 数据平面模式,旨在简化操作、扩大应用兼容性并降低基础设施成本。用户可以选择将 Ambient Mesh 集成到其基础设施的网格数据平面,放弃 sideca
2023-07-09
我们最近发布了 Istio Ambient Mesh(译者注:笔者更倾向于将其称为 Ambient Mode,即外围模式,但译文中仍然保留了 Ambient Mesh 的叫法),它是 Istio 的无 sidecar 数据平面。如公告博客中所述,我们使用 Ambient Mesh 解决的首要问题是简
2023-07-09
Istio最近宣布了“Ambient Mesh” —— 一种用于 Istio 的实验性“无 sidecar”部署模型。我们最近在从服务网格中获得最大性能和弹性的背景下写了关于 sidecar 与 sidecar-less 的文章。在本文中,我们将特别介绍我们对 Ambient Mesh 的看法。 如
2023-07-09
当我们与想要使用 Istio 的客户或用户交流时,这一个问题时长会出现——Istio 中的证书信任如何工作的?Istio 有自己的证书颁发机构,而我们也有自己的证书颁发机构,如何确保它们相互信任? 简而言之,通过中间签名证书将 Istio 纳入到您现有的信任链中。 如果您使用 Istio 作为演示或
2023-07-09
Istio 的核心功能之一是通过管理网格中服务的身份来促进零信任网络架构。为了在网格中检索用于 mTLS 通信的有效证书,各个工作负载向 istiod 发出证书签名请求 (CSR)。Istiod 反过来验证请求并使用证书颁发机构(CA)签署 CSR 以生成证书。默认情况下,Istio 为此目的使用自
2023-07-09
这是 服务网格最佳实践系列文章 中的第三篇,摘自 Tetrate 创始工程师 Zack Butcher 即将出版的新书 Istio in Production。 Istio 就像一组乐高积木:它具有许多功能,可以按照您想要的任何方式进行组装。出现的结构取决于您如何组装零件。在 上一篇中,我们描述了一
2023-07-09
译者注:这篇文章介绍了 Istio 的 Rust-Based Ztunnel,它是一种基于 Rust 语言的轻量级代理,用于 Istio 的 ambient mesh。在文章中,作者解释了为什么需要一种新的代理,以及 Rust 语言是如何成为最佳选择的。文章还讨论了如何使用 workload xDS
2023-07-09
译者注:本文介绍了 Istio 的新的目的地导向的 waypoint 代理,它可以简化和扩展 Istio 的功能。文章介绍了 waypoint 代理的架构,部署方式,以及如何将源代理的配置转移到目的地代理,从而提高可扩展性,可调试性,一致性和安全性。文章还展示了如何使用 Istio 的策略和遥测来管
2023-07-09