摘要:
Istio安全-授权 授权HTTP流量 本节展示如何在istio网格中授权HTTP流量。 部署Bookinfo。由于下例在策略中使用了principal和namespace,因此需要启用mutual TLS。 为使用HTTP流量的负载配置访问控制 本任务展示了如何使用istio的授权设置访问控制。首 阅读全文
摘要:
Istio 安全(概念) 通过将一个单一应用划分为多个原子服务的方式,可以提供更好的灵活性,可扩展性以及重用服务的能力。然而微服务对安全有特殊的要求: 抵御中间人攻击,需要用到流量加密 提供灵活的服务访问控制,需要用到TLS和细粒度访问策略 决定哪些人在哪些时间可以做哪些事,需要用到审计工具 为了解 阅读全文
摘要:
Istio的流量管理(实操三) 涵盖官方文档Traffic Management章节中的egress部分。 访问外部服务 由于启用了istio的pod的出站流量默认都会被重定向到代理上,因此对集群外部URL的访问取决于代理的配置。默认情况下,Envoy代理会透传对未知服务的访问,虽然这种方式为新手提 阅读全文
摘要:
Tun/Tap接口指导 概述 对tun接口的了解需求主要来自于openshift的网络,在openshift3和openshift4的OVS网络中使用到了tun0接口,作为容器egresss访问路径上的接口之一。 工作机制 下面用到了tunctl和openvpn命令来创建tun/tap接口,但目前推 阅读全文
摘要:
全面介绍eBPF-概念 前面介绍了BCC可观测性和BCC网络,但对底层使用的eBPF的介绍相对较少,且官方欠缺对网络方面的介绍。下面对eBPF进行全面介绍。 BPF概述 下面内容来自Linux官方文档: eBPF的演进 最初的[Berkeley Packet Filter (BPF) PDF]是为捕 阅读全文
摘要:
混沌测试平台 Chaos Mesh Chaos Mesh 是PingCap团队研发的一款用于测试kubernetes环境的工具。通过人为地在集群中注入故障来检测集群对故障的处理以及恢复能力。更详细信息可以查看这篇文章。混沌测试与针对某个应用测试的区别为:前者更倾向于在现有大规模集群中进行测试,影响因 阅读全文
摘要:
评测Loki日志工具 本文仅对Loki进行简单评测,不涉及原理和细节。 部署Loki Loki是grafana团队开发一个日志采集工具。推荐使用helm方式安装loki,官方推荐的tanka需要使用aws的s3服务。安装helm后直接运行如下命令即可在loki命名空间中部署最简单的loki套件。 # 阅读全文
摘要:
Istio安全-认证 认证策略 本节会介绍如何启用,配置和使用istio的认证策略,了解更多关于认证的底层概念。 首先了解istio的认证策略和相关的mutual TLS认证概念,然后使用default配置安装istio。 配置 下面例子会创建两个命名空间foo和bar,以及两个服务httpbin和 阅读全文
摘要:
Istio安全-证书管理 注:本章更新至1.8版本 插入现有CA证书 本节展示了管理员如何使用现有的根证书来授权istio证书,签发证书和密钥,不使用Istio自动生成的证书。 默认情况下,istio的CA会生成一个自签的根证书和密钥,并使用它们签发负载证书。istio的CA也可以使用管理员指定的证 阅读全文
摘要:
Linux探测工具BCC(网络) 承接上文,本节以ICMP和TCP为例介绍与网络相关的部分内容。 Icmp的探测 首先看下促使我学习bcc的这篇文章中的程序traceicmpsoftirq.py,使用该程序的本意是找出对ping响应的进程位于哪个CPU core上,然后使用perf扫描该core,找 阅读全文