摘要:
knative由2部分实现Faas平台方案: serving:属于baas层面,完成服务自动扩缩容、流量/版本管理等 eventing:属于faas层面,完成函数即服务的编排,事件驱动管理等 部署方式 yaml knative operator 生产运行环境推荐 k8s版本最低1.21 单节点k8s 阅读全文
摘要:
网格安全 依赖envoy的安全机制 istio网格的安全体系涉及到多个组件 ca机构 api-server分发各envoy代理配置、策略、标识信息 各sidecar envoy和边缘代理(ingress/egress-gw)作为PEP(Policy Enforcement Points)保护客户端于 阅读全文
摘要:
可观测性 istio将envoy的可观测性功能进一步简化,可以实现网格到网格之间指标采集,暴露等,但网格内业务应用内部自身的数据是采集不了的,所以还需要在业务程序中做进一步处理 istio支持: 指标:服务间通信指标、envoy stats指标(内置)、控制平面指标 日志:访问日志,envoy自身日 阅读全文
摘要:
envoyfilter资源 直接配置网格中envoy的filter,使用envoy原生语法,以补丁/合并式合,配置到sidecar envoy上 istio并没有完全实现envoy的全部功能,所以有些额外的功能,需要用envoyfilter资源,配置envoy的各种过滤器 envoyfilter资源 阅读全文
摘要:
istio外部流量治理 将k8s集群外部的服务,引入到集群内,当做网格治理 适用于业务迁移到服务网格的中间阶段,此时可能部分服务已经迁移到网格,一部分还是vm、物理机在运行,就需要对外部的这部分做流量治理 ServiceEntry资源 sidecar egress侦听器在allow_any策略下,在 阅读全文
摘要:
流量拦截机制 pod运行环境要求 service association(服务关联) pod必须属于某个service,哪怕pod没有暴露端口 pod同时属于多个svc时,这些svc不在使用同一个端口时,指定的协议必须一致 应用运行uid uid 1137预留给sidecar使用,业务pod不能使用 阅读全文
摘要:
istio流量治理 流量治理主要是在客户端sidecar的egress上面进行 CRD资源 virtual services、destination rules是istio流量路由的核心资源 查看资源: kubectl api-resources --api-group networking.ist 阅读全文
摘要:
lstio envoy的控制平面实现之一,开源的服务网格 官网: https://istio.io/ 版本演进: istio 1.0 单体,性能损耗大 架构 控制平面: pilot:控制平面核心组件 citadel:认证相关 mixer:遥测和策略 数据平面: sidecar envoy istio 阅读全文
摘要:
集群管理 上游集群,使用cluster manager进行管理,每个cluster主要由集群名称、端点组成,支持负载均衡策略、主动健康状态检查、被动健康状态检查、断路器 可静态配置、cds api动态获取,集群中每个成员由endpoint进行标识,可由用户静态配置,也可进行eds、dns服务发现 集 阅读全文
摘要:
基础概念 身份认证方法 tls和mtls jwt身份认证 jwt、jwk、jws spiffe协议/框架 spire服务:使用spiffe框架,向每个pod发放一个身份,并基于该身份生成一个subject,最后生成证书,用sds发放 sds(secret服务发现)和mtls 授权 rbac 外部授权 阅读全文