Istio(十二):Istio问题排查
目录一.模块概览二.Envoy基础2.1 Envoy 基础三.Envoy示例四.调试备忘录4.1 配置4.2 运行时4.3 检查 Envoy 日志4.4 配置 istiod一.模块概览本模块介绍了在使用 Istio 时可能遇到的问题的几种排查方法。二.Envoy基础2.1 Envoy 基础为了排除 Istio 的问
转载
2024-03-20 11:10:18
108阅读
Pilot配置分发机制 Pilot负责网格中数据平面相关的配置信息的获取、生成及分发,它通过用户配置及服务注册表获取网格配置信息并将其转换为xDS接口的标准数据格式,而后经gPRC分发至相关的Envoy; Service Registry:服务注册表中存储有相关平台上注册的各Service的相关信息
原创
2022-10-27 11:21:42
701阅读
Mixer是负责提供策略控制和遥测统计的Istio组件。
原创
精选
2022-07-11 21:33:23
928阅读
点赞
https:基础。Istio 作为 Service Mesh 领域的集大成者, 提供了流控、安全、遥测等模型,其功能复杂,模块众多,本篇文章会对Istio 1.3.5 的各组件进行分析,帮助大家了解Istio各组件的职责、以及相互的协作关系。Istio架构回顾•数据平面:数据平面由一组 sidecar 的代理(Envoy)组成。这些代理调解和控制微服务之间的所有网络通信,并且
转载
2023-01-05 11:00:44
378阅读
传统方式下Envoy证书是通过secret卷挂载的方式以文件挂载到sidecar容器中,当证书发生轮转时需要重启服务让Envoy重新加载证书;同时证书私钥在secret中存储并在服务节点外跨节点传输的方式也存在明显的安全漏洞。为此Istio1.1版本后增加了SDS(Secret Discovery ...
转载
2021-08-27 15:33:00
857阅读
2评论
Istio 为网格中的微服务提供了较为完善的安全加固功能,在不影响代码的前提下,可以从多个角度提供安全支撑,官方文档做了较为详细的介绍,但是也比较破碎,这里尝试做个简介兼索引,实现过程还是要根据官方文档进行。Istio 的安全功能主要分为三个部分的实现:双向 TLS 支持。基于黑白名单的访问控制。基于角色的访问控制。JWT 认证支持。首先回顾一下 Istio 网格中的服务通信过程:利用自动或者手工
原创
2021-05-28 09:52:08
212阅读
Istio安全概述作为服务网格的事实标准,极大地降低微服务架构下流量管理的复杂度往往是Istio最为引入注目的特性,但事实上,随着越来越多的服务从单体架构向微服务架构演进,模块间由最初的函数调用转变为进程间通信,微服务间通信的安全性,服务的访问策略控制以及如何降低大规模场景下安全配置的复杂度等问题同样亟待解决。当然,Istio给出了一套完整的框架用于解决这些问题,与对流量管理的处理类似,这套框架不
原创
2021-05-25 10:09:58
632阅读
注意事项因大部分都是国外资源,时刻做好翻墙的准备。此文仅是在kubernetes平台命令安装,不涉及任何的云和Helm,适用于测试和体验Istio,生产环境建议使用Helm安装方案。下载Istio安装包1.下载对应目标操作系统的安装文件,建议使用此方法,下载地址如下:https://github.com/istio/istio/releases2.或Linux使用如下的脚本进行下载和自动解压缩:c
转载
2024-01-29 00:49:01
42阅读
守卫网格:配置TLS安全网关Istio1.5的安全更新:SDS(安全发现服务)趋于稳定、默认开启对等认证和请求认证配置分离自动mTLS从alpha变为beta,默认开启Nodeagent和Pilotagent合并,简化Pod安全策略的配置支持first-party-jwt(ServiceAccountToken)作为third-party-jwt的备用…...安全发现服务(SDS):身份和证书管理
原创
2020-12-23 16:11:49
3093阅读
点赞
生成服务器证书和私钥 创建一个根证书和私钥以为您的服务所用的证书签名: $ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=example Inc./CN=example.com' -keyout examp ...
转载
2021-08-27 18:27:00
196阅读
2评论
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。
原创
2023-08-05 00:44:58
188阅读
本质其实就是设置谁可以访问,谁不可以访问。默认命名空间是没有AuthorizationPolicy---允许所有的客户端访问。如果对Pod1生成两个策
原创
2023-08-05 00:45:02
146阅读
前言Envoy 是一款面向 Service Mesh 的高性能网络代理服务。它与应用程序并行运行,通过以平台无关的方式提供通用功能来抽象网络。当基础架构中的所有服务流量都通过 Envoy 网格时,通过一致的可观测性,很容易地查看问题区域,调整整体性能。Envoy也是istio的核心组件之一,以 sidecar 的方式与服务运行在一起,对服务的流量进行
- 前言 -在本教程中,我们将介绍服务网格的基础知识,并了解它如何实现分布式系统架构。我们将主要关注Istio,它是服务网格的一种具体实现。在此过程中,我们将介绍Istio的核心架构。- 什么是服务网络 -在过去的几十年中,我们已经看到了单体应用程序开始拆分为较小的应用程
转载
2024-07-30 17:55:59
62阅读
Service Mesh 的中文译为 “服务网格” ,是一个用于处理服务和服务之间通信的
原创
2022-08-16 21:08:54
298阅读
一、 CertManageIstio-1.0版本新加入的组件,利用ACME为Istio签发证书KeyDefault ValueDescriptioncertmanager.enabledTRUE是否启用certmanagercertmanager.hubquay.io/jetstack镜像仓库名称certmanager.tagv0.3.1镜像版本号certmanager.resources{}占用
原创
2021-05-27 12:53:00
704阅读
Istio各个Deployment包含的容器组件Deployment名称Container和PortContainer和Portistio-pilotpilot:8080,15010proxyv2:15003,15005,15007istio-galleygalley:443,9093istio-egressgatewayproxyv2:80,443,15090istio-ingressgatew
原创
2019-05-09 17:34:48
5425阅读
《Istio实践手册》,从服务网格概念出发,将逐步渗透到Istio具体细节中来,旨在帮助Istio...
原创
2023-04-14 14:10:55
121阅读
《Istio 实践手册》,从服务网格概念出发,将逐步渗透到 Istio 具体细节中来,旨在帮助 Istio 学习者、使用者快速掌握相关知识点,可作为 Istio 学习、实践手册,建议收藏!(不断更新中……)
原创
精选
2021-12-14 22:33:43
4173阅读
