云原生
文章平均质量分 94
原生 = 微服务 + DevOps + 持续交付 + 容器化
网络安全研发随想
这个作者很懒,什么都没留下…
展开
-
SASE和零信任--傻傻分不清楚
随着企业网络架构的演进,相应的安全架构随之演进是很自然的事情。零信任和SASE概念正是反应了网络架构和安全架构伴生演变的过程。原创 2022-12-06 00:03:05 · 1211 阅读 · 0 评论 -
新一代云原生监控系统Prometheus--理解数据模型/指标/标签/PromQL/Exporter
Promethues与Kubernetes有着十分相似的历程,均是源自Google内部多年的运维经验。Prometheus 于 2016 年 5 月加入 CNCF 基金会,成为继 Kubernetes 之后的第二个 CNCF 托管项目。Kubernetes和Promethues分别代表了云原生模式下容器编排以及监控的事实标准。原创 2021-07-22 12:04:38 · 835 阅读 · 1 评论 -
从运维的角度理解云原生
云原生的发展,其实就是应用开发与交付的发展。原创 2021-07-14 14:13:48 · 914 阅读 · 1 评论 -
Envoy架构理解--理解xDS/Listener/Cluster/Router/Filter
Envoy 是一个开源的边缘服务代理,也是 Istio Service Mesh 默认的数据平面,专为云原生应用程序设计。原创 2021-06-01 19:09:35 · 3607 阅读 · 0 评论 -
深入Istio架构和功能--理解数据面/控制面/流量管理/安全/可观察性
Istio提供了服务网络(ServiceMesh)基础环境。解决了开发人员和运维人员所面临的从单体应用向分布式微服务架构转变的挑战。原创 2021-05-28 18:36:16 · 3933 阅读 · 1 评论 -
k8s访问控制--理解RBAC和OPA
Kubernetes API的设计与大多数现代API不同。它是基于意图的,这意味着使用API的人考虑的是他们想要Kubernetes做什么,而不是如何实现。其结果是一个令人难以置信的可扩展性、弹性,和一个强大而流行的系统。同时,其基于意图的API给安全带来了挑战。标准的访问控制解决方案(基于角色的访问控制、基于属性的访问控制、访问控制列表或IAM策略)都不够强大,无法强制执行基本的策略,比如谁可以更改pod上的标签,或者哪些镜像存储库是安全的。原创 2021-05-28 16:43:10 · 1276 阅读 · 0 评论 -
docker和k8s发展史--理解oci/cri/cni/docker swarm/containerd/runc/dockershim
从 2013 年 Docker 项目发布开始算起,容器技术这样一个新生事物,完全重塑了整个云计算市场的形态。docker和k8s的发展历史,也见证了技术巨擘们相互厮杀和爱恨情仇。原创 2021-05-25 16:41:09 · 1522 阅读 · 0 评论 -
云原生和ServiceMesh主要组件--理解K8s/Istio/Envoy
Kubernetes 作为一种容器编排调度工具,解决了分布式应用程序的部署和调度问题。Istio通过透明代理(sidecar)将流量管理从K8S中解耦,满足了ServiceMesh对细粒度流量管理的需求。Envoy是 Istio 中默认的 sidecar 代理。原创 2021-05-24 12:23:24 · 3211 阅读 · 2 评论 -
Istio安全架构--理解身份/认证/授权
Istio 安全的目标是:- 默认安全:应用程序代码和基础设施无需更改- 深度防御:与现有安全系统集成以提供多层防御- 零信任网络:在不受信任的网络上构建安全解决方案原创 2021-04-08 21:02:35 · 2534 阅读 · 0 评论 -
理解K8S的编排和网络
Kubernetes是未来云计算系统的操作系统,而Docker 容器其实是未来云计算系统中的进程。原创 2021-03-12 23:01:38 · 954 阅读 · 3 评论 -
理解SDP软件定义边界--概念、架构、流程
目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此,围绕软件定义的边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。原创 2021-03-09 14:49:27 · 4866 阅读 · 1 评论 -
理解云原生--开发模型、架构原则、主要技术
云原生架构旨在将云应用中的非业务代码部分进行最大化的剥离,从而让云设施接管应用中原有的大量非功能特性(如弹性、韧性、安全、可观测性、灰度等),使业务不再有非功能性业务中断困扰的同时,具备轻量、敏捷、高度自动化的特点。原创 2021-02-16 14:16:27 · 690 阅读 · 1 评论 -
polycube--基于ebpf/xdp的网络套件(网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器)
1. Polycube简介Polycube是基于Linux ebpf/xdp的开源软件框架,提供了快速,轻量级的 网络功能,例如网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器等。可以组合各个网络功能来构建任意服务链,并提供到名称空间,容器,虚拟机和物理主机的自定义网络连接。Polycube还支持多租户,可以同时启用多个虚拟网络。Polycube还提供了使用此框架构建的两个可运行的独立应用程序。PCN-K8S是Polycube基于CNI插件用于Kubernetes,它可以处理整个数据中心原创 2020-11-19 16:17:46 · 3595 阅读 · 2 评论 -
互联网应用开发架构的演进历程--单体应用->集群->分布式->微服务->ServiceMesh
互联网架构从简到繁的演进经历了单体架构-集群架构-分布式架构-微服务架构以及最新的service mesh的演进过程。原创 2020-10-10 18:58:32 · 1282 阅读 · 0 评论 -
ServiceMash服务网格--理解lstio/envoy
1. 概述1.1 服务网格简介在某些方面,服务网格类似于TCP/IP。正如TCP协议栈抽象了在网络端点之间可靠地传递字节的机制一样,服务网格抽象了在服务之间可靠地传递请求的机制。与TCP一样,服务网格不关心实际有效负载或其编码方式,只负责完成从服务A发送到服务B,并且在处理任何故障的同时实现这一目标。1.2 服务代理在云原生应用程序中,保证请求具备完整的可靠性并非易事。服务网络通过各种强大的技术来管理这种复杂性,支持熔断、延迟感知的负载均衡、最终一致性的服务发现、重试与超时等机制来尽可能保证可靠性原创 2020-10-10 14:59:39 · 1477 阅读 · 1 评论 -
数据中心的容器操作系统--k8s理解
k8s可以理解为容器的操作系统,就像linux操作系统一样。1. 内核linux操作系统内核分为进程管理子系统、内存管理子系统、文件子系统、设备子系统、网络子系统,这些模块通过统一的API,也就是系统调用,对上提供服务。k8s就是一个数据中心的操作系统,主要管理数据中心的四种硬件资源:CPU、内存、存储、网络。1.1 CPU和内存对于CPU和内存,这两种计算资源的管理,可以通过dock...原创 2019-10-20 21:16:08 · 1626 阅读 · 0 评论 -
数据中心网络vs云网络vs容器网络
1. 数据中心网络1.1 接入+汇聚+核心数据中心往往有非常多的机器,当塞满一机架的时候,需要有交换机将这些服务器连接起来,可以互相通信。这些交换机往往是放在机架顶端的,所以经常称为 TOR(Top Of Rack)交换机。这一层的交换机常常称为接入层(Access Layer)当一个机架放不下的时候,就需要多个机架,还需要有交换机将多个机架连接在一起。这些交换机对性能的要求更高,带宽也更...原创 2020-04-10 10:39:03 · 841 阅读 · 0 评论 -
docker存储--理解镜像文件系统aufs/device mapper、主机存储共享、容器间存储共享、分布式存储Flocker
1. docker存储分类Docker为容器提供了两种存放数据的资源,分别是:由storage driver管理的镜像层和容器层,即镜像内文件系统。Data Volume,宿主机文件系统2. 镜像内文件系统(storage driver)linux容器的文件系统,是基于mount namespace和rootfs实现的。在rootfs的基础上,docker使用多个增量rootfs联合...原创 2019-10-12 18:41:56 · 853 阅读 · 0 评论 -
docker网络--理解linux底层实现机制、docker网络模式
1. Linux网络基础Linux内核具有非常成熟和高性能的TCP / IP堆栈实现(除了VXLAN和数据包过滤等其他本机内核功能)。Docker网络使用linux内核的网络堆栈作为低级原语来创建高级网络驱动程序。简而言之,Docker网络就是 Linux网络。1.1 Linux bridgeLinux的桥是Linux内核模拟的二层网桥。功能是根据MAC地址学习并转发流量。Linux br...原创 2019-10-12 15:42:54 · 622 阅读 · 0 评论 -
云计算底层技术--linux上的虚拟网络设备
Linux 用户想要使用网络功能,不能通过直接操作硬件完成,而需要直接或间接的操作一个 Linux 为我们抽象出来的虚拟网络设备来完成。一个常见的情况是,系统里装有一个硬件网卡,Linux 会在系统里为其生成一个网络设备实例,如 eth0,用户需要对 eth0 发出命令以配置或使用它了。随着网络技术,虚拟化技术的发展,更多的虚拟网络设备被加入了到了 Linux 中。这些虚拟网络设备作为云计算的...原创 2019-07-18 15:31:04 · 665 阅读 · 0 评论 -
移动和云环境下的报文传输流程--理解DNS解析、CDN资源下发、公网传输流程、数据中心网络
DNS解析手机打开app时,首先需要解析网站的域名。在手机运行商所在的互联网区域中,有一个本地DNS,手机向本地DNS请求解析DNS。如果本地DNS有缓存,则直接返回;如果本地DNS没有缓存,则递归从根DNS服务器查找,最终查到权威DNS服务器。如果云平台配置了 智能DNS和全局负载均衡 ,在权威DNS服务中,通过配置CNAME,比如vip.youcompany.com。然后告诉本地DN...原创 2019-04-19 15:29:00 · 673 阅读 · 0 评论 -
kvm架构详解--理解CPU、内存、IO虚拟化技术、处理器硬件支持
1. 简介当前的主流虚拟化实现技术分为两种:VMM(虚拟化监控器)运行在硬件平台上,控制所有硬件并管理guest os。guest os运行在比VMM更高的级别。例如xen。VMM运行在宿主操作系统上,宿主操作系统作为第一软件层,VMM作为第二软件层,guest os作为第三软件层。例如kvm和virtual box。kvmKVM是集成到Linux内核的Hypervisor,是X86架...原创 2019-02-24 22:30:45 · 9718 阅读 · 1 评论 -
虚拟化技术简介--CPU/内存/IO/网络虚拟化介绍
1. 概述本文讨论的虚拟化,是指将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响。2. 虚拟化实现技术当前的主流虚拟化实现技术分为两种:VMM(虚拟化监控器)运行在硬件平台上,控制所有硬件并管理guest os。guest os运行在比VMM更高的级别。例如zen。VMM运行在...原创 2018-09-23 23:29:35 · 1462 阅读 · 0 评论