Service Mesh 劫持原理

最新推荐文章于 2023-11-17 16:53:44 发布
最新推荐文章于 2023-11-17 16:53:44 发布
阅读量342 收藏 1
点赞数
分类专栏: 微服务 文章标签: service_mesh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spirit_8023/article/details/126357351
版权

内核 - 流量劫持方案

 

熟悉Envoy的同学都清楚,Envoy是通过iptables的NAT表做流量拦截,可以在业务无感情况下将流量劫持进行Mesh化。

iptables方案很不幸会存在如下问题:

  1. 配置复杂、内核版本不统一;
  2. iptables规则过多导致性能问题,性能随着规则增加而线性增加;
  3. iptables一般需要root权限,iptables可管控性不好;

我们使用的LoopBack方案,需要进行LoopBack管理与分配,打通BNS与LoopBack的映射。有了系统层面拦截之后,应用的Mesh化可以做到无感,此方案极大的改善Mesh落地的便利性。

RPC - 流量劫持方案

 

hhvm主要使用Ral作为RPC框架,hhvm通过BNS请求Naming-agent获取服务治理策略以及IPList,RPC框架通过策略配置实现服务治理能力。

当BNS标记为以Mesh接入方式是,HHVM会把Timeout,Retry,Balance等服务治理能力托管到Mesh, 当前HHVM,GDP使用的是此方案进行RPC框架流量劫持。

RPC流量劫持流程:

  1. Envoy向naming-agent注册;
  2. naming agent 从envoy拉取实例信息;
  3. envoy向naming agent推送实例信息;
  4. naming agent从envoy拉取webfoot配置;
  5. 适配各种rpc框架的fallback机制实现;

通过内核流量劫持与RPC流量劫持,可以解决我们面临的一大挑战,为新技术平滑演进提供基础能力。

話吥哆先森丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
生产环境的 ServiceMesh 流量劫持怎么搞?百度有新招
百度云原生计算的博客
04-09 255
背景 ServiceMesh 社区使用 iptables 实现流量劫持,这个机制在百度生产环境使用会遇到一些问题,因此,我们探索了其他的流量劫持方式,如基于服务发现的流量劫持机制、基于 SDK 的流量劫持机制、基于固定 Virutal IP 的流量劫持机制等。 本文主要介绍基于服务发现的流量劫持机制,这个机制是在服务发现步骤 "伪造" 地址来完成流量劫持。 基于 iptables 流量劫持机制 我们先简单的看看社区的流量劫持方案,首先看下 Inbound 流量劫...
Linux之iptables
JackDan9
08-08 524
Linux之iptables
Android静态安全检查(六):Service劫持
不忘初心的专栏
07-08 1480
什么是Service劫持Android应用中,Service是一个重要的组件,用于执行比较耗时的后台任务,启动一个Service常用的方法是ComponentName startService(Intent service),传入的参数是Intent,Intent使用有两种情况一个是设置action,接收到action的Service,然后启动。一个是明确指定要启动的Service和包名当应用陈故...
Kubernetes生产实践系列之二十四:Service Mesh之Istio proxy的流量劫持详细分析
cloudvtech的博客
08-22 1323
一、前言 转载自https://blog.csdn.net/cloudvtech
理解 Istio Service Mesh 中 Envoy 代理 Sidecar 注入及流量劫持
weixin_33796177的博客
09-11 1526
以往有很多文章讲解 Istio 是如何做 Sidecar 注入的,但是没有讲解注入之后 Sidecar 工作的细节。本文将带大家详细了解 Istio 是如何将 Envoy 作为 Sidecar 的方式注入到应用程序 Pod 中,及 Sidecar 是如何做劫持流量的。本文转载自:jimmysong.io/posts/envoy…在讲解 Istio 如何将 Envoy 代理注入到应用程序 Pod 中...
微服务架构ServiceMesh
01-27
Service Mesh,作为微服务架构的一种重要演进,旨在解决服务间通信的复杂性和可靠性问题,尤其是在云原生环境中。这个概念由Buoyant公司的CEO William Morgan提出,它定义为一个专门用于处理服务间通信的基础设施层...
service mesh杂谈.pptx
08-24
Service Mesh是一种架构层面上的解决方案,它专注于服务之间的通信,旨在提供一种更高效、更可靠的微服务间交互方式。在微服务架构中,随着服务数量的增加,服务间的交互变得日益复杂,传统的服务治理方式(如上述...
Service Mesh详细介绍
03-26
一个非常详细的资料来介绍Service Mesh的架构演变历程。
Service mesh.pptx
02-12
ServiceMesh(服务网格)概念在社区里头非常火,有人提出2018年是ServiceMesh年,还有人提出ServiceMesh是下一代的微服务架构基础。作为架构师,如果你现在还不了解ServiceMesh的话,是否感觉有点落伍了?那么到底什么...
iptables的实际用法以及场景举例
最新发布
为了生活,不得不努力奋斗!
11-17 160
首先,要使用 iptables,您需要以 root 用户身份登录系统。然后,您可以按照以下步骤进行操作:查看 iptables 规则:使用命令 iptables -L 可以列出当前的 iptables 规则。添加规则:使用命令 iptables -A 可以向指定的链中添加一条规则。其中, 是要添加规则的链的名称, 是要添加的规则。
iptables Permission denied (you must be root)
小郑的专栏
04-23 1万+
环境 Docker容器 操作 iptables -L 现象 iptables v版本:can't initialize iptables table `filter': Permission denied (you must be root) 原因 iptables 必须是root用户执行 iptables 必须在容器的特权模式(privileged)下执行 解决 运行容器时...
iptables防火墙的介绍及详细应用
yuiLan0的博客
11-02 337
一、Linux包过滤防火墙概述 1.1、netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” 1.2、iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux防火墙的用户态 –上述两种称呼都可以表示Linux防火墙 1.3、包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 二、iptables的表、链结构 2.1、五链 2.1.1、规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各
Linux iptables设置
weixin_42799951的博客
10-19 413
iptables,防火墙
微服务修炼之服务发现--nacos naming
u013257767的博客
08-11 835
文章目录概述服务注册 概述 nacos的服务发现是一个service --> cluster --> instance模型。服务存储集群列表。 一致性协议通过ConsistencyService来操作。ConsistencyService是个解耦层,使用户不用关系实现的协议(如最新的代码raft组件已标记废弃,改用Distro)。 添加服务: 查看是否已添加—ConsistencyService存储(key:服务metakey前缀+命名空间id+命名空间key连接符(##)+服务名 服务注册
skywalking 5.X 分布式链路跟踪 使用笔记
weixin_33834628的博客
08-01 1816
2019独角兽企业重金招聘Python工程师标准>>> ...
从蚂蚁金服实践入手,带你深入了解 Service Mesh
cpongo011702
07-27 2625
本文整理自蚂蚁金服高级技术专家敖小剑在 QCon 上海 2018 上的演讲。我是来自蚂蚁金服中间件团队的敖小剑,目前是蚂蚁金服 Service Mesh 项目的 PD。我同时也是 Servicemesher 中国技术社区的创始人,是 Service Mesh 技术在国内最早的布道师。我今天给大家带来的主题是\u0026quot;长路漫漫踏歌而行:蚂蚁金服 Service Mesh 实践探索\u00...
app安全:如何应对界面劫持
热门推荐
听风-Android进阶
03-03 2万+
app安全:如何应对界面劫持 app安全如何应对界面劫持 界面劫持原理 解决办法 具体实施 在Activity的各生命周期中启动或者停止服务在onResume中开启service在onStart和onDestory中关闭service 编写具体的Service逻辑 在onStart中执行timer 具体效果如图 补充内容写这篇文章是因为,公司的项目对安全性要求较高一些,所以每年都会不定时把app提
Android app漏洞挖掘初探
技术超强的网络安全平台
03-03 823
一 Activity漏洞挖掘 设置了exported=”true”,或者添加了属性,但是并没有显示的设置为exported=”false”,此时Activity是导出的, 不合理的Activity组件导出导致的问题: 1 基于Android Brower Intent Scheme URLs攻击手段 利用了浏览器保护措施的不足,通过浏览器去调用应用自定义的scheme规范的链接启动Activity,把浏览器作为桥梁间接实现Intend-Based攻击,相比于普通Intend-Based攻击,这种方式更
移动安全学习笔记——组件安全之Service组件漏洞挖掘
0nc3的博客
02-26 1264
0x00 Service安全简介 1、漏洞场景 Service是android四大组件之一,一个Service是没有界面且能长时间运行于后台的应用组件。 如果一个导出的Service没有做相应权限限制,任何应用可以去启动并且绑定到这个Service上,取决于被暴露的功能,这有可能使得一个应用去执行未授权的行为,获取敏感信息或者是污染修改内部应用的状态造成威胁。 2、漏洞分类 权限提升 Service劫持 消息伪造 拒绝服务 0x01 权限提升 1、漏洞原理 当一个service配置了intent-fil
ServiceMesh安全.pdf
07-24
"ServiceMesh安全.pdf,探讨了ServiceMesh在安全方面的关键需求和解决方案,主要以Istio、Linkerd和AlaudaServiceMesh为例进行了详细阐述。文档详细介绍了Istio的安全特性,包括流量加密、身份认证、密钥管理、访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值