- 博客(281)
- 收藏
- 关注
RSS订阅转载 [译] API 网关的自查清单:你的 API 前门有多坚固?
API 网关不仅是连接流量的入口,还肩负着安全、性能优化等多重任务。这篇清单可帮助你全面评估 API 网关的有效性,确保其在高负载下稳定可靠。阅读原文请转到:https://thenewstack.io/api-gateway-checklist-how-strong-is-your-apis-front-door/每个 API 都需要一个前门,一个迎接请求与响应的门户。这个“门”不仅要坚固,能承...
2024-10-29 18:04:19
6
转载 [译] 云原生网络:展望 Kubernetes 的下一个十年
随着 Kubernetes 进入下一个十年,其网络与安全体系将迎来新挑战,eBPF、Gateway API 和 AI 的发展为其未来注入更多可能性。阅读原文请转到:https://jimmysong.io/trans/kubernetes-next-decade/随着 Kubernetes 迈入青春期,让我们思考其网络和安全系统如何进一步发展与适应。Kubernetes 最近迎来了十周年[1]纪念...
2024-10-28 15:50:39
12
原创 地上文物看山西:宝藏文物大省不该被埋没
我曾三次游山西,历大同、忻州、朔州、晋城等地,赏众多名胜古迹。谈山西旅游优缺,景区分散等问题存,望借游戏热度促保护,提升文化素养以感其深厚内涵。阅读原文请转到:https://jimmysong.io/blog/shanxi-trip/我前后三次到访过山西:• 第一次是 2017 年 12 月,公司组织团建,去了山西大同,游览了悬空寺、云冈石窟和北岳恒山• 第二次是 2019 年 4 月,清明节期...
2024-10-26 13:18:33
777
转载 在 Istio Ambient Mesh 中集成 Open Policy Agent (OPA) 实现细粒度授权
本文译自Open Policy Agent (OPA) and Istio Ambient[1],介绍了如何在 Istio Ambient Mesh 中集成 Open Policy Agent (OPA),实现更强大的外部授权服务。通过 OPA,用户可以定义和执行细粒度的访问控制策略,超越 Istio 内置的授权功能。文章涵盖了 OPA 部署、集群配置以及示例应用,帮助用户在 Ambient Me...
2024-10-16 11:31:20
49
转载 解读 Istio Ambient Waypoint Proxy 部署模型
译者注:本文译自Istio Ambient Waypoint Proxy Deployment Model Explained[1],作者 Lin Sun。Istio Ambient Waypoint Proxy 为服务网格的 L7 处理提供了灵活且高效的解决方案。通过了解不同的部署模式,团队可以根据自身需求选择最合适的架构,避免资源浪费和性能瓶颈。避免按节点部署 waypoint proxy,...
2024-10-09 09:13:03
94
原创 Envoy 代理如何处理用户请求以实现追踪
深入探讨 Envoy 代理在云原生环境中如何处理用户请求,实现分布式追踪,提升应用可观测性。阅读原文请转到:https://jimmysong.io/blog/envoy-tracing/在云原生环境中,提升对应用程序的可观测性以更好地理解用户体验是至关重要的。然而,单纯依靠指标和日志无法提供个别案例的具体细节。这时,追踪(Tracing)技术就显得尤为重要。追踪的基本原理追踪通过为每个用户请求附...
2024-09-29 10:00:07
997
转载 《黑神话:悟空》一周目评测:瑕不掩瑜,期待更丰富内容
《黑神话:悟空》一周目体验总结:虽然游戏有不少亮点,但整体内容稍显不足,导致游戏进程偏快,令人意犹未尽。阅读原文请转到:https://jimmysong.io/blog/black-myth-wukong-review/最近完成了《黑神话:悟空》的一周目体验。总体来说,音乐和美术表现出色,但战斗系统略显单调,地图设计不够理想,整体内容偏少,让人感到意犹未尽。黑神话:悟空“一周目” 指的是玩家首次...
2024-09-22 09:09:47
183
原创 澳门 City Walk:感受精致濠江
澳门虽小,却处处藏着惊喜。从大三巴到新葡京,城市漫步中感受它的独特魅力。阅读原文请转到:https://jimmysong.io/blog/macao-trip/在决定去澳门之前,我对这座小城的印象仅限于大三巴、官也街、葡式蛋挞、何鸿燊,以及七子之歌里那句 “你可知 macao 不是我真姓…”。但当我亲自踏上这片 33.3 平方公里的土地时,才发现这个中国最小的一级行政区,竟然充满了独特的韵味。对...
2024-09-21 08:31:54
640
转载 介绍 Kmesh:用内核原生技术革新服务网格数据平面
Kmesh 利用 eBPF 和内核增强,实现高性能、低延迟的服务网格数据平面。它革新了传统的 Sidecar 架构,降低了资源消耗,适用于现代云原生应用。阅读原文请转到:https://jimmysong.io/blog/introducing-kmesh-kernel-native-service-mesh/在近期整理服务网格数据平面的几种部署模式时,我关注到了徐中虎在 KubeCon Chin...
2024-09-19 09:26:51
240
原创 服务网格架构:Sidecar vs. Sidecarless,谁才是未来?
探讨服务网格架构中 sidecar 与 sidecarless 的争论,比较 Cilium、Istio 和 Linkerd 在安全性、性能和架构复杂性方面的不同观点,帮助读者理解这些技术专家的看法和背后的争议。阅读原文请转到:https://jimmysong.io/blog/service-mesh-sidecar-vs-sidecarless-debate/服务网格已经成为现代云原生应用架构中...
2024-09-11 11:57:49
505
原创 深入解析服务网格的四种数据平面部署模式:性能、安全性与成本分析
在本文中,我将详细解析四种主要的服务网格数据平面部署模式,包括 Sidecar 模式、Ambient 模式、Cilium mesh 模式和 gRPC 模式。通过对这些模式的架构、性能、安全性、管理复杂性和资源成本的分析,提供选择建议,帮助你在不同的应用场景中做出最优决策。无论你是追求高性能、低资源消耗,还是需要更高的安全保障,本指南都能帮助你找到合适的部署模式。阅读原文请转到:https://ji...
2024-09-10 11:59:37
1104
转载 [译] Istio Ambient 模式: 无 Sidecar Istio 如何让应用更快?
探索如何使用 Fortio 与 Istio 集成,在使用 Bookinfo 应用和流行的 DevOps 工具如 Kubernetes、Prometheus 和 Grafana 的微服务架构中进行高效的性能测试和监控。阅读原文请转到:https://jimmysong.io/trans/ambient-mesh-can-sidecar-less-istio-make-applications-fas...
2024-09-05 11:37:29
277
转载 KubeCon China 2024 回顾:引领云原生技术的前沿动态
深入剖析 KubeCon China 2024 中的云原生技术进展,聚焦 Istio 的 Ambient 模式和 API 网关的融合及其对行业的深远影响。阅读原文请转到:https://jimmysong.io/blog/kubecon-china-2024-recap/今年的KubeCon China是首次在香港举办的盛会,持续了三天。作为会议的参与者及一个论坛的主持人,我在这篇文章中将分享...
2024-09-02 11:02:37
237
转载 在 Kubernetes 中实现 mTLS:选项与推荐
本文探讨了在 Kubernetes 环境中实现 mTLS(双向 TLS)的方法,包括自行实现、基于 Sidecar 的服务网格和 Ambient 模式的比较与推荐。本文译自:https://blog.howardjohn.info/posts/mtls-kubernetes/在与 Kubernetes 用户的对话中,经常会听到这样一句话:“我只想让我的所有流量在 Kubernetes 中实现 mT...
2024-08-29 11:30:10
98
转载 使用 Dapr 与 Cilium 打造无 Sidecar 服务网格:新一代分布式应用运行时
本文探讨了将 Dapr 与 Cilium 集成的无 Sidecar 服务网格方法,强调了其高性能和安全性。阅读原文请转到:https://jimmysong.io/trans/integrating-dapr-with-cilium/几周前,我们介绍了 Dapr,并讨论了它与服务网格的重叠功能,尽管 Dapr 本身并不是一个服务网格。如之前的博客所述,近年来服务网格已成为现代云原生应用的关键组成部...
2024-08-27 11:30:43
103
转载 Istio 1.23 发布:环境模式升级与重要功能更新
2024 年 8 月 16 日,Istio 1.23 发布。该版本带来了环境模式的重大改进,包括性能提升、功能增强以及 DNS 自动分配和重试策略的优化,同时宣布集群内 Operator 将被弃用。环境模式紧随最近将环境模式升级到 Istio 1.22 的 Beta 版之后,Istio 1.23 带来了一系列重大改进。在与众多采用环境模式的用户紧密合作的基础上,我们一直在努力解决收到的所有反馈。...
2024-08-16 08:37:35
90
原创 集成 Envoy Gateway 作为 Istio 服务网格中的入口网关
本文介绍了如何将 Envoy Gateway 作为 Istio 服务网格中的入口网关集成,增强应用的安全性和可访问性。阅读原文请转到:https://jimmysong.io/blog/envoy-gateway-integration-istio-mesh/Istio提供了对入口网关的强大而灵活的支持,利用 Envoy 代理在其 sidecar 模式下运行。尽管 Istio 专注于管理集群内服...
2024-08-14 10:44:39
977
转载 解密 Cilium 原生认证功能
在本文中,我们更深入地探讨了 Cilium 的功能,特别是它从服务网格获得的相互认证功能。本文为译文,阅读原文请转到:https://jimmysong.io/trans/cilium-native-authentication/我们已经讨论了 Cilium 一段时间了,但是这个话题有很多值得关注的地方,我们知道我们会再次回到这个话题。今天,我建议我们探索一个用于认证工作负载的功能。在讨论这个话题...
2024-08-09 09:47:46
64
原创 Istio 配置安全:如何避免错误配置
探索常见的 Istio 配置错误及其解决方法,提高服务网格的安全性和稳定性。阅读原文请转到:https://jimmysong.io/blog/istio-configuration-safety-common-misconfigurations/Istio 是一个功能强大的服务网格解决方案,提供零信任安全性、可观测性和高级流量管理等功能,且无需修改代码即可实现。然而,由于配置错误,我们经常会遇到...
2024-08-08 10:32:08
861
原创 保障 Istio 安全:解决关键安全漏洞及最佳实践
探索 Istio 中的关键安全漏洞及其缓解措施,并结合多层安全策略的最佳实践。阅读原文请转到:https://jimmysong.io/blog/securing-istio-addressing-critical-security-gaps-and-best-practices/引言近期,Wiz 研究团队发布了博客[1],揭示了 AI 服务中的租户隔离漏洞,引起了广泛关注。该研究详细阐述了多个 ...
2024-08-01 11:30:13
297
原创 介绍 Tetrate Enterprise Gateway 及与 Istio 集成:云原生应用的全面网关解决方案
深入了解 Tetrate Enterprise Gateway (TEG) 及其如何与 Istio 服务网格集成 —— 一种基于 Envoy 的企业级网关解决方案,包括它的架构、基本功能以及如何在 Kubernetes 中使用 TEG 来暴露和管理应用。文中使用的 YAML 文件请阅读原文浏览:https://jimmysong.io/blog/explore-tetrate-enterprise...
2024-07-31 09:13:36
420
转载 如何实现无 Pod 的 Kubernetes 和 Istio 部署
探索如何将 Kubernetes 和 Istio 的完整功能嵌入到单一二进制文件中,实现无 Pod 的极简部署方案。本文为译文,阅读原文请转到:https://jimmysong.io/trans/podless-kubernetes-istio/Kubernetes 经常被批评(有些不公平)操作起来过于复杂,促使大多数人依赖托管服务。然而,k3s[1]某种程度上颠覆了这一点,将完整的 Kube...
2024-07-30 11:30:10
55
转载 构建生成式人工智能平台:从基础知识到高级实现策略指南
探索构建生成式人工智能平台的关键组件与实现策略,从基础架构到高级功能,提供全面的指导和深入分析。阅读原文请转到:https://jimmysong.io/trans/building-a-generative-ai-platform/在研究了各公司部署生成式人工智能应用程序的方式后,我注意到他们的平台之间有许多相似之处。本文概述了生成式人工智能平台的常见组件、其功能及其实现方式。我尽量保持架构的通...
2024-07-29 08:41:09
142
原创 乌兰察布之旅:探索火山与失落的村庄
今天是周末,给大家分享一篇游记,我上周在乌兰察布自驾之旅,探秘乌兰哈达火山地质公园,感受失落村庄的历史沉淀。阅读原文请转到:https://jimmysong.io/blog/ulanqab-trip/上个周末,我从北京自驾前往乌兰察布,经历了一段全程 995 公里的旅程。周五晚上,我从北京东四环出发,驶过 295 公里,抵达乌兰察布兴和县,暂住一晚。清晨,我们满怀期待地出发,迎接乌兰哈达火山的壮...
2024-07-27 10:10:00
386
转载 微分段安全技术解析:云原生环境下的零信任实践 P2
书接上回:微分段安全技术解析:云原生环境下的零信任实践 P1微分段的类型微分段为动态环境提供保护。例如,云原生架构如容器[1]和 Kubernetes 可以在几秒钟内启动并关闭。分配给云工作负载的 IP 地址是短暂的,使得基于 IP 的规则管理成为不可能。在微分段中,安全策略以身份或属性(env=prod, app=hrm 等)而不是网络构造(例如,10.100.0.10 tcp/80)的形式表达...
2024-07-26 11:21:18
43
转载 Cilium v1.16.0 发布新特性介绍
Cilium v1.16.0 发布于 2024 年 7 月 25 日,带来了许多令人兴奋的新功能和改进,以下是主要更新内容:网络•Cilium NetKit:容器网络的吞吐量和延迟达到与主机网络同等的水平。•BGPv2:全新 API 用于 Cilium 的 BGP 功能。•BGP ClusterIP Advertisement:对 ExternalIP 和 Cluster IP 服务的...
2024-07-25 10:20:20
81
转载 微分段安全技术解析:云原生环境下的零信任实践 P1
深入探索微分段技术在云原生架构中的应用,如何通过零信任框架增强数据安全与合规性。本文译自:https://www.paloaltonetworks.com/cyberpedia/what-is-microsegmentation什么是微分段?微分段(Microsegmentation)是一种网络安全管理方法,它通过将网络划分为多个小段,并根据各段的安全需求应用安全控制,从而管理工作负载间的网络访问...
2024-07-24 11:34:58
60
转载 无需 Kubernetes 测试 Kubernetes 网络实现:Ztunnel 项目的高效开发实践
探讨如何在没有 Kubernetes 环境的情况下测试 Ztunnel 网络代理,该代理为 Istio 的新 Ambient 模式编写。本文译自:https://blog.howardjohn.info/posts/ztunnel-testing/由于在开发过程中我真的不喜欢等待[1],所以在构建 Ztunnel(一个为 Istio 的新Ambient 模式[2]设计的底层网络代理)时,我的首要任...
2024-07-23 11:30:50
53
原创 Envoy 1.31.0 发布:新特性与性能提升全解析
上周 Envoy Proxy 1.31.0 发布,这是今年继 1.29、1.30 以来发布的第三个大版本。Envoy Proxy 1.31.0 的发布标志着此开源网络代理项目在性能优化和功能增强方面又迈出了重要一步。此版本包括了一系列引人注目的新特性、行为变化和新配置选项,下面我们将逐一解析这些更新,帮助你充分利用 Envoy 的最新能力。新特性1.HTTP/3 "Happy Eyeballs"...
2024-07-22 11:30:36
587
转载 SAP AI 核心服务漏洞暴露客户云环境和私有 AI 资产:云原生 AI 安全隔离的警示...
本文通过研究 SAP AI Core,揭示了多个安全漏洞,这些漏洞可能允许攻击者访问客户数据和内部工件。本文译自:https://www.wiz.io/blog/sapwned-sap-ai-vulnerabilities-ai-securityAI 是否存在隔离问题?在过去的几个月里,我们 Wiz 研究团队对多个 AI 服务提供商进行了广泛的租户隔离研究。我们认为这些服务更容易受到租户隔离漏洞的...
2024-07-19 08:30:33
55
转载 使用 Istio 和 Keycloak 实现身份验证和授权
本文译自:https://platform.ex-offenders.co.uk/docs/auth.html在本指南中,我们将探讨如何利用 Istio 和 Keycloak 实现身份验证和授权。目标是简化开发流程,使开发者可以专注于核心任务,而不需要担心身份验证和授权问题。我们将通过实际示例和有效的示例代码,逐步讲解此过程。网格Keycloak 介绍Keycloak 是一个开源的身份及访问管理解...
2024-07-16 19:00:00
107
原创 首次巴黎之旅:探索城市风情与文化洞察
2024 年 3 月,一个特别的机会将我带到了法国巴黎——参加KubeCon EU 2024[1]。这是一场汇集了来自全球的云计算和开源技术爱好者的盛会。利用这次会议的机会,我不仅深入了解了最新的技术趋势,还抓住机会体验了这座城市的历史、文化和日常生活。我的巴黎之行从 3 月 16 日开始,持续到 3 月 24 日,这期间我尽可能多地探索了这座充满魅力的城市。签证篇章对于我们中国人来说,无论何时...
2024-07-12 17:29:06
619
原创 探索 Kubernetes Ingress、Gateway API 与 Istio 的演进和转型
随着 Istio 1.22 版本的发布,Istio API 已正式升级至 v1 版本,同期,Kubernetes Gateway API 也更新至 v1.1 版本。本篇文章旨在深入探索 Ingress API、Istio API 与 Kubernetes Gateway API 之间的联系与区别,并详述它们在现实应用中的选择及迁移策略。前言之前,我曾撰写一篇文章,讨论了为何 Gateway AP...
2024-07-10 09:55:09
927
原创 如何在 Istio 中集成第三方服务注册表?
Istio 依赖 Kubernetes 来进行服务发现,这通常意味着必须在 Kubernetes 集群中部署微服务并使用 Kubernetes 服务发现。然而,很多现有的微服务项目还在使用如 Consul、Eureka 这样的第三方服务注册表,本文将探讨如何将这些现有的微服务的注册表与 Istio 集成。Istio 对非 Kubernetes 服务的支持Istio 最初只支持 Kubernetes...
2024-06-24 10:03:39
697
原创 Envoy xDS 及 Istio 中的配置分发流程介绍
本文分享了 xDS 的组成及 Istio 中配置分发的流程,还有 xDS 的两种模式 SotW 和 Delta xDS。在 Istio 项目的早期采用全局状态(State of the World,简称 SotW)的方式推送配置给 Envoy 代理。一旦有一个服务变更,就要将全局配置推送给所有 Sidecar,造成巨大的网络负担及控制平面的性能损耗。Istio 社区从几年前就开始开发增量 xDS ...
2024-06-12 10:13:35
559
转载 深入解读 CNI:容器网络接口
在容器化环境中,有效管理网络是至关重要的。容器网络接口(CNI)是一个标准,定义了容器应如何配置网络。本文将深入探讨 CNI 的基础知识,并带你了解 CNI 与 CRI 的关系。什么是 CNI?CNI(容器网络接口)规范为容器运行时和网络插件之间提供了一个通用的接口,旨在实现容器网络配置的标准化。CNI 规范包含以下几个核心组成部分:•网络配置的格式:定义了管理员如何定义网络配置。•请求协议:...
2024-05-06 15:17:31
169
原创 KubeCon EU 2024 巴黎见闻与回顾
上周我在巴黎参加了KubeCon EU 2024[1],这也是我第一次参加中国以外的 KubeCon。本次大会可谓盛况空前,据说有 1.2 万人参加了会议。本文将为你分享我对本次 KubeCon 的一些观察,主要着重在我关注的服务网格与云原生基础架构领域。Istio Contributor 在 KubeCon EU Istio 展台Istio、Cilium 及服务网格Istio[2]和 Ser...
2024-03-28 09:35:40
862
转载 维持请求的透明度:如何在 Istio 中保留客户端请求的源 IP
本博文解析了在 Istio 服务网格中服务端获取客户端源 IP 的挑战,并提供了解决方案。将探讨以下问题:•数据包传输中源 IP 丢失的原因;•如何确定客户端源 IP;•在南北向和东西向请求中传递源 IP 的策略;•针对 HTTP 和 TCP 协议的处理方法。源 IP 保留的重要性保留客户端源 IP 的主要理由包括:•访问控制策略:基于源 IP 执行身份验证或安全策略;•负载均衡:实现...
2024-02-05 10:02:44
267
原创 Istio 社区周报(第2期):2023.12.18 - 12.24
欢迎阅读本周的 Istio 社区周报!随着年末的临近,我们很高兴与 Istio 社区的成员分享一些更新和见解。从月度社区会议到如何有效使用 Istio 的专业技巧,本周报中包含了对每个人都有价值的信息,无论您是经验丰富的 Istio 用户还是刚刚入门。社区更新加入月度 Istio 社区会议成为 Istio 月度社区会议的一部分,与其他热爱 Istio 的人士互动和交流。•时间:每月第四个星期四,...
2023-12-25 10:41:35
874
原创 Istio 社区周报(第一期):2023.12.11 - 12.17
欢迎来到 Istio 社区周报Istio 社区朋友们,你们好!我很高兴呈现第一期 Istio 社区周报。作为 Istio 社区的一员,每周我将为您带来 Istio 的最新发展、有见地的社区讨论、专业提示和重要安全新闻内容。祝你阅读愉快,并在下一期中与您再见!社区更新切换到 GitHub Discussions 进行 Istio 社区问答Istio 团队宣布了社区互动和问答方式的重大变化。当前的论坛...
2023-12-18 11:55:23
929
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人