- 博客(272)
- 收藏
- 关注
RSS订阅原创 服务网格架构:Sidecar vs. Sidecarless,谁才是未来?
探讨服务网格架构中 sidecar 与 sidecarless 的争论,比较 Cilium、Istio 和 Linkerd 在安全性、性能和架构复杂性方面的不同观点,帮助读者理解这些技术专家的看法和背后的争议。阅读原文请转到:https://jimmysong.io/blog/service-mesh-sidecar-vs-sidecarless-debate/服务网格已经成为现代云原生应用架构中...
2024-09-11 11:57:49
480
原创 深入解析服务网格的四种数据平面部署模式:性能、安全性与成本分析
在本文中,我将详细解析四种主要的服务网格数据平面部署模式,包括 Sidecar 模式、Ambient 模式、Cilium mesh 模式和 gRPC 模式。通过对这些模式的架构、性能、安全性、管理复杂性和资源成本的分析,提供选择建议,帮助你在不同的应用场景中做出最优决策。无论你是追求高性能、低资源消耗,还是需要更高的安全保障,本指南都能帮助你找到合适的部署模式。阅读原文请转到:https://ji...
2024-09-10 11:59:37
1057
转载 [译] Istio Ambient 模式: 无 Sidecar Istio 如何让应用更快?
探索如何使用 Fortio 与 Istio 集成,在使用 Bookinfo 应用和流行的 DevOps 工具如 Kubernetes、Prometheus 和 Grafana 的微服务架构中进行高效的性能测试和监控。阅读原文请转到:https://jimmysong.io/trans/ambient-mesh-can-sidecar-less-istio-make-applications-fas...
2024-09-05 11:37:29
255
转载 KubeCon China 2024 回顾:引领云原生技术的前沿动态
深入剖析 KubeCon China 2024 中的云原生技术进展,聚焦 Istio 的 Ambient 模式和 API 网关的融合及其对行业的深远影响。阅读原文请转到:https://jimmysong.io/blog/kubecon-china-2024-recap/今年的KubeCon China是首次在香港举办的盛会,持续了三天。作为会议的参与者及一个论坛的主持人,我在这篇文章中将分享...
2024-09-02 11:02:37
211
转载 在 Kubernetes 中实现 mTLS:选项与推荐
本文探讨了在 Kubernetes 环境中实现 mTLS(双向 TLS)的方法,包括自行实现、基于 Sidecar 的服务网格和 Ambient 模式的比较与推荐。本文译自:https://blog.howardjohn.info/posts/mtls-kubernetes/在与 Kubernetes 用户的对话中,经常会听到这样一句话:“我只想让我的所有流量在 Kubernetes 中实现 mT...
2024-08-29 11:30:10
72
转载 使用 Dapr 与 Cilium 打造无 Sidecar 服务网格:新一代分布式应用运行时
本文探讨了将 Dapr 与 Cilium 集成的无 Sidecar 服务网格方法,强调了其高性能和安全性。阅读原文请转到:https://jimmysong.io/trans/integrating-dapr-with-cilium/几周前,我们介绍了 Dapr,并讨论了它与服务网格的重叠功能,尽管 Dapr 本身并不是一个服务网格。如之前的博客所述,近年来服务网格已成为现代云原生应用的关键组成部...
2024-08-27 11:30:43
85
转载 Istio 1.23 发布:环境模式升级与重要功能更新
2024 年 8 月 16 日,Istio 1.23 发布。该版本带来了环境模式的重大改进,包括性能提升、功能增强以及 DNS 自动分配和重试策略的优化,同时宣布集群内 Operator 将被弃用。环境模式紧随最近将环境模式升级到 Istio 1.22 的 Beta 版之后,Istio 1.23 带来了一系列重大改进。在与众多采用环境模式的用户紧密合作的基础上,我们一直在努力解决收到的所有反馈。...
2024-08-16 08:37:35
52
原创 集成 Envoy Gateway 作为 Istio 服务网格中的入口网关
本文介绍了如何将 Envoy Gateway 作为 Istio 服务网格中的入口网关集成,增强应用的安全性和可访问性。阅读原文请转到:https://jimmysong.io/blog/envoy-gateway-integration-istio-mesh/Istio提供了对入口网关的强大而灵活的支持,利用 Envoy 代理在其 sidecar 模式下运行。尽管 Istio 专注于管理集群内服...
2024-08-14 10:44:39
957
转载 解密 Cilium 原生认证功能
在本文中,我们更深入地探讨了 Cilium 的功能,特别是它从服务网格获得的相互认证功能。本文为译文,阅读原文请转到:https://jimmysong.io/trans/cilium-native-authentication/我们已经讨论了 Cilium 一段时间了,但是这个话题有很多值得关注的地方,我们知道我们会再次回到这个话题。今天,我建议我们探索一个用于认证工作负载的功能。在讨论这个话题...
2024-08-09 09:47:46
44
原创 Istio 配置安全:如何避免错误配置
探索常见的 Istio 配置错误及其解决方法,提高服务网格的安全性和稳定性。阅读原文请转到:https://jimmysong.io/blog/istio-configuration-safety-common-misconfigurations/Istio 是一个功能强大的服务网格解决方案,提供零信任安全性、可观测性和高级流量管理等功能,且无需修改代码即可实现。然而,由于配置错误,我们经常会遇到...
2024-08-08 10:32:08
791
原创 保障 Istio 安全:解决关键安全漏洞及最佳实践
探索 Istio 中的关键安全漏洞及其缓解措施,并结合多层安全策略的最佳实践。阅读原文请转到:https://jimmysong.io/blog/securing-istio-addressing-critical-security-gaps-and-best-practices/引言近期,Wiz 研究团队发布了博客[1],揭示了 AI 服务中的租户隔离漏洞,引起了广泛关注。该研究详细阐述了多个 ...
2024-08-01 11:30:13
273
原创 介绍 Tetrate Enterprise Gateway 及与 Istio 集成:云原生应用的全面网关解决方案
深入了解 Tetrate Enterprise Gateway (TEG) 及其如何与 Istio 服务网格集成 —— 一种基于 Envoy 的企业级网关解决方案,包括它的架构、基本功能以及如何在 Kubernetes 中使用 TEG 来暴露和管理应用。文中使用的 YAML 文件请阅读原文浏览:https://jimmysong.io/blog/explore-tetrate-enterprise...
2024-07-31 09:13:36
398
转载 如何实现无 Pod 的 Kubernetes 和 Istio 部署
探索如何将 Kubernetes 和 Istio 的完整功能嵌入到单一二进制文件中,实现无 Pod 的极简部署方案。本文为译文,阅读原文请转到:https://jimmysong.io/trans/podless-kubernetes-istio/Kubernetes 经常被批评(有些不公平)操作起来过于复杂,促使大多数人依赖托管服务。然而,k3s[1]某种程度上颠覆了这一点,将完整的 Kube...
2024-07-30 11:30:10
33
转载 构建生成式人工智能平台:从基础知识到高级实现策略指南
探索构建生成式人工智能平台的关键组件与实现策略,从基础架构到高级功能,提供全面的指导和深入分析。阅读原文请转到:https://jimmysong.io/trans/building-a-generative-ai-platform/在研究了各公司部署生成式人工智能应用程序的方式后,我注意到他们的平台之间有许多相似之处。本文概述了生成式人工智能平台的常见组件、其功能及其实现方式。我尽量保持架构的通...
2024-07-29 08:41:09
69
原创 乌兰察布之旅:探索火山与失落的村庄
今天是周末,给大家分享一篇游记,我上周在乌兰察布自驾之旅,探秘乌兰哈达火山地质公园,感受失落村庄的历史沉淀。阅读原文请转到:https://jimmysong.io/blog/ulanqab-trip/上个周末,我从北京自驾前往乌兰察布,经历了一段全程 995 公里的旅程。周五晚上,我从北京东四环出发,驶过 295 公里,抵达乌兰察布兴和县,暂住一晚。清晨,我们满怀期待地出发,迎接乌兰哈达火山的壮...
2024-07-27 10:10:00
369
转载 微分段安全技术解析:云原生环境下的零信任实践 P2
书接上回:微分段安全技术解析:云原生环境下的零信任实践 P1微分段的类型微分段为动态环境提供保护。例如,云原生架构如容器[1]和 Kubernetes 可以在几秒钟内启动并关闭。分配给云工作负载的 IP 地址是短暂的,使得基于 IP 的规则管理成为不可能。在微分段中,安全策略以身份或属性(env=prod, app=hrm 等)而不是网络构造(例如,10.100.0.10 tcp/80)的形式表达...
2024-07-26 11:21:18
34
转载 Cilium v1.16.0 发布新特性介绍
Cilium v1.16.0 发布于 2024 年 7 月 25 日,带来了许多令人兴奋的新功能和改进,以下是主要更新内容:网络•Cilium NetKit:容器网络的吞吐量和延迟达到与主机网络同等的水平。•BGPv2:全新 API 用于 Cilium 的 BGP 功能。•BGP ClusterIP Advertisement:对 ExternalIP 和 Cluster IP 服务的...
2024-07-25 10:20:20
55
转载 微分段安全技术解析:云原生环境下的零信任实践 P1
深入探索微分段技术在云原生架构中的应用,如何通过零信任框架增强数据安全与合规性。本文译自:https://www.paloaltonetworks.com/cyberpedia/what-is-microsegmentation什么是微分段?微分段(Microsegmentation)是一种网络安全管理方法,它通过将网络划分为多个小段,并根据各段的安全需求应用安全控制,从而管理工作负载间的网络访问...
2024-07-24 11:34:58
32
转载 无需 Kubernetes 测试 Kubernetes 网络实现:Ztunnel 项目的高效开发实践
探讨如何在没有 Kubernetes 环境的情况下测试 Ztunnel 网络代理,该代理为 Istio 的新 Ambient 模式编写。本文译自:https://blog.howardjohn.info/posts/ztunnel-testing/由于在开发过程中我真的不喜欢等待[1],所以在构建 Ztunnel(一个为 Istio 的新Ambient 模式[2]设计的底层网络代理)时,我的首要任...
2024-07-23 11:30:50
38
原创 Envoy 1.31.0 发布:新特性与性能提升全解析
上周 Envoy Proxy 1.31.0 发布,这是今年继 1.29、1.30 以来发布的第三个大版本。Envoy Proxy 1.31.0 的发布标志着此开源网络代理项目在性能优化和功能增强方面又迈出了重要一步。此版本包括了一系列引人注目的新特性、行为变化和新配置选项,下面我们将逐一解析这些更新,帮助你充分利用 Envoy 的最新能力。新特性1.HTTP/3 "Happy Eyeballs"...
2024-07-22 11:30:36
574
转载 SAP AI 核心服务漏洞暴露客户云环境和私有 AI 资产:云原生 AI 安全隔离的警示...
本文通过研究 SAP AI Core,揭示了多个安全漏洞,这些漏洞可能允许攻击者访问客户数据和内部工件。本文译自:https://www.wiz.io/blog/sapwned-sap-ai-vulnerabilities-ai-securityAI 是否存在隔离问题?在过去的几个月里,我们 Wiz 研究团队对多个 AI 服务提供商进行了广泛的租户隔离研究。我们认为这些服务更容易受到租户隔离漏洞的...
2024-07-19 08:30:33
38
转载 使用 Istio 和 Keycloak 实现身份验证和授权
本文译自:https://platform.ex-offenders.co.uk/docs/auth.html在本指南中,我们将探讨如何利用 Istio 和 Keycloak 实现身份验证和授权。目标是简化开发流程,使开发者可以专注于核心任务,而不需要担心身份验证和授权问题。我们将通过实际示例和有效的示例代码,逐步讲解此过程。网格Keycloak 介绍Keycloak 是一个开源的身份及访问管理解...
2024-07-16 19:00:00
70
原创 首次巴黎之旅:探索城市风情与文化洞察
2024 年 3 月,一个特别的机会将我带到了法国巴黎——参加KubeCon EU 2024[1]。这是一场汇集了来自全球的云计算和开源技术爱好者的盛会。利用这次会议的机会,我不仅深入了解了最新的技术趋势,还抓住机会体验了这座城市的历史、文化和日常生活。我的巴黎之行从 3 月 16 日开始,持续到 3 月 24 日,这期间我尽可能多地探索了这座充满魅力的城市。签证篇章对于我们中国人来说,无论何时...
2024-07-12 17:29:06
606
原创 探索 Kubernetes Ingress、Gateway API 与 Istio 的演进和转型
随着 Istio 1.22 版本的发布,Istio API 已正式升级至 v1 版本,同期,Kubernetes Gateway API 也更新至 v1.1 版本。本篇文章旨在深入探索 Ingress API、Istio API 与 Kubernetes Gateway API 之间的联系与区别,并详述它们在现实应用中的选择及迁移策略。前言之前,我曾撰写一篇文章,讨论了为何 Gateway AP...
2024-07-10 09:55:09
893
原创 如何在 Istio 中集成第三方服务注册表?
Istio 依赖 Kubernetes 来进行服务发现,这通常意味着必须在 Kubernetes 集群中部署微服务并使用 Kubernetes 服务发现。然而,很多现有的微服务项目还在使用如 Consul、Eureka 这样的第三方服务注册表,本文将探讨如何将这些现有的微服务的注册表与 Istio 集成。Istio 对非 Kubernetes 服务的支持Istio 最初只支持 Kubernetes...
2024-06-24 10:03:39
680
原创 Envoy xDS 及 Istio 中的配置分发流程介绍
本文分享了 xDS 的组成及 Istio 中配置分发的流程,还有 xDS 的两种模式 SotW 和 Delta xDS。在 Istio 项目的早期采用全局状态(State of the World,简称 SotW)的方式推送配置给 Envoy 代理。一旦有一个服务变更,就要将全局配置推送给所有 Sidecar,造成巨大的网络负担及控制平面的性能损耗。Istio 社区从几年前就开始开发增量 xDS ...
2024-06-12 10:13:35
525
转载 深入解读 CNI:容器网络接口
在容器化环境中,有效管理网络是至关重要的。容器网络接口(CNI)是一个标准,定义了容器应如何配置网络。本文将深入探讨 CNI 的基础知识,并带你了解 CNI 与 CRI 的关系。什么是 CNI?CNI(容器网络接口)规范为容器运行时和网络插件之间提供了一个通用的接口,旨在实现容器网络配置的标准化。CNI 规范包含以下几个核心组成部分:•网络配置的格式:定义了管理员如何定义网络配置。•请求协议:...
2024-05-06 15:17:31
122
原创 KubeCon EU 2024 巴黎见闻与回顾
上周我在巴黎参加了KubeCon EU 2024[1],这也是我第一次参加中国以外的 KubeCon。本次大会可谓盛况空前,据说有 1.2 万人参加了会议。本文将为你分享我对本次 KubeCon 的一些观察,主要着重在我关注的服务网格与云原生基础架构领域。Istio Contributor 在 KubeCon EU Istio 展台Istio、Cilium 及服务网格Istio[2]和 Ser...
2024-03-28 09:35:40
852
转载 维持请求的透明度:如何在 Istio 中保留客户端请求的源 IP
本博文解析了在 Istio 服务网格中服务端获取客户端源 IP 的挑战,并提供了解决方案。将探讨以下问题:•数据包传输中源 IP 丢失的原因;•如何确定客户端源 IP;•在南北向和东西向请求中传递源 IP 的策略;•针对 HTTP 和 TCP 协议的处理方法。源 IP 保留的重要性保留客户端源 IP 的主要理由包括:•访问控制策略:基于源 IP 执行身份验证或安全策略;•负载均衡:实现...
2024-02-05 10:02:44
230
原创 Istio 社区周报(第2期):2023.12.18 - 12.24
欢迎阅读本周的 Istio 社区周报!随着年末的临近,我们很高兴与 Istio 社区的成员分享一些更新和见解。从月度社区会议到如何有效使用 Istio 的专业技巧,本周报中包含了对每个人都有价值的信息,无论您是经验丰富的 Istio 用户还是刚刚入门。社区更新加入月度 Istio 社区会议成为 Istio 月度社区会议的一部分,与其他热爱 Istio 的人士互动和交流。•时间:每月第四个星期四,...
2023-12-25 10:41:35
867
原创 Istio 社区周报(第一期):2023.12.11 - 12.17
欢迎来到 Istio 社区周报Istio 社区朋友们,你们好!我很高兴呈现第一期 Istio 社区周报。作为 Istio 社区的一员,每周我将为您带来 Istio 的最新发展、有见地的社区讨论、专业提示和重要安全新闻内容。祝你阅读愉快,并在下一期中与您再见!社区更新切换到 GitHub Discussions 进行 Istio 社区问答Istio 团队宣布了社区互动和问答方式的重大变化。当前的论坛...
2023-12-18 11:55:23
909
原创 Istio 老中医在线问诊,专治各种疑难杂症
大家好,今天我要向你们隆重介绍一位特别的“老中医” ——Istio Advisor Plus GPT[1](以下简称“Istio 老中医”)。不要误会,他不是给人看病的,而是专治您在 Istio 这个“网络世界”中遇到的各种疑难杂症!Istio 老中医的崭新登场“老中医”来自于 OpenAI 最近推出的一项革命性技术 —— GPT。这个技术简直是黑科技,能让你不用写一行代码就能创建自定义的 GP...
2023-11-25 11:38:46
1085
转载 微软零成本收购 OpenAI?OpenAI 的错位与微软的收益分析
上个周末的 OpenAI“宫斗”大戏相信大家都知晓了,今天正巧看到 Ben Thompson 的这篇总结文章,感觉不错,分享给大家。关于作者:Ben Thompson(本·汤普森)是一位知名的科技和商业评论家,他是 Stratechery(《战略》)博客的创始人和作者。Stratechery 是一家专注于科技产业和商业策略分析的网站,汤普森在博客中深入剖析科技公司、产品、行业趋势和商业模式。他的文...
2023-11-21 16:03:06
163
转载 Istio 正式成为 CNCF 毕业项目
本文作者:Varun Talwar, Tetrate 创始人 / CEO,原文:https://tetrate.io/blog/istio-service-mesh-graduates-cncf/Istio 成为 CNCF 项目的毕业生。这一历史性的时刻代表着 Istio 在云原生领域的成长和成熟,标志着最广泛部署的服务网格迎来了一个令人兴奋的新篇章。Kubernetes 是第一个获得毕业资格的...
2023-07-13 09:39:17
305
转载 首届可观测性峰会,期待你的参与!
「可观测性峰会 2023」是一个由云原生社区组织的技术会议。本次活动将于 2023 年 4 月 22 日在北京奥加美术馆酒店举行。该会议旨在探讨和分享有关可观测性的最佳实践,包括在云原生应用程序和基础架构中实现可观测性的最新技术和工具。与会者将有机会了解行业领袖的最新见解,并与同行们分享经验和知识。我们期待这次会议能够给云原生社区带来更多的启发和动力,推动我们在可观测性方面的进一步发展。扫描下面海...
2023-04-10 08:16:27
149
原创 AIGC 工具推荐:利用 AI 提高工作效率的利器
人工智能(AI)正在改变我们的生活,使我们的工作更加高效和智能化。在这个快速发展的领域中,有许多 AI 实用工具可以帮助我们更好地完成工作。在未来熟练使用各种 AI 工具优化你的工作流并提高工作效率将是每个人的必备技能,是时候收集一些便宜好用的实用 AI 工具了。下面是笔者推荐的一些值得收藏的实用 AIGC 工具,你可以直接上手使用这些工具,不需要额外的编程知识。这些工具大多可以免费使用,或者提供...
2023-03-24 16:43:23
554
原创 《WebAssembly 权威指南》(8)在服务器中运行 WebAssembly
本文是《WebAssembly 权威指南》系列文章第 7 篇,系列文章列表:《WebAssembly 权威指南》连载公告《WebAssembly 权威指南》(1)WebAssembly 简介《WebAssembly 权威指南》(2)WebAssembly 入门《WebAssembly 权威指南》(3)WebAssembly 模块《WebAssembly 权威指南》(4)WebAssembly 内存...
2023-03-15 08:00:14
426
原创 《WebAssembly 权威指南》(7)WebAssembly 表
本文是《WebAssembly 权威指南》系列文章第 7篇,系列文章列表:《WebAssembly 权威指南》连载公告《WebAssembly 权威指南》(1)WebAssembly 简介《WebAssembly 权威指南》(2)WebAssembly 入门《WebAssembly 权威指南》(3)WebAssembly 模块《WebAssembly 权威指南》(4)WebAssembly 内存...
2023-03-13 09:47:39
252
原创 《WebAssembly 权威指南》(6)在浏览器中运行遗留代码
译者注:这篇文章是《WebAssembly 权威指南》一书的第六章,介绍了如何使用 WebAssembly 在浏览器中运行遗留代码,即已经存在的 C/C++ 代码库。文章以一个实际的例子,即使用 Emscripten 工具将 C++ 代码编译为 WebAssembly 模块,并在浏览器中使用 JavaScript 调用它。文章详细说明了 Emscripten 的工作原理、编译选项、运行时环境和调试...
2023-03-06 08:01:43
213
原创 《WebAssembly 权威指南》(5)使用 C/C++ 和 WebAssembly
本文是《WebAssembly 权威指南》系列文章第 5 篇,系列文章列表:《WebAssembly 权威指南》连载公告《WebAssembly 权威指南》(1)WebAssembly 简介《WebAssembly 权威指南》(2)WebAssembly 入门《WebAssembly 权威指南》(3)WebAssembly 模块《WebAssembly 权威指南》(4)WebAssembly 内存...
2023-03-03 08:00:26
708
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人