使用 Istio 可以很方便地实现微服务间的访问控制。本文演示了使用 Denier 适配器实现拒绝访问,和 Listchecker 适配器实现黑白名单两种方法。
分类:
其他好文 时间:
2019-02-01 11:24:35
阅读次数:
206
在Istio中,双向TLS是传输身份验证的完整堆栈解决方案,它为每个服务提供可跨集群的强大身份、保护服务到服务通信和最终用户到服务通信,以及提供密钥管理系统。本文阐述如何在不中断通信的情况下,把现存Istio服务的流量从明文升级为双向TLS。
分类:
其他好文 时间:
2019-01-31 19:23:21
阅读次数:
197
在Istio中,双向TLS是传输身份验证的完整堆栈解决方案,它为每个服务提供可跨集群的强大身份、保护服务到服务通信和最终用户到服务通信,以及提供密钥管理系统。本文阐述如何在不中断通信的情况下,把现存Istio服务的流量从明文升级为双向TLS。 ...
分类:
其他好文 时间:
2019-01-31 19:11:53
阅读次数:
176
Istio利用k8s的探针对service进行流量健康检查,有两种探针可供选择,分别是liveness和readiness:
liveness探针用来侦测什么时候需要重启容器。比如说当liveness探针捕获到程序运行时出现的一个死锁,这种情况下重启容器可以让程序更容易可用。
readiness探针用来使容器准备好接收流量。当所有容器都ready时被视为pod此时ready。比如说用这种信号来控制一个后端服务,当pod没有到ready状态时,服务会从负载均衡被移除。
分类:
其他好文 时间:
2019-01-30 19:09:29
阅读次数:
174
3.1 Istio的核心组件及其功能 Istio总体分两部分:控制面和数据面。 数据面(sidecar):sidecar通过注入的方式和业务容器共存于一个pod,会劫持业务容器的流量,并接受控制面组件的控制,同时会向控制面输出日志、跟踪以及监控数据。 控制面:Istio的核心,管理Istio的所有功 ...
分类:
其他好文 时间:
2019-01-29 23:13:31
阅读次数:
228
微服务为我们带来了快速开发部署的优秀特性,而如何降低开发和变更的风险成为了一个问题。Istio的流量镜像,也称为影子流量,是将生产流量镜像拷贝到测试集群或者新的版本中,在引导实时流量之前进行测试,可以有效地降低版本变更风险。
分类:
其他好文 时间:
2019-01-29 13:57:20
阅读次数:
205
微服务存在的问题: 实列数多,部署和运维的自动化要求高。 网络调用代替API,对不可靠的网络依赖强。 调用链路长,分布式跟踪比较难。 日志分散严重,跟踪和分析难度大。 服务分散,受攻击面积更大。 在不同的服务间,存在协助,需要有更好的跨服务控制协调能力。 自动伸缩、路由管理、故障控制、存储共享,等等 ...
分类:
其他好文 时间:
2019-01-28 22:22:24
阅读次数:
200
流量镜像提供一种尽可能低的风险为生产带来变化的强大功能。镜像会将实时流量的副本发送到镜像服务,镜像流量发生在主服务的关键请求路径之外。
分类:
其他好文 时间:
2019-01-28 17:36:48
阅读次数:
188
流量镜像 流量镜像,也称为影子流量,流量镜像提供一种尽可能低的风险为生产带来变化的强大功能。镜像会将实时流量的副本发送到镜像服务。镜像流量发生在主服务的关键请求路径之外。 在非生产或者测试环境中,尝试访问一个服务所有可能的测试用例组合是个非常不现实的任务。 在某些情况下,编写这些用例的所有工作也可能 ...
分类:
其他好文 时间:
2019-01-28 16:11:29
阅读次数:
218
熔断机制是创建弹性微服务应用程序的重要模式。熔断可以帮助您自由控制故障影响的范围、网络延迟的峰值以及抵御其他一些来自外部的恶意攻击等场景。 ...
分类:
其他好文 时间:
2019-01-28 13:58:55
阅读次数:
164