容器魔方

摘要： istio的授权功能，也称为基于角色的访问控制（RBAC），它为istio服务网格中的服务提供命名空间级别、服务级别和方法级别的访问控制。基于角色的访问控制具有简单易用、灵活和高性能等特性。本文介绍如何在服务网格中为服务进行授权控制。 阅读全文

摘要： 根据Istio官方报告，Observe（可观察性）为其重要特性。Istio提供非侵入式的自动监控，记录应用内所有的服务。 阅读全文

摘要： 负载均衡算法（load balancing algorithm）,定义了几种基本的流量分发方式，在Istio中共有4种标准负载均衡算法。 阅读全文

摘要： 背景信息 基于runc运行时的容器存在安全漏洞，攻击者可以通过恶意容器镜像等方式获取宿主机root执行权限。漏洞CVE-2019-5736的详细信息，请参见 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 漏洞原理分析 本次漏 阅读全文

摘要： Istio为用户提供基于微服务的流量治理能力。Istio允许用户按照标准制定一套流量分发规则，并且无侵入的下发到实例中，平滑稳定的实现灰度发布功能。 基于华为云的Istio服务网格技术，使得灰度发布全流程自动化管理： • 灰度版本一键部署，流量切换一键生效 • 配置式灰度策略，支持流量比例、请求内容 阅读全文

摘要： 众所周知，HTTPS是用来解决 HTTP 明文协议的缺陷，在 HTTP 的基础上加入 SSL/TLS 协议，依靠 SSL 证书来验证服务器的身份，为客户端和服务器端之间建立“SSL”通道，确保数据运输安全。而Istio的双向TLS也用来保证数据传输安全。那么，Istio的双向TLS是如何与HTTPS 阅读全文

摘要： 使用 Istio 可以很方便地实现微服务间的访问控制。本文演示了使用 Denier 适配器实现拒绝访问，和 Listchecker 适配器实现黑白名单两种方法。 阅读全文

摘要： 在Istio中，双向TLS是传输身份验证的完整堆栈解决方案，它为每个服务提供可跨集群的强大身份、保护服务到服务通信和最终用户到服务通信，以及提供密钥管理系统。本文阐述如何在不中断通信的情况下，把现存Istio服务的流量从明文升级为双向TLS。 阅读全文

摘要： 容器交付流水线，它以容器技术为基础，践行DevOps的理念，围绕容器业务端到端场景提供持续集成和持续交付能力，包括代码编译、镜像构建与交付、自动化部署、升级回滚等能力，并提供全量能力接口，便于与企业已有流程相结合，同时接口屏蔽底层容器概念，对接口进行了二次封装，接口定义更贴近于CI/CD业务概念，使得熟悉CI/CD流程的用户能快速切换。 阅读全文

摘要： Istio利用k8s的探针对service进行流量健康检查，有两种探针可供选择，分别是liveness和readiness: liveness探针用来侦测什么时候需要重启容器。比如说当liveness探针捕获到程序运行时出现的一个死锁，这种情况下重启容器可以让程序更容易可用。 readiness探针用来使容器准备好接收流量。当所有容器都ready时被视为pod此时ready。比如说用这种信号来控制一个后端服务，当pod没有到ready状态时，服务会从负载均衡被移除。 阅读全文