charlieroro

摘要： Istio的流量管理(实操三) 涵盖官方文档Traffic Management章节中的egress部分。 访问外部服务 由于启用了istio的pod的出站流量默认都会被重定向到代理上，因此对集群外部URL的访问取决于代理的配置。默认情况下，Envoy代理会透传对未知服务的访问，虽然这种方式为新手提 阅读全文

摘要： Tun/Tap接口指导 概述 对tun接口的了解需求主要来自于openshift的网络，在openshift3和openshift4的OVS网络中使用到了tun0接口，作为容器egresss访问路径上的接口之一。 工作机制 下面用到了tunctl和openvpn命令来创建tun/tap接口，但目前推 阅读全文

摘要： 全面介绍eBPF-概念 前面介绍了BCC可观测性和BCC网络，但对底层使用的eBPF的介绍相对较少，且官方欠缺对网络方面的介绍。下面对eBPF进行全面介绍。 BPF概述 下面内容来自Linux官方文档： eBPF的演进 最初的[Berkeley Packet Filter (BPF) PDF]是为捕 阅读全文

摘要： 混沌测试平台 Chaos Mesh Chaos Mesh 是PingCap团队研发的一款用于测试kubernetes环境的工具。通过人为地在集群中注入故障来检测集群对故障的处理以及恢复能力。更详细信息可以查看这篇文章。混沌测试与针对某个应用测试的区别为：前者更倾向于在现有大规模集群中进行测试，影响因 阅读全文

摘要： 评测Loki日志工具 本文仅对Loki进行简单评测，不涉及原理和细节。 部署Loki Loki是grafana团队开发一个日志采集工具。推荐使用helm方式安装loki，官方推荐的tanka需要使用aws的s3服务。安装helm后直接运行如下命令即可在loki命名空间中部署最简单的loki套件。 # 阅读全文

摘要： Istio安全-认证 认证策略 本节会介绍如何启用，配置和使用istio的认证策略，了解更多关于认证的底层概念。 首先了解istio的认证策略和相关的mutual TLS认证概念，然后使用default配置安装istio。 配置 下面例子会创建两个命名空间foo和bar，以及两个服务httpbin和 阅读全文

摘要： Istio安全-证书管理 注：本章更新至1.8版本 插入现有CA证书 本节展示了管理员如何使用现有的根证书来授权istio证书，签发证书和密钥，不使用Istio自动生成的证书。 默认情况下，istio的CA会生成一个自签的根证书和密钥，并使用它们签发负载证书。istio的CA也可以使用管理员指定的证 阅读全文

摘要： Linux探测工具BCC(网络) 承接上文，本节以ICMP和TCP为例介绍与网络相关的部分内容。 Icmp的探测 首先看下促使我学习bcc的这篇文章中的程序traceicmpsoftirq.py，使用该程序的本意是找出对ping响应的进程位于哪个CPU core上，然后使用perf扫描该core，找 阅读全文

摘要： BCC(可观测性) PS：学习BCC源自这篇文章 简介 BCC是一个用于跟踪内核和操作程序的工具集，其软件包中包含了一些有用的工具和例子，它扩展了BPF(Berkeley Packet Filters)，通常被称为eBPF , 在Linux3.15中首次引入，但大多数BCC的功能需要Libux4.1 阅读全文

摘要： Istio的运维-诊断工具 涵盖官方文档的诊断工具章节 使用istioctl命令行工具 首先可以通过日志或Introspection检查各个组件，如果不足以支持问题定位，可以参考如下操作： istioctl是一个可以用于调试和诊断istio服务网格的工具。Istio项目为Bash和ZSH运行下的is 阅读全文