Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Что ждать от внедрения Istio?

flant
July 30, 2021

Что ждать от внедрения Istio?

Доклад архитектора компании «Флант» (https://flant.ru/) Андрея Половова на конференции Kuber Conf 2021 в Москве.

* Текстовый обзор доклада: https://habr.com/ru/company/flant/blog/569612/
* Видео с выступления: https://youtu.be/9CUfaeT3T-A

flant

July 30, 2021
Tweet

More Decks by flant

Other Decks in Technology

Transcript

  1. View Slide

  2. Андрей Половов
    Архитектор проектов
    t.me/andreypolovov
    andrey.polovov@flant.com
    Флант
    DevOps и Kubernetes,
    обслуживание 24×7
    habr.com/ru/company/flant
    youtube.com/c/Флант
    flant.ru t.me/flant_ru

    View Slide

  3. Что ждать
    от внедрения Istio?

    View Slide

  4. Что ждать
    от внедрения Istio?

    View Slide

  5. Что ждать
    от внедрения Istio?

    View Slide

  6. Что ждать
    от внедрения Istio?
    Istio = Service Mesh

    View Slide

  7. Istio = Service Mesh
    Что ждать
    от внедрения Istio?

    View Slide

  8. front back db

    View Slide

  9. front back db
    cache

    View Slide

  10. front back db
    admin
    cache

    View Slide

  11. front back db
    images admin
    cache

    View Slide

  12. front back db
    images admin
    cache
    queue
    consumer
    consumer
    consumer

    View Slide

  13. front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer

    View Slide

  14. front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse

    View Slide

  15. front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse

    View Slide

  16. db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    front back

    View Slide

  17. db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    front back

    View Slide

  18. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  19. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  20. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  21. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  22. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  23. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  24. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  25. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  26. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  27. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  28. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  29. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  30. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  31. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc
    Circuit Breaking

    View Slide

  32. front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  33. back
    front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  34. back–79f976997d-a8tff
    front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  35. back–79f976997d-a8tff
    front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–69d499c5b6-q8trc

    View Slide

  36. back–79f976997d-a8tff
    front–5cd968978d-zqlrb back–69d499c5b6-5xcjt
    back–69d499c5b6-cbl6r
    back–79f976997d-k4bax

    View Slide

  37. back–79f976997d-a8tff
    front–5cd968978d-zqlrb back–79f976997d-6zhea
    back–69d499c5b6-cbl6r
    back–79f976997d-k4bax

    View Slide

  38. back–79f976997d-a8tff
    front–5cd968978d-zqlrb back–79f976997d-6zhea
    back–79f976997d-k4bax

    View Slide

  39. back–79f976997d-a8tff
    front–5cd968978d-zqlrb back–79f976997d-6zhea
    back–79f976997d-k4bax

    View Slide

  40. back–79f976997d-a8tff
    front–5cd968978d-zqlrb back–79f976997d-6zhea
    back–79f976997d-k4bax
    Canary Deployment

    View Slide

  41. back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    back–79f976997d-a8tff

    View Slide

  42. back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    back–79f976997d-a8tff
    front–5cd968978d-zqlrb
    front–5cd968978d-zqlrb

    View Slide

  43. back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    back–79f976997d-a8tff
    front–5cd968978d-zqlrb
    front–5cd968978d-zqlrb

    View Slide

  44. front–5cd968978d-zqlrb back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    front–5cd968978d-zqlrb back–79f976997d-a8tff

    View Slide

  45. front–5cd968978d-zqlrb back–79f976997d-6zhea
    ru-central1-a
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    ru-central1-b
    front–5cd968978d-zqlrb back–79f976997d-a8tff
    ru-central1-b

    View Slide

  46. front–5cd968978d-zqlrb back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    front–5cd968978d-zqlrb back–79f976997d-a8tff
    ru-central1-a
    ru-central1-b
    ru-central1-b

    View Slide

  47. front–5cd968978d-zqlrb back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    front–5cd968978d-zqlrb back–79f976997d-a8tff
    ru-central1-a
    ru-central1-b
    ru-central1-b

    View Slide

  48. front–5cd968978d-zqlrb back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    front–5cd968978d-zqlrb back–79f976997d-a8tff
    ru-central1-a
    ru-central1-b
    ru-central1-b

    View Slide

  49. front–5cd968978d-zqlrb back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    front–5cd968978d-zqlrb back–79f976997d-a8tff
    ru-central1-a
    ru-central1-b
    ru-central1-b

    View Slide

  50. front–5cd968978d-zqlrb back–79f976997d-6zhea
    front–5cd968978d-zqlrb back–79f976997d-k4bax
    front–5cd968978d-zqlrb back–79f976997d-a8tff
    ru-central1-a
    ru-central1-b
    ru-central1-b
    Locality Load Balancing

    View Slide

  51. Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  52. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  53. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    front back

    View Slide

  54. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    front back
    if ($code == 500) {
    $backend.suspend();
    ...

    View Slide

  55. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  56. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  57. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  58. Service Mesh
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  59. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  60. Zone-aware Routing
    Traffic Shifting
    M
    etric
    Exporting
    &
    Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring
    Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality
    Load
    Balancing
    Canary Deployment

    View Slide

  61. Zone-aw
    are
    Routing
    Traffic Shifting
    Metric Exporting & Tracing
    Mutual TLS
    A
    /B
    Tests
    Fault Injection
    M
    irroring
    Circuit Breaker
    Locality
    Load
    Balancing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Authorization
    Egress Gateway
    Request Timeout
    Canary Deployment

    View Slide

  62. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    End-user Authentication

    View Slide

  63. View Slide

  64. Фреймворк управления трафиком
    Service Mesh =

    View Slide

  65. Фреймворк управления трафиком
    Service Mesh
    HTTP, gRPC
    и любой
    другой TCP
    =

    View Slide

  66. Фреймворк управления трафиком
    Service Mesh
    HTTP, gRPC
    и любой
    другой TCP
    Декларативный
    язык
    =

    View Slide

  67. Фреймворк управления трафиком
    Service Mesh
    HTTP, gRPC
    и любой
    другой TCP
    Декларативный
    язык
    Мониторинг
    Observability
    +
    =

    View Slide

  68. front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse

    View Slide

  69. front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    if ($code == 500) {
    $backend.suspend();
    ...

    View Slide

  70. front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    if ($code == 500) {
    $backend.suspend();
    ...
    $ openssl req ...

    View Slide

  71. ...
    ssl = {
    ‘cert’: ‘client-cert.pem’,
    ‘key’: ‘client-key.pem’}
    conn = MySQLdb.connect(ssl=ssl, ...
    front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    if ($code == 500) {
    $backend.suspend();
    ...
    $ openssl req ...

    View Slide

  72. ...
    ssl = {
    ‘cert’: ‘client-cert.pem’,
    ‘key’: ‘client-key.pem’}
    conn = MySQLdb.connect(ssl=ssl, ...
    front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    if ($code == 500) {
    $backend.suspend();
    ...
    $ openssl req ...
    [mysqld]
    tls_version=TLSv1.3
    ssl_ca=ca.pem
    ssl_cert=server-cert.pem
    ssl_key=server-key.pem
    ...

    View Slide

  73. ...
    ssl = {
    ‘cert’: ‘client-cert.pem’,
    ‘key’: ‘client-key.pem’}
    conn = MySQLdb.connect(ssl=ssl, ...
    front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    if ($code == 500) {
    $backend.suspend();
    ...
    $ openssl req ...
    [mysqld]
    tls_version=TLSv1.3
    ssl_ca=ca.pem
    ssl_cert=server-cert.pem
    ssl_key=server-key.pem
    ...

    View Slide

  74. front back db
    images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse

    View Slide

  75. images admin
    docs docdb
    cache
    queue
    consumer
    consumer
    consumer
    warehouse
    front back db
    Service Mesh
    Mutual TLS Circuit Breaker

    View Slide

  76. Фреймворк управления трафиком
    Service Mesh
    HTTP, gRPC
    и любой
    другой TCP
    Декларативный
    язык
    Мониторинг
    Observability
    +
    =

    View Slide

  77. Service Mesh

    View Slide

  78. Super Mesh

    View Slide

  79. app

    View Slide

  80. app

    View Slide

  81. app

    View Slide

  82. app

    View Slide

  83. app

    View Slide

  84. app

    View Slide

  85. app

    View Slide

  86. app
    netns

    View Slide

  87. app
    netns

    View Slide

  88. app
    netns
    DNAT

    View Slide

  89. app
    netns
    DNAT DNAT

    View Slide

  90. app
    netns
    DNAT DNAT

    View Slide

  91. app
    netns
    DNAT DNAT
    eBPF eBPF

    View Slide

  92. app
    netns
    DNAT DNAT
    eBPF eBPF

    View Slide

  93. app
    netns
    DNAT DNAT

    View Slide

  94. app
    netns
    DNAT DNAT

    View Slide

  95. app
    DNAT DNAT
    Pod

    View Slide

  96. app
    Pod
    DNAT DNAT

    View Slide

  97. app
    Pod
    DNAT DNAT

    View Slide

  98. app
    Pod
    DNAT DNAT

    View Slide

  99. app
    Pod
    DNAT DNAT
    sidecar

    View Slide

  100. app
    Pod
    DNAT DNAT

    View Slide

  101. app
    Pod
    DNAT DNAT

    View Slide

  102. app
    Pod
    DNAT DNAT

    View Slide

  103. app
    Pod
    DNAT DNAT

    View Slide

  104. app
    Pod
    DNAT DNAT

    View Slide

  105. app
    Pod
    DNAT DNAT

    View Slide

  106. app
    Pod
    DNAT DNAT

    View Slide

  107. app
    Pod
    DNAT DNAT

    View Slide

  108. app
    Pod
    DNAT DNAT

    View Slide

  109. app
    Pod
    DNAT DNAT
    ECDS
    LDS
    CDS
    SRDS
    EDS
    SDS
    VCDS
    RTDS RDS
    Envoy APIs

    View Slide

  110. app
    Pod
    DNAT DNAT

    View Slide

  111. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  112. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    Разработчик

    View Slide

  113. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    Weighted Load Balancer

    View Slide

  114. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    gRPC Load Balancing A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    Mutual TLS
    Weighted Load Balancer

    View Slide

  115. Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    Разработчик

    View Slide

  116. Разработчик

    View Slide

  117. Разработчик

    View Slide

  118. Разработчик

    View Slide

  119. supermeshd
    Разработчик

    View Slide

  120. supermeshd
    Разработчик

    View Slide

  121. supermeshd
    Разработчик
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  122. supermeshd
    Разработчик
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  123. supermeshd
    Разработчик
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  124. supermeshd
    Разработчик
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  125. Разработчик
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    supermeshd
    Control Plane

    View Slide

  126. Разработчик
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    supermeshd
    Control Plane
    Data Plane

    View Slide

  127. Разработчик
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    supermeshd

    View Slide

  128. ServiceComb-mesher

    View Slide

  129. ServiceComb-mesher

    View Slide

  130. © CNCF Survey Report 2020
    https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf

    View Slide

  131. © CNCF Survey Report 2020
    https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf

    View Slide

  132. View Slide

  133. Андрей Половов
    Архитектор проектов
    Что ждать
    от внедрения Istio?

    View Slide

  134. View Slide

  135. Как повлияет на приложение?

    View Slide

  136. Как повлияет на приложение?
    А как на кластер?

    View Slide

  137. Как повлияет на приложение?
    А как на кластер?
    Так ли безопасен
    Mutual TLS?

    View Slide

  138. Как повлияет на приложение?
    А как на кластер?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...

    View Slide

  139. Как повлияет на приложение?
    А как на кластер?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?

    View Slide

  140. Как повлияет на приложение?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?

    View Slide

  141. Как повлияет на приложение?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?

    View Slide

  142. Как повлияет на приложение?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?

    View Slide

  143. Как повлияет на приложение?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?

    View Slide

  144. front back

    View Slide

  145. front back
    1

    View Slide

  146. front back
    1 2

    View Slide

  147. front back

    View Slide

  148. front back
    sidecar-proxy sidecar-proxy

    View Slide

  149. front back
    sidecar-proxy sidecar-proxy
    1

    View Slide

  150. front back
    sidecar-proxy sidecar-proxy
    1

    View Slide

  151. front back
    sidecar-proxy sidecar-proxy
    1
    2
    × 1

    View Slide

  152. front back
    sidecar-proxy sidecar-proxy
    1
    2
    3
    × 1

    View Slide

  153. front back
    sidecar-proxy sidecar-proxy
    1
    2
    3
    × 1

    View Slide

  154. front back
    sidecar-proxy sidecar-proxy
    1
    2
    3
    4
    × 2

    View Slide

  155. front back
    sidecar-proxy sidecar-proxy
    1
    2
    3
    4
    × 2

    View Slide

  156. front back
    sidecar-proxy sidecar-proxy
    1
    2
    3
    4
    5
    × 3

    View Slide

  157. front back
    sidecar-proxy sidecar-proxy
    1
    2
    3
    4
    5
    Время – деньги!
    × 3

    View Slide

  158. front back
    sidecar-proxy sidecar-proxy
    1
    2
    3
    4
    5
    Время – деньги!
    Latency – деньги!
    × 3

    View Slide

  159. The Envoy proxy adds 2.65 ms
    to the 90th percentile latency.
    https://istio.io/latest/docs/ops/deployment/performance-and-scalability/

    View Slide

  160. client server

    View Slide

  161. client server

    View Slide

  162. client server

    View Slide

  163. client server

    View Slide

  164. client server
    10 000 запросов
    с предварительным
    прогревом

    View Slide

  165. client server
    kube-node-0 kube-node-1
    10 000 запросов
    с предварительным
    прогревом

    View Slide

  166. View Slide

  167. client server
    pure

    View Slide

  168. client server
    client server
    envoy
    pure

    View Slide

  169. client server
    client server
    envoy
    pure
    client server
    istio

    View Slide

  170. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  171. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz
    1000 x AuthorizationPolicy

    View Slide

  172. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  173. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  174. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  175. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  176. client
    client
    client
    pure
    envoy
    istio
    istio-auth
    client server
    server
    server
    server
    TLS
    TLS
    TLS

    View Slide

  177. TLS
    TLS
    client
    client server
    server
    envoy
    pure
    client server
    istio
    client server
    istio-auth
    1.2/1.3
    TLS

    View Slide

  178. client
    client
    client
    client server
    server
    envoy
    pure
    server
    istio
    server
    istio-auth HTTP/2
    HTTP/2
    HTTP/2

    View Slide

  179. server
    server
    envoy
    pure
    server
    istio
    server
    istio-auth
    client
    client
    client
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    client
    TCP
    keepalive

    View Slide

  180. client
    client
    client
    client server
    server
    envoy
    pure
    server
    istio
    server
    istio-auth TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive

    View Slide

  181. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  182. client
    client
    envoy
    pure
    client
    istio
    client
    istio-auth
    server
    server
    server
    server

    View Slide

  183. server
    Small
    500 B
    Medium
    200 KiB
    Large
    1.7 MiB

    View Slide

  184. server
    JSON JSON JSON
    Small
    500 B
    Medium
    200 KiB
    Large
    1.7 MiB

    View Slide

  185. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  186. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  187. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz
    JSON
    JSON
    JSON
    JSON
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    HTTP/2
    HTTP/2
    HTTP/2
    TLS
    TLS
    TLS
    1.2/1.3

    View Slide

  188. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz
    JSON
    JSON
    JSON
    JSON
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    HTTP/2
    HTTP/2
    HTTP/2
    TLS
    TLS
    TLS
    1.2/1.3
    252
    теста

    View Slide

  189. Классический сетап

    View Slide

  190. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  191. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive

    View Slide

  192. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  193. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    0.78ms
    1.09ms
    1.75ms

    View Slide

  194. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    0.78ms
    1.09ms
    1.75ms
    339%
    403%
    427%

    View Slide

  195. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  196. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  197. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    0.77ms
    214%

    View Slide

  198. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    0.77ms
    214%
    0.74ms
    74%

    View Slide

  199. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    0.77ms
    214%
    0.74ms
    74%

    View Slide

  200. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  201. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    0.23ms

    View Slide

  202. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    0.23ms + 2ms

    View Slide

  203. 0.23ms + 2ms = 800%
    Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  204. 0.23ms + 2ms = 800%
    Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  205. 0.23ms + 2ms = 800%
    Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    20ms

    View Slide

  206. 0.23ms + 2ms = 800%
    Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    20ms + 2ms

    View Slide

  207. 0.23ms + 2ms = 800%
    Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    20ms + 2ms = 10%

    View Slide

  208. 0.23ms + 2ms = 800%
    Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    20ms + 2ms = 10%

    View Slide

  209. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  210. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  211. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  212. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  213. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON
    1000 x AuthorizationPolicy

    View Slide

  214. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  215. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  216. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  217. Single-Thread — client TCP keepalive OFF
    JSON
    JSON
    JSON

    View Slide

  218. pure
    istio
    Single-Thread — client TCP keepalive OFF

    View Slide

  219. pure
    istio
    Single-Thread — client TCP keepalive OFF
    0.18ms
    78%
    1.08ms
    83%

    View Slide

  220. Mutual TLS

    View Slide

  221. client
    client
    client
    pure
    envoy
    istio
    istio-auth
    client server
    server
    server
    server
    TLS
    TLS
    TLS

    View Slide

  222. client
    istio
    server
    TLS

    View Slide

  223. JSON
    JSON
    JSON
    TLS OFF vs ON

    View Slide

  224. JSON
    JSON
    JSON
    TLS OFF vs ON

    View Slide

  225. Любопытные
    наблюдения

    View Slide

  226. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz

    View Slide

  227. client server
    client server
    envoy
    pure
    client server
    istio
    client server
    istio-authz
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive
    TCP
    keepalive

    View Slide

  228. client server
    istio
    TCP
    keepalive

    View Slide

  229. JSON
    JSON
    JSON
    Single-Thread — TCP keepalive OFF vs ON

    View Slide

  230. client server
    istio
    TCP
    keepalive

    View Slide

  231. client server
    istio
    TCP
    keepalive

    View Slide

  232. JSON
    JSON
    JSON
    Multi-Thread — TCP keepalive OFF vs ON

    View Slide

  233. JSON
    JSON
    JSON
    Multi-Thread — TCP keepalive OFF vs ON

    View Slide

  234. https://blog.cloudflare.com/keepalives-considered-harmful/
    TCP
    keepalive
    Не всегда хорошо!

    View Slide

  235. А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  236. Как повлияет на приложение?

    View Slide

  237. Как повлияет на приложение?
    Перехват трафика — не бесплатен

    View Slide

  238. Как повлияет на приложение?
    Перехват трафика — не бесплатен ± 2.5 ms

    View Slide

  239. Как повлияет на приложение?
    Перехват трафика — не бесплатен
    Больше естественный latency — меньше относительный overhead
    ± 2.5 ms

    View Slide

  240. А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  241. А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  242. А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  243. supermeshd

    View Slide

  244. supermeshd
    = istiod

    View Slide

  245. supermeshd
    = istiod
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment

    View Slide

  246. supermeshd
    = istiod
    Zone-aware Routing
    Traffic Shifting
    Metric Exporting & Tracing
    End-user Authentication
    Weighted Load Balancer
    gRPC Load Balancing
    Mutual TLS
    A/B Tests
    Fault Injection
    Mirroring Authorization
    Egress Gateway
    Request Timeout
    Circuit Breaker
    Locality Load Balancing
    Canary Deployment
    =
    AuthorizationPolicy
    EnvoyFilter
    IstioOperator
    DestinationRule
    PeerAuthentication
    VirtualService
    WorkloadEntry
    ServiceEntry
    Gateway
    Sidecar
    WorkloadGroup

    View Slide

  247. istiod
    AuthorizationPolicy
    EnvoyFilter
    IstioOperator
    DestinationRule
    PeerAuthentication
    VirtualService
    WorkloadEntry
    ServiceEntry
    Gateway
    Sidecar
    WorkloadGroup

    View Slide

  248. istiod
    AuthorizationPolicy
    EnvoyFilter
    IstioOperator
    DestinationRule
    PeerAuthentication
    VirtualService
    WorkloadEntry
    ServiceEntry
    Gateway
    Sidecar
    WorkloadGroup

    View Slide

  249. istiod
    AuthorizationPolicy
    EnvoyFilter
    IstioOperator
    DestinationRule
    PeerAuthentication
    VirtualService
    WorkloadEntry
    ServiceEntry
    Gateway
    Sidecar
    WorkloadGroup

    View Slide

  250. istiod
    AuthorizationPolicy
    EnvoyFilter
    IstioOperator
    DestinationRule
    PeerAuthentication
    VirtualService
    WorkloadEntry
    ServiceEntry
    Gateway
    Sidecar
    WorkloadGroup
    Service
    Endpoint
    Namespace
    Node
    Secret
    Pod

    View Slide

  251. А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  252. А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Какие возможности
    Observability?
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  253. Какие возможности
    Observability?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  254. View Slide

  255. Структура

    View Slide

  256. Структура

    View Slide

  257. Структура

    View Slide

  258. Структура Графики

    View Slide

  259. Структура Графики Трассировка

    View Slide

  260. Структура Графики Трассировка

    View Slide

  261. Трассировка
    Структура Графики

    View Slide

  262. Структура Графики Трассировка

    View Slide

  263. Структура Графики Трассировка

    View Slide

  264. Какие возможности
    Observability?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  265. Какие возможности
    Observability?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  266. Какие возможности
    Observability?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  267. client server

    View Slide

  268. client server
    Привет,
    server!

    View Slide

  269. client server

    View Slide

  270. client server
    Привет,
    client!

    View Slide

  271. client server

    View Slide

  272. client server

    View Slide

  273. client server

    View Slide

  274. client server
    Привет,
    server!

    View Slide

  275. client server

    View Slide

  276. client server
    Ты кто такой,
    *&^*$*???!

    View Slide

  277. client server
    OKAY

    View Slide

  278. client server

    View Slide

  279. client server

    View Slide

  280. client server

    View Slide

  281. client server

    View Slide

  282. client server
    SAN: spiffe://cluster.local/ns/foo/sa/client

    View Slide

  283. client server
    SAN: spiffe://cluster.local/ns/foo/sa/client
    principal

    View Slide

  284. client server
    SAN: spiffe://cluster.local/ns/foo/sa/client

    View Slide

  285. client server
    SAN: spiffe://cluster.local/ns/foo/sa/client

    View Slide

  286. client server
    SAN: spiffe://cluster.local/ns/foo/sa/client

    View Slide

  287. client server
    SAN: spiffe://cluster.local/ns/foo/sa/client
    ServiceAccount

    View Slide

  288. client server

    View Slide

  289. client server
    istiod

    View Slide

  290. client server
    istiod
    root

    View Slide

  291. ca.crt
    !=
    client server
    istiod
    root

    View Slide

  292. client server
    istiod
    root

    View Slide

  293. client server
    istiod
    root

    View Slide

  294. client server
    istiod
    root

    View Slide

  295. istiod
    root
    server
    client

    View Slide

  296. istiod
    root
    client server

    View Slide

  297. client
    istiod
    root
    server
    Pod

    View Slide

  298. client
    istiod
    root
    server
    Pod
    Super Mesh

    View Slide

  299. client
    server
    Pod
    istiod
    root
    Super Mesh

    View Slide

  300. client
    server
    Pod
    Super Mesh
    istiod
    root

    View Slide

  301. client
    server
    Pod
    istiod
    root
    Super Mesh

    View Slide

  302. client
    Pod
    server
    istiod
    root

    View Slide

  303. istiod
    root
    Pod
    server

    View Slide

  304. istiod
    root
    Pod
    server

    View Slide

  305. istiod
    root
    Pod
    CSR
    server

    View Slide

  306. server
    istiod
    root
    Pod
    SAN: spiffe://cluster.local/ns/foo/sa/client
    CSR

    View Slide

  307. server
    istiod
    root
    Pod
    SAN: spiffe://cluster.local/ns/foo/sa/client
    CSR

    View Slide

  308. server
    istiod
    root
    Pod
    SAN: spiffe://cluster.local/ns/foo/sa/client
    CSR

    View Slide

  309. server
    istiod
    root
    Pod
    SAN: spiffe://cluster.local/ns/foo/sa/client
    ServiceAccount
    CSR

    View Slide

  310. View Slide

  311. mypod
    Pod

    View Slide

  312. mysa
    ServiceAccount
    mypod
    Pod

    View Slide

  313. mysa
    ServiceAccount
    mypod
    Pod
    apiVersion: v1
    kind: ServiceAccount
    metadata:
    name: mysa
    namespace: foo

    View Slide

  314. mysa
    ServiceAccount
    mypod
    Pod
    {
    "namespace": "foo",
    "name": "mysa",
    ...
    }
    apiVersion: v1
    kind: ServiceAccount
    metadata:
    name: mysa
    namespace: foo

    View Slide

  315. mysa
    ServiceAccount
    mypod
    Pod
    mysa-token-123
    Secret
    apiVersion: v1
    kind: ServiceAccount
    metadata:
    name: mysa
    namespace: foo
    {
    "namespace": "foo",
    "name": "mysa",
    ...
    }

    View Slide

  316. mysa
    ServiceAccount
    mypod
    Pod
    apiVersion: v1
    kind: ServiceAccount
    metadata:
    name: mysa
    namespace: foo
    secrets:
    - name: mysa-token-123
    mysa-token-123
    Secret
    {
    "namespace": "foo",
    "name": "mysa",
    ...
    }

    View Slide

  317. mysa
    ServiceAccount
    mypod
    Pod
    apiVersion: v1
    kind: ServiceAccount
    metadata:
    name: mysa
    namespace: foo
    secrets:
    - name: mysa-token-123
    apiVersion: v1
    kind: Pod
    metadata:
    name: mypod
    namespace: foo
    spec:
    serviceAccountName: mysa
    ... mysa-token-123
    Secret
    {
    "namespace": "foo",
    "name": "mysa",
    ...
    }

    View Slide

  318. mysa
    ServiceAccount
    mypod
    Pod
    apiVersion: v1
    kind: ServiceAccount
    metadata:
    name: mysa
    namespace: foo
    secrets:
    - name: mysa-token-123
    apiVersion: v1
    kind: Pod
    metadata:
    name: mypod
    namespace: foo
    spec:
    serviceAccountName: mysa
    ...
    {
    "namespace": "foo",
    "name": "mysa",
    ...
    }
    mysa-token-123
    Secret

    View Slide

  319. mysa
    ServiceAccount
    mypod
    Pod
    apiVersion: v1
    kind: ServiceAccount
    metadata:
    name: mysa
    namespace: foo
    secrets:
    - name: mysa-token-123
    apiVersion: v1
    kind: Pod
    metadata:
    name: mypod
    namespace: foo
    spec:
    serviceAccountName: mysa
    ...
    {
    "namespace": "foo",
    "name": "mysa",
    ...
    }
    mysa-token-123
    Secret
    /run/secrets/kubernetes.io/serviceaccount/token

    View Slide

  320. server
    istiod
    root
    Pod
    SAN: spiffe://cluster.local/ns/foo/sa/client
    ServiceAccount
    CSR

    View Slide

  321. istiod
    root
    Pod
    SAN: spiffe://cluster.local/ns/foo/sa/client
    CSR
    server

    View Slide

  322. istiod
    root
    Pod
    CSR
    SAN: spiffe://cluster.local/ns/foo/sa/client
    server

    View Slide

  323. istiod
    root
    Pod
    CSR
    SAN: spiffe://cluster.local/ns/foo/sa/client
    server

    View Slide

  324. istiod
    root
    Pod
    CSR
    SAN: spiffe://cluster.local/ns/foo/sa/client
    server

    View Slide

  325. istiod
    root
    Pod
    CSR
    server

    View Slide

  326. istiod
    root
    Pod
    CSR
    server

    View Slide

  327. istiod
    root
    Pod
    CSR
    server

    View Slide

  328. istiod
    root
    Pod
    CSR
    server

    View Slide

  329. istiod
    root
    Pod
    CSR
    server

    View Slide

  330. istiod
    root
    Pod
    CSR
    TokenReview
    server

    View Slide

  331. istiod
    root
    Pod
    CSR
    server

    View Slide

  332. istiod
    root
    Pod
    CSR
    server

    View Slide

  333. server
    Pod
    istiod
    root
    CSR

    View Slide

  334. server
    Pod
    istiod
    root

    View Slide

  335. Pod
    istiod
    root
    server

    View Slide

  336. Pod
    istiod
    root
    server

    View Slide

  337. server
    Pod
    istiod
    root

    View Slide

  338. server
    Pod
    istiod
    root

    View Slide

  339. server
    Pod
    istiod
    root

    View Slide

  340. Какие возможности
    Observability?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  341. Какие возможности
    Observability?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  342. Какие возможности
    Observability?
    А как на кластер?
    Что если что-то сломается?
    Так ли безопасен
    Mutual TLS?
    Что-то там было
    про федерацию...
    Как его правильно засетапить?
    А обновить?
    Как повлияет на приложение?

    View Slide

  343. View Slide

  344. View Slide

  345. за 8 минут!

    View Slide

  346. за 8 минут!

    View Slide

  347. за 8 минут!
    150+ кластеров под управлением

    View Slide

  348. за 8 минут!
    deckhouse.io
    Ранний доступ
    150+ кластеров под управлением

    View Slide

  349. Acknowledgements
    Дмитрий Столяров
    За помощь с подготовкой контента
    Антон Климов
    За помощь с оформлением презентации

    View Slide

  350. Спасибо!
    deckhouse.io
    Полностью идентичный
    Kubernetes где угодно
    Успех с Kubernetes
    с первого дня
    Андрей Половов
    Архитектор проектов
    Флант
    DevOps и Kubernetes,
    обслуживание 24×7
    habr.com/ru/company/flant
    youtube.com/c/Флант
    flant.ru t.me/flant_ru
    t.me/andreypolovov
    andrey.polovov@flant.com

    View Slide