Что ждать от внедрения Istio?

July 30, 2021

19k

Что ждать от внедрения Istio?

Доклад архитектора компании «Флант» (https://flant.ru/) Андрея Половова на конференции Kuber Conf 2021 в Москве.

* Текстовый обзор доклада: https://habr.com/ru/company/flant/blog/569612/
* Видео с выступления: https://youtu.be/9CUfaeT3T-A

flant

July 30, 2021

Tweet

More Decks by flant

See All by flant

Стандарты безопасности в Kubernetes

0

8.2k

Мимо тёщиного дома я без метрик не хожу. То им пром в забор просуну, то mimir'у покажу!

0

9k

Istio в разрезе: что умеет и не умеет самый популярный Service Mesh

0

35k

Как устроена разработка Kubernetes-платформы Deckhouse

0

2.9k

LINSTOR — это как Kubernetes, но для блочных устройств

0

17k

Как [не] продать технический долг

0

4k

Как правильно сделать Kubernetes

1

15k

Go? Bash! Meet the Shell-operator

0

8.4k

10 лет on-call. Чему мы научились?

0

9k

Other Decks in Technology

See All in Technology

「スニダン」開発組織の構造に込めた意図～組織作りはパッションや政治ではない！～

3

570

EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM

1

170

Kernel MemoryでAzure OpenAI Serviceとお手軽データソース連携

1

260

私が trocco を推す理由

__allllllllez__

1

240

1

490

MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code

5

530

Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話

0

120

ChatworkのSRE部って実は半分くらいPlatform Engineering部かもしれない

0

160

20分で完全に理解するGrafanaダッシュボード

3

660

今年のRubyKaigiはProfiler Year🤘

0

130

競技としてのKaggle、役に立つKaggle

3

1.7k

GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について

0

240

Featured

See All Featured

How STYLIGHT went responsive

92

4.8k

Rails Girls Zürich Keynote

91

13k

Creatively Recalculating Your Daily Design Routine

210

11k

Large-scale JavaScript Application Architecture

504

110k

Faster Mobile Websites

299

30k

4 Signs Your Business is Dying

175

21k

Navigating Team Friction

178

13k

Raft: Consensus for Rubyists

132

6.3k

"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)

221

21k

How GitHub Uses GitHub to Build GitHub

468

290k

Six Lessons from altMBA

21

3k

WebSockets: Embracing the real-time Web

59

7k

Transcript

None
Андрей Половов Архитектор проектов t.me/andreypolovov andrey.polovov@flant.com Флант DevOps и Kubernetes,
обслуживание 24×7 habr.com/ru/company/flant youtube.com/c/Флант flant.ru t.me/flant_ru
Что ждать от внедрения Istio?
Что ждать от внедрения Istio?
Что ждать от внедрения Istio?
Что ждать от внедрения Istio? Istio = Service Mesh
Istio = Service Mesh Что ждать от внедрения Istio?
front back db
front back db cache
front back db admin cache
front back db images admin cache
front back db images admin cache queue consumer consumer consumer
front back db images admin docs docdb cache queue consumer
consumer consumer
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
db images admin docs docdb cache queue consumer consumer consumer
warehouse front back
db images admin docs docdb cache queue consumer consumer consumer
warehouse front back
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc Circuit Breaking
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–69d499c5b6-cbl6r back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax Canary Deployment
back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff
back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff front–5cd968978d-zqlrb front–5cd968978d-zqlrb
back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff front–5cd968978d-zqlrb front–5cd968978d-zqlrb
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff
front–5cd968978d-zqlrb back–79f976997d-6zhea ru-central1-a front–5cd968978d-zqlrb back–79f976997d-k4bax ru-central1-b front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b Locality
Load Balancing
Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment front back
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment front back <?php if ($code == 500) { $backend.suspend(); ...
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Service Mesh Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting M etric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aw are Routing Trafﬁc Shifting Metric Exporting & Tracing Mutual
TLS A /B Tests Fault Injection M irroring Circuit Breaker Locality Load Balancing End-user Authentication Weighted Load Balancer gRPC Load Balancing Authorization Egress Gateway Request Timeout Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing Weighted Load
Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment End-user Authentication
None
Фреймворк управления трафиком Service Mesh =
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP =
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP Декларативный язык =
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP Декларативный язык Мониторинг Observability + =
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ...
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ...
... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn =
MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ...
... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn =
MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ... [mysqld] tls_version=TLSv1.3 ssl_ca=ca.pem ssl_cert=server-cert.pem ssl_key=server-key.pem ...
... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn =
MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ... [mysqld] tls_version=TLSv1.3 ssl_ca=ca.pem ssl_cert=server-cert.pem ssl_key=server-key.pem ...
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
images admin docs docdb cache queue consumer consumer consumer warehouse
front back db Service Mesh Mutual TLS Circuit Breaker
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP Декларативный язык Мониторинг Observability + =
Service Mesh
Super Mesh
app
app
app
app
app
app
app
app netns
app netns
app netns DNAT
app netns DNAT DNAT
app netns DNAT DNAT
app netns DNAT DNAT eBPF eBPF
app netns DNAT DNAT eBPF eBPF
app netns DNAT DNAT
app netns DNAT DNAT
app DNAT DNAT Pod
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT sidecar
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT ECDS LDS CDS SRDS EDS SDS
VCDS RTDS RDS Envoy APIs
app Pod DNAT DNAT
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Разработчик
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Weighted Load Balancer
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
gRPC Load Balancing A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Mutual TLS Weighted Load Balancer
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Разработчик
Разработчик
Разработчик
Разработчик
supermeshd Разработчик
supermeshd Разработчик
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd Control Plane
Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd Control Plane Data Plane
Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd
ServiceComb-mesher
ServiceComb-mesher
© CNCF Survey Report 2020 https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf
© CNCF Survey Report 2020 https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf
None
Андрей Половов Архитектор проектов Что ждать от внедрения Istio?
None
Как повлияет на приложение?
Как повлияет на приложение? А как на кластер?
Как повлияет на приложение? А как на кластер? Так ли
безопасен Mutual TLS?
Как повлияет на приложение? А как на кластер? Так ли
безопасен Mutual TLS? Что-то там было про федерацию...
Как повлияет на приложение? А как на кластер? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить?
front back
front back 1
front back 1 2
front back
front back sidecar-proxy sidecar-proxy
front back sidecar-proxy sidecar-proxy 1
front back sidecar-proxy sidecar-proxy 1
front back sidecar-proxy sidecar-proxy 1 2 × 1
front back sidecar-proxy sidecar-proxy 1 2 3 × 1
front back sidecar-proxy sidecar-proxy 1 2 3 × 1
front back sidecar-proxy sidecar-proxy 1 2 3 4 × 2
front back sidecar-proxy sidecar-proxy 1 2 3 4 × 2
front back sidecar-proxy sidecar-proxy 1 2 3 4 5 ×
3
front back sidecar-proxy sidecar-proxy 1 2 3 4 5 Время
– деньги! × 3
front back sidecar-proxy sidecar-proxy 1 2 3 4 5 Время
– деньги! Latency – деньги! × 3
The Envoy proxy adds 2.65 ms to the 90th percentile
latency. https://istio.io/latest/docs/ops/deployment/performance-and-scalability/
client server
client server
client server
client server
client server 10 000 запросов с предварительным прогревом
client server kube-node-0 kube-node-1 10 000 запросов с предварительным прогревом
None
client server pure
client server client server envoy pure
client server client server envoy pure client server istio
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz 1000 x AuthorizationPolicy
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client client client pure envoy istio istio-auth client server server
server server TLS TLS TLS
TLS TLS client client server server envoy pure client server
istio client server istio-auth 1.2/1.3 TLS
client client client client server server envoy pure server istio
server istio-auth HTTP/2 HTTP/2 HTTP/2
server server envoy pure server istio server istio-auth client client
client TCP keepalive TCP keepalive TCP keepalive client TCP keepalive
client client client client server server envoy pure server istio
server istio-auth TCP keepalive TCP keepalive TCP keepalive
client server client server envoy pure client server istio client
server istio-authz
client client envoy pure client istio client istio-auth server server
server server
server Small 500 B Medium 200 KiB Large 1.7 MiB
server JSON JSON JSON Small 500 B Medium 200 KiB
Large 1.7 MiB
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz JSON JSON JSON JSON TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive HTTP/2 HTTP/2 HTTP/2 TLS TLS TLS 1.2/1.3
client server client server envoy pure client server istio client
server istio-authz JSON JSON JSON JSON TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive HTTP/2 HTTP/2 HTTP/2 TLS TLS TLS 1.2/1.3 252 теста
Классический сетап
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz TCP keepalive TCP keepalive TCP keepalive TCP keepalive
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.78ms
1.09ms 1.75ms
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.78ms
1.09ms 1.75ms 339% 403% 427%
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms
214%
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms
214% 0.74ms 74%
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms
214% 0.74ms 74%
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.23ms
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.23ms
+ 2ms
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms + 2ms
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms + 2ms = 10%
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms + 2ms = 10%
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 1000
x AuthorizationPolicy
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
pure istio Single-Thread — client TCP keepalive OFF
pure istio Single-Thread — client TCP keepalive OFF 0.18ms 78%
1.08ms 83%
Mutual TLS
client client client pure envoy istio istio-auth client server server
server server TLS TLS TLS
client istio server TLS
JSON JSON JSON TLS OFF vs ON
JSON JSON JSON TLS OFF vs ON
Любопытные наблюдения
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz TCP keepalive TCP keepalive TCP keepalive TCP keepalive
client server istio TCP keepalive
JSON JSON JSON Single-Thread — TCP keepalive OFF vs ON
client server istio TCP keepalive
client server istio TCP keepalive
JSON JSON JSON Multi-Thread — TCP keepalive OFF vs ON
JSON JSON JSON Multi-Thread — TCP keepalive OFF vs ON
https://blog.cloudﬂare.com/keepalives-considered-harmful/ TCP keepalive Не всегда хорошо!
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
Как повлияет на приложение?
Как повлияет на приложение? Перехват трафика — не бесплатен
Как повлияет на приложение? Перехват трафика — не бесплатен ±
2.5 ms
Как повлияет на приложение? Перехват трафика — не бесплатен Больше
естественный latency — меньше относительный overhead ± 2.5 ms
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
supermeshd
supermeshd = istiod
supermeshd = istiod Zone-aware Routing Trafﬁc Shifting Metric Exporting &
Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd = istiod Zone-aware Routing Trafﬁc Shifting Metric Exporting &
Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment = AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup Service Endpoint Namespace Node Secret Pod
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
None
Структура
Структура
Структура
Структура Графики
Структура Графики Трассировка
Структура Графики Трассировка
Трассировка Структура Графики
Структура Графики Трассировка
Структура Графики Трассировка
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
client server
client server Привет, server!
client server
client server Привет, client!
client server
client server
client server
client server Привет, server!
client server
client server Ты кто такой, *&^*$*???!
client server OKAY
client server
client server
client server
client server
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client principal
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount
client server
client server istiod
client server istiod root
ca.crt != client server istiod root
client server istiod root
client server istiod root
client server istiod root
istiod root server client
istiod root client server
client istiod root server Pod
client istiod root server Pod Super Mesh
client server Pod istiod root Super Mesh
client server Pod Super Mesh istiod root
client server Pod istiod root Super Mesh
client Pod server istiod root
istiod root Pod server
istiod root Pod server
istiod root Pod CSR server
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount CSR
None
mypod Pod
mysa ServiceAccount mypod Pod
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo
mysa ServiceAccount mypod Pod { "namespace": "foo", "name": "mysa", ...
} apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo
mysa ServiceAccount mypod Pod mysa-token-123 Secret apiVersion: v1 kind: ServiceAccount
metadata: name: mysa namespace: foo { "namespace": "foo", "name": "mysa", ... }
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 mysa-token-123 Secret { "namespace": "foo", "name": "mysa", ... }
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... mysa-token-123 Secret { "namespace": "foo", "name": "mysa", ... }
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... { "namespace": "foo", "name": "mysa", ... } mysa-token-123 Secret
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... { "namespace": "foo", "name": "mysa", ... } mysa-token-123 Secret /run/secrets/kubernetes.io/serviceaccount/token
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount CSR
istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR server
istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server
istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server
istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR TokenReview server
istiod root Pod CSR server
istiod root Pod CSR server
server Pod istiod root CSR
server Pod istiod root
Pod istiod root server
Pod istiod root server
server Pod istiod root
server Pod istiod root
server Pod istiod root
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
None
None
за 8 минут!
за 8 минут!
за 8 минут! 150+ кластеров под управлением
за 8 минут! deckhouse.io Ранний доступ 150+ кластеров под управлением
Acknowledgements Дмитрий Столяров За помощь с подготовкой контента Антон Климов
За помощь с оформлением презентации
Спасибо! deckhouse.io Полностью идентичный Kubernetes где угодно Успех с Kubernetes
с первого дня Андрей Половов Архитектор проектов Флант DevOps и Kubernetes, обслуживание 24×7 habr.com/ru/company/flant youtube.com/c/Флант flant.ru t.me/flant_ru t.me/andreypolovov andrey.polovov@flant.com