Что ждать от внедрения Istio?

July 30, 2021

22k

Что ждать от внедрения Istio?

Доклад архитектора компании «Флант» (https://flant.ru/) Андрея Половова на конференции Kuber Conf 2021 в Москве.

* Текстовый обзор доклада: https://habr.com/ru/company/flant/blog/569612/
* Видео с выступления: https://youtu.be/9CUfaeT3T-A

flant

July 30, 2021

Tweet

More Decks by flant

See All by flant

Кто возьмет метрик пачку, тот получит ресурсов недостачку... (Владимир Гурьянов, DevOpsConf 2024)

0

23

Стандарты безопасности в Kubernetes

0

9.7k

Мимо тёщиного дома я без метрик не хожу. То им пром в забор просуну, то mimir'у покажу!

0

9.8k

Istio в разрезе: что умеет и не умеет самый популярный Service Mesh

0

52k

Как устроена разработка Kubernetes-платформы Deckhouse

0

3.3k

LINSTOR — это как Kubernetes, но для блочных устройств

0

21k

Как [не] продать технический долг

0

4.2k

Как правильно сделать Kubernetes

1

15k

Go? Bash! Meet the Shell-operator

0

8.8k

Other Decks in Technology

See All in Technology

Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段

1

240

オープンソースAIとは何か？ --「オープンソースAIの定義 v1.0」詳細解説

9

1.1k

SREによる隣接領域への越境とその先の信頼性

shonansurvivors

2

520

IBC 2024 動画技術関連レポート / IBC 2024 Report

cyberagentdevelopers

1

110

Application Development WG Intro at AppDeveloperCon

0

190

社内で最大の技術的負債のリファクタリングに取り組んだお話し

1

550

ドメインの本質を掴む / Get the essence of the domain

2

160

20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ

2

290

Flutterによる効率的なAndroid・iOS・Webアプリケーション開発の事例

recruitengineers

0

110

Engineer Career Talk

lycorp_recruit_jp

0

180

アジャイルでの品質の進化 Agile in Motion vol.1/20241118 Hiroyuki Sato

0

170

OCI Vault 概要

oracle4engineer

0

9.7k

Featured

See All Featured

GitHub's CSS Performance

1030

460k

The Straight Up "How To Draw Better" Workshop

232

140k

A Tale of Four Properties

156

23k

4 Signs Your Business is Dying

180

21k

Evolution of real-time – Irina Nazarova, EuRuKo, 2024

4

370

A Philosophy of Restraint

203

16k

Optimizing for Happiness

376

70k

Java REST API Framework Comparison - PWX 2021

28

8.2k

Navigating Team Friction

183

14k

実際に使うSQLの書き方徹底解説 / pgcon21j-tutorial

169

50k

Learning to Love Humans: Emotional Interface Design

273

40k

Building Better People: How to give real-time feedback that sticks.

364

19k

Transcript

None
Андрей Половов Архитектор проектов t.me/andreypolovov andrey.polovov@flant.com Флант DevOps и Kubernetes,
обслуживание 24×7 habr.com/ru/company/flant youtube.com/c/Флант flant.ru t.me/flant_ru
Что ждать от внедрения Istio?
Что ждать от внедрения Istio?
Что ждать от внедрения Istio?
Что ждать от внедрения Istio? Istio = Service Mesh
Istio = Service Mesh Что ждать от внедрения Istio?
front back db
front back db cache
front back db admin cache
front back db images admin cache
front back db images admin cache queue consumer consumer consumer
front back db images admin docs docdb cache queue consumer
consumer consumer
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
db images admin docs docdb cache queue consumer consumer consumer
warehouse front back
db images admin docs docdb cache queue consumer consumer consumer
warehouse front back
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc Circuit Breaking
front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc
back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–69d499c5b6-cbl6r back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax
back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax Canary Deployment
back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff
back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff front–5cd968978d-zqlrb front–5cd968978d-zqlrb
back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff front–5cd968978d-zqlrb front–5cd968978d-zqlrb
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff
front–5cd968978d-zqlrb back–79f976997d-6zhea ru-central1-a front–5cd968978d-zqlrb back–79f976997d-k4bax ru-central1-b front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b
front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b Locality
Load Balancing
Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment front back
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment front back <?php if ($code == 500) { $backend.suspend(); ...
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Service Mesh Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting M etric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aw are Routing Trafﬁc Shifting Metric Exporting & Tracing Mutual
TLS A /B Tests Fault Injection M irroring Circuit Breaker Locality Load Balancing End-user Authentication Weighted Load Balancer gRPC Load Balancing Authorization Egress Gateway Request Timeout Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing Weighted Load
Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment End-user Authentication
None
Фреймворк управления трафиком Service Mesh =
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP =
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP Декларативный язык =
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP Декларативный язык Мониторинг Observability + =
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ...
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ...
... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn =
MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ...
... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn =
MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ... [mysqld] tls_version=TLSv1.3 ssl_ca=ca.pem ssl_cert=server-cert.pem ssl_key=server-key.pem ...
... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn =
MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse <?php if ($code == 500) { $backend.suspend(); ... $ openssl req ... [mysqld] tls_version=TLSv1.3 ssl_ca=ca.pem ssl_cert=server-cert.pem ssl_key=server-key.pem ...
front back db images admin docs docdb cache queue consumer
consumer consumer warehouse
images admin docs docdb cache queue consumer consumer consumer warehouse
front back db Service Mesh Mutual TLS Circuit Breaker
Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой
TCP Декларативный язык Мониторинг Observability + =
Service Mesh
Super Mesh
app
app
app
app
app
app
app
app netns
app netns
app netns DNAT
app netns DNAT DNAT
app netns DNAT DNAT
app netns DNAT DNAT eBPF eBPF
app netns DNAT DNAT eBPF eBPF
app netns DNAT DNAT
app netns DNAT DNAT
app DNAT DNAT Pod
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT sidecar
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT
app Pod DNAT DNAT ECDS LDS CDS SRDS EDS SDS
VCDS RTDS RDS Envoy APIs
app Pod DNAT DNAT
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Разработчик
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Weighted Load Balancer
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
gRPC Load Balancing A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Mutual TLS Weighted Load Balancer
Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user Authentication
Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Разработчик
Разработчик
Разработчик
Разработчик
supermeshd Разработчик
supermeshd Разработчик
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing
End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd Control Plane
Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd Control Plane Data Plane
Разработчик Zone-aware Routing Trafﬁc Shifting Metric Exporting & Tracing End-user
Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd
ServiceComb-mesher
ServiceComb-mesher
© CNCF Survey Report 2020 https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf
© CNCF Survey Report 2020 https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf
None
Андрей Половов Архитектор проектов Что ждать от внедрения Istio?
None
Как повлияет на приложение?
Как повлияет на приложение? А как на кластер?
Как повлияет на приложение? А как на кластер? Так ли
безопасен Mutual TLS?
Как повлияет на приложение? А как на кластер? Так ли
безопасен Mutual TLS? Что-то там было про федерацию...
Как повлияет на приложение? А как на кластер? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить?
Как повлияет на приложение? А как на кластер? Что если
что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить?
front back
front back 1
front back 1 2
front back
front back sidecar-proxy sidecar-proxy
front back sidecar-proxy sidecar-proxy 1
front back sidecar-proxy sidecar-proxy 1
front back sidecar-proxy sidecar-proxy 1 2 × 1
front back sidecar-proxy sidecar-proxy 1 2 3 × 1
front back sidecar-proxy sidecar-proxy 1 2 3 × 1
front back sidecar-proxy sidecar-proxy 1 2 3 4 × 2
front back sidecar-proxy sidecar-proxy 1 2 3 4 × 2
front back sidecar-proxy sidecar-proxy 1 2 3 4 5 ×
3
front back sidecar-proxy sidecar-proxy 1 2 3 4 5 Время
– деньги! × 3
front back sidecar-proxy sidecar-proxy 1 2 3 4 5 Время
– деньги! Latency – деньги! × 3
The Envoy proxy adds 2.65 ms to the 90th percentile
latency. https://istio.io/latest/docs/ops/deployment/performance-and-scalability/
client server
client server
client server
client server
client server 10 000 запросов с предварительным прогревом
client server kube-node-0 kube-node-1 10 000 запросов с предварительным прогревом
None
client server pure
client server client server envoy pure
client server client server envoy pure client server istio
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz 1000 x AuthorizationPolicy
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client client client pure envoy istio istio-auth client server server
server server TLS TLS TLS
TLS TLS client client server server envoy pure client server
istio client server istio-auth 1.2/1.3 TLS
client client client client server server envoy pure server istio
server istio-auth HTTP/2 HTTP/2 HTTP/2
server server envoy pure server istio server istio-auth client client
client TCP keepalive TCP keepalive TCP keepalive client TCP keepalive
client client client client server server envoy pure server istio
server istio-auth TCP keepalive TCP keepalive TCP keepalive
client server client server envoy pure client server istio client
server istio-authz
client client envoy pure client istio client istio-auth server server
server server
server Small 500 B Medium 200 KiB Large 1.7 MiB
server JSON JSON JSON Small 500 B Medium 200 KiB
Large 1.7 MiB
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz JSON JSON JSON JSON TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive HTTP/2 HTTP/2 HTTP/2 TLS TLS TLS 1.2/1.3
client server client server envoy pure client server istio client
server istio-authz JSON JSON JSON JSON TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive HTTP/2 HTTP/2 HTTP/2 TLS TLS TLS 1.2/1.3 252 теста
Классический сетап
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz TCP keepalive TCP keepalive TCP keepalive TCP keepalive
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.78ms
1.09ms 1.75ms
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.78ms
1.09ms 1.75ms 339% 403% 427%
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms
214%
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms
214% 0.74ms 74%
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms
214% 0.74ms 74%
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.23ms
Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.23ms
+ 2ms
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms + 2ms
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms + 2ms = 10%
0.23ms + 2ms = 800% Single-Thread — client TCP keepalive
OFF JSON JSON JSON 20ms + 2ms = 10%
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON 1000
x AuthorizationPolicy
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
Single-Thread — client TCP keepalive OFF JSON JSON JSON
pure istio Single-Thread — client TCP keepalive OFF
pure istio Single-Thread — client TCP keepalive OFF 0.18ms 78%
1.08ms 83%
Mutual TLS
client client client pure envoy istio istio-auth client server server
server server TLS TLS TLS
client istio server TLS
JSON JSON JSON TLS OFF vs ON
JSON JSON JSON TLS OFF vs ON
Любопытные наблюдения
client server client server envoy pure client server istio client
server istio-authz
client server client server envoy pure client server istio client
server istio-authz TCP keepalive TCP keepalive TCP keepalive TCP keepalive
client server istio TCP keepalive
JSON JSON JSON Single-Thread — TCP keepalive OFF vs ON
client server istio TCP keepalive
client server istio TCP keepalive
JSON JSON JSON Multi-Thread — TCP keepalive OFF vs ON
JSON JSON JSON Multi-Thread — TCP keepalive OFF vs ON
https://blog.cloudﬂare.com/keepalives-considered-harmful/ TCP keepalive Не всегда хорошо!
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
Как повлияет на приложение?
Как повлияет на приложение? Перехват трафика — не бесплатен
Как повлияет на приложение? Перехват трафика — не бесплатен ±
2.5 ms
Как повлияет на приложение? Перехват трафика — не бесплатен Больше
естественный latency — меньше относительный overhead ± 2.5 ms
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
supermeshd
supermeshd = istiod
supermeshd = istiod Zone-aware Routing Trafﬁc Shifting Metric Exporting &
Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment
supermeshd = istiod Zone-aware Routing Trafﬁc Shifting Metric Exporting &
Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment = AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup
istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway
Sidecar WorkloadGroup Service Endpoint Namespace Node Secret Pod
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
А как на кластер? Что если что-то сломается? Так ли
безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
None
Структура
Структура
Структура
Структура Графики
Структура Графики Трассировка
Структура Графики Трассировка
Трассировка Структура Графики
Структура Графики Трассировка
Структура Графики Трассировка
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
client server
client server Привет, server!
client server
client server Привет, client!
client server
client server
client server
client server Привет, server!
client server
client server Ты кто такой, *&^*$*???!
client server OKAY
client server
client server
client server
client server
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client principal
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client
client server SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount
client server
client server istiod
client server istiod root
ca.crt != client server istiod root
client server istiod root
client server istiod root
client server istiod root
istiod root server client
istiod root client server
client istiod root server Pod
client istiod root server Pod Super Mesh
client server Pod istiod root Super Mesh
client server Pod Super Mesh istiod root
client server Pod istiod root Super Mesh
client Pod server istiod root
istiod root Pod server
istiod root Pod server
istiod root Pod CSR server
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount CSR
None
mypod Pod
mysa ServiceAccount mypod Pod
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo
mysa ServiceAccount mypod Pod { "namespace": "foo", "name": "mysa", ...
} apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo
mysa ServiceAccount mypod Pod mysa-token-123 Secret apiVersion: v1 kind: ServiceAccount
metadata: name: mysa namespace: foo { "namespace": "foo", "name": "mysa", ... }
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 mysa-token-123 Secret { "namespace": "foo", "name": "mysa", ... }
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... mysa-token-123 Secret { "namespace": "foo", "name": "mysa", ... }
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... { "namespace": "foo", "name": "mysa", ... } mysa-token-123 Secret
mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name:
mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... { "namespace": "foo", "name": "mysa", ... } mysa-token-123 Secret /run/secrets/kubernetes.io/serviceaccount/token
server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount CSR
istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR server
istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server
istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server
istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR server
istiod root Pod CSR TokenReview server
istiod root Pod CSR server
istiod root Pod CSR server
server Pod istiod root CSR
server Pod istiod root
Pod istiod root server
Pod istiod root server
server Pod istiod root
server Pod istiod root
server Pod istiod root
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
Какие возможности Observability? А как на кластер? Что если что-то
сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?
None
None
за 8 минут!
за 8 минут!
за 8 минут! 150+ кластеров под управлением
за 8 минут! deckhouse.io Ранний доступ 150+ кластеров под управлением
Acknowledgements Дмитрий Столяров За помощь с подготовкой контента Антон Климов
За помощь с оформлением презентации
Спасибо! deckhouse.io Полностью идентичный Kubernetes где угодно Успех с Kubernetes
с первого дня Андрей Половов Архитектор проектов Флант DevOps и Kubernetes, обслуживание 24×7 habr.com/ru/company/flant youtube.com/c/Флант flant.ru t.me/flant_ru t.me/andreypolovov andrey.polovov@flant.com