Slide 1

Slide 1 text

No content

Slide 2

Slide 2 text

Андрей Половов Архитектор проектов t.me/andreypolovov andrey.polovov@flant.com Флант DevOps и Kubernetes, обслуживание 24×7 habr.com/ru/company/flant youtube.com/c/Флант flant.ru t.me/flant_ru

Slide 3

Slide 3 text

Что ждать от внедрения Istio?

Slide 4

Slide 4 text

Что ждать от внедрения Istio?

Slide 5

Slide 5 text

Что ждать от внедрения Istio?

Slide 6

Slide 6 text

Что ждать от внедрения Istio? Istio = Service Mesh

Slide 7

Slide 7 text

Istio = Service Mesh Что ждать от внедрения Istio?

Slide 8

Slide 8 text

front back db

Slide 9

Slide 9 text

front back db cache

Slide 10

Slide 10 text

front back db admin cache

Slide 11

Slide 11 text

front back db images admin cache

Slide 12

Slide 12 text

front back db images admin cache queue consumer consumer consumer

Slide 13

Slide 13 text

front back db images admin docs docdb cache queue consumer consumer consumer

Slide 14

Slide 14 text

front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 15

Slide 15 text

front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 16

Slide 16 text

db images admin docs docdb cache queue consumer consumer consumer warehouse front back

Slide 17

Slide 17 text

db images admin docs docdb cache queue consumer consumer consumer warehouse front back

Slide 18

Slide 18 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 19

Slide 19 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 20

Slide 20 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 21

Slide 21 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 22

Slide 22 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 23

Slide 23 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 24

Slide 24 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 25

Slide 25 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 26

Slide 26 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 27

Slide 27 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 28

Slide 28 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 29

Slide 29 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 30

Slide 30 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 31

Slide 31 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc Circuit Breaking

Slide 32

Slide 32 text

front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 33

Slide 33 text

back front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 34

Slide 34 text

back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 35

Slide 35 text

back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–69d499c5b6-q8trc

Slide 36

Slide 36 text

back–79f976997d-a8tff front–5cd968978d-zqlrb back–69d499c5b6-5xcjt back–69d499c5b6-cbl6r back–79f976997d-k4bax

Slide 37

Slide 37 text

back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–69d499c5b6-cbl6r back–79f976997d-k4bax

Slide 38

Slide 38 text

back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax

Slide 39

Slide 39 text

back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax

Slide 40

Slide 40 text

back–79f976997d-a8tff front–5cd968978d-zqlrb back–79f976997d-6zhea back–79f976997d-k4bax Canary Deployment

Slide 41

Slide 41 text

back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff

Slide 42

Slide 42 text

back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff front–5cd968978d-zqlrb front–5cd968978d-zqlrb

Slide 43

Slide 43 text

back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax back–79f976997d-a8tff front–5cd968978d-zqlrb front–5cd968978d-zqlrb

Slide 44

Slide 44 text

front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff

Slide 45

Slide 45 text

front–5cd968978d-zqlrb back–79f976997d-6zhea ru-central1-a front–5cd968978d-zqlrb back–79f976997d-k4bax ru-central1-b front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-b

Slide 46

Slide 46 text

front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b

Slide 47

Slide 47 text

front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b

Slide 48

Slide 48 text

front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b

Slide 49

Slide 49 text

front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b

Slide 50

Slide 50 text

front–5cd968978d-zqlrb back–79f976997d-6zhea front–5cd968978d-zqlrb back–79f976997d-k4bax front–5cd968978d-zqlrb back–79f976997d-a8tff ru-central1-a ru-central1-b ru-central1-b Locality Load Balancing

Slide 51

Slide 51 text

Circuit Breaker Locality Load Balancing Canary Deployment

Slide 52

Slide 52 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 53

Slide 53 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment front back

Slide 54

Slide 54 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment front back

Slide 55

Slide 55 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 56

Slide 56 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 57

Slide 57 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 58

Slide 58 text

Service Mesh Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 59

Slide 59 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 60

Slide 60 text

Zone-aware Routing Traffic Shifting M etric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 61

Slide 61 text

Zone-aw are Routing Traffic Shifting Metric Exporting & Tracing Mutual TLS A /B Tests Fault Injection M irroring Circuit Breaker Locality Load Balancing End-user Authentication Weighted Load Balancer gRPC Load Balancing Authorization Egress Gateway Request Timeout Canary Deployment

Slide 62

Slide 62 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment End-user Authentication

Slide 63

Slide 63 text

No content

Slide 64

Slide 64 text

Фреймворк управления трафиком Service Mesh =

Slide 65

Slide 65 text

Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой TCP =

Slide 66

Slide 66 text

Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой TCP Декларативный язык =

Slide 67

Slide 67 text

Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой TCP Декларативный язык Мониторинг Observability + =

Slide 68

Slide 68 text

front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 69

Slide 69 text

front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 70

Slide 70 text

front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 71

Slide 71 text

... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn = MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 72

Slide 72 text

... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn = MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 73

Slide 73 text

... ssl = { ‘cert’: ‘client-cert.pem’, ‘key’: ‘client-key.pem’} conn = MySQLdb.connect(ssl=ssl, ... front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 74

Slide 74 text

front back db images admin docs docdb cache queue consumer consumer consumer warehouse

Slide 75

Slide 75 text

images admin docs docdb cache queue consumer consumer consumer warehouse front back db Service Mesh Mutual TLS Circuit Breaker

Slide 76

Slide 76 text

Фреймворк управления трафиком Service Mesh HTTP, gRPC и любой другой TCP Декларативный язык Мониторинг Observability + =

Slide 77

Slide 77 text

Service Mesh

Slide 78

Slide 78 text

Super Mesh

Slide 79

Slide 79 text

app

Slide 80

Slide 80 text

app

Slide 81

Slide 81 text

app

Slide 82

Slide 82 text

app

Slide 83

Slide 83 text

app

Slide 84

Slide 84 text

app

Slide 85

Slide 85 text

app

Slide 86

Slide 86 text

app netns

Slide 87

Slide 87 text

app netns

Slide 88

Slide 88 text

app netns DNAT

Slide 89

Slide 89 text

app netns DNAT DNAT

Slide 90

Slide 90 text

app netns DNAT DNAT

Slide 91

Slide 91 text

app netns DNAT DNAT eBPF eBPF

Slide 92

Slide 92 text

app netns DNAT DNAT eBPF eBPF

Slide 93

Slide 93 text

app netns DNAT DNAT

Slide 94

Slide 94 text

app netns DNAT DNAT

Slide 95

Slide 95 text

app DNAT DNAT Pod

Slide 96

Slide 96 text

app Pod DNAT DNAT

Slide 97

Slide 97 text

app Pod DNAT DNAT

Slide 98

Slide 98 text

app Pod DNAT DNAT

Slide 99

Slide 99 text

app Pod DNAT DNAT sidecar

Slide 100

Slide 100 text

app Pod DNAT DNAT

Slide 101

Slide 101 text

app Pod DNAT DNAT

Slide 102

Slide 102 text

app Pod DNAT DNAT

Slide 103

Slide 103 text

app Pod DNAT DNAT

Slide 104

Slide 104 text

app Pod DNAT DNAT

Slide 105

Slide 105 text

app Pod DNAT DNAT

Slide 106

Slide 106 text

app Pod DNAT DNAT

Slide 107

Slide 107 text

app Pod DNAT DNAT

Slide 108

Slide 108 text

app Pod DNAT DNAT

Slide 109

Slide 109 text

app Pod DNAT DNAT ECDS LDS CDS SRDS EDS SDS VCDS RTDS RDS Envoy APIs

Slide 110

Slide 110 text

app Pod DNAT DNAT

Slide 111

Slide 111 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 112

Slide 112 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Разработчик

Slide 113

Slide 113 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Weighted Load Balancer

Slide 114

Slide 114 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication gRPC Load Balancing A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Mutual TLS Weighted Load Balancer

Slide 115

Slide 115 text

Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment Разработчик

Slide 116

Slide 116 text

Разработчик

Slide 117

Slide 117 text

Разработчик

Slide 118

Slide 118 text

Разработчик

Slide 119

Slide 119 text

supermeshd Разработчик

Slide 120

Slide 120 text

supermeshd Разработчик

Slide 121

Slide 121 text

supermeshd Разработчик Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 122

Slide 122 text

supermeshd Разработчик Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 123

Slide 123 text

supermeshd Разработчик Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 124

Slide 124 text

supermeshd Разработчик Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 125

Slide 125 text

Разработчик Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd Control Plane

Slide 126

Slide 126 text

Разработчик Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd Control Plane Data Plane

Slide 127

Slide 127 text

Разработчик Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment supermeshd

Slide 128

Slide 128 text

ServiceComb-mesher

Slide 129

Slide 129 text

ServiceComb-mesher

Slide 130

Slide 130 text

© CNCF Survey Report 2020 https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf

Slide 131

Slide 131 text

© CNCF Survey Report 2020 https://www.cncf.io/wp-content/uploads/2020/11/CNCF_Survey_Report_2020.pdf

Slide 132

Slide 132 text

No content

Slide 133

Slide 133 text

Андрей Половов Архитектор проектов Что ждать от внедрения Istio?

Slide 134

Slide 134 text

No content

Slide 135

Slide 135 text

Как повлияет на приложение?

Slide 136

Slide 136 text

Как повлияет на приложение? А как на кластер?

Slide 137

Slide 137 text

Как повлияет на приложение? А как на кластер? Так ли безопасен Mutual TLS?

Slide 138

Slide 138 text

Как повлияет на приложение? А как на кластер? Так ли безопасен Mutual TLS? Что-то там было про федерацию...

Slide 139

Slide 139 text

Как повлияет на приложение? А как на кластер? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability?

Slide 140

Slide 140 text

Как повлияет на приложение? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability?

Slide 141

Slide 141 text

Как повлияет на приложение? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить?

Slide 142

Slide 142 text

Как повлияет на приложение? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить?

Slide 143

Slide 143 text

Как повлияет на приложение? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить?

Slide 144

Slide 144 text

front back

Slide 145

Slide 145 text

front back 1

Slide 146

Slide 146 text

front back 1 2

Slide 147

Slide 147 text

front back

Slide 148

Slide 148 text

front back sidecar-proxy sidecar-proxy

Slide 149

Slide 149 text

front back sidecar-proxy sidecar-proxy 1

Slide 150

Slide 150 text

front back sidecar-proxy sidecar-proxy 1

Slide 151

Slide 151 text

front back sidecar-proxy sidecar-proxy 1 2 × 1

Slide 152

Slide 152 text

front back sidecar-proxy sidecar-proxy 1 2 3 × 1

Slide 153

Slide 153 text

front back sidecar-proxy sidecar-proxy 1 2 3 × 1

Slide 154

Slide 154 text

front back sidecar-proxy sidecar-proxy 1 2 3 4 × 2

Slide 155

Slide 155 text

front back sidecar-proxy sidecar-proxy 1 2 3 4 × 2

Slide 156

Slide 156 text

front back sidecar-proxy sidecar-proxy 1 2 3 4 5 × 3

Slide 157

Slide 157 text

front back sidecar-proxy sidecar-proxy 1 2 3 4 5 Время – деньги! × 3

Slide 158

Slide 158 text

front back sidecar-proxy sidecar-proxy 1 2 3 4 5 Время – деньги! Latency – деньги! × 3

Slide 159

Slide 159 text

The Envoy proxy adds 2.65 ms to the 90th percentile latency. https://istio.io/latest/docs/ops/deployment/performance-and-scalability/

Slide 160

Slide 160 text

client server

Slide 161

Slide 161 text

client server

Slide 162

Slide 162 text

client server

Slide 163

Slide 163 text

client server

Slide 164

Slide 164 text

client server 10 000 запросов с предварительным прогревом

Slide 165

Slide 165 text

client server kube-node-0 kube-node-1 10 000 запросов с предварительным прогревом

Slide 166

Slide 166 text

No content

Slide 167

Slide 167 text

client server pure

Slide 168

Slide 168 text

client server client server envoy pure

Slide 169

Slide 169 text

client server client server envoy pure client server istio

Slide 170

Slide 170 text

client server client server envoy pure client server istio client server istio-authz

Slide 171

Slide 171 text

client server client server envoy pure client server istio client server istio-authz 1000 x AuthorizationPolicy

Slide 172

Slide 172 text

client server client server envoy pure client server istio client server istio-authz

Slide 173

Slide 173 text

client server client server envoy pure client server istio client server istio-authz

Slide 174

Slide 174 text

client server client server envoy pure client server istio client server istio-authz

Slide 175

Slide 175 text

client server client server envoy pure client server istio client server istio-authz

Slide 176

Slide 176 text

client client client pure envoy istio istio-auth client server server server server TLS TLS TLS

Slide 177

Slide 177 text

TLS TLS client client server server envoy pure client server istio client server istio-auth 1.2/1.3 TLS

Slide 178

Slide 178 text

client client client client server server envoy pure server istio server istio-auth HTTP/2 HTTP/2 HTTP/2

Slide 179

Slide 179 text

server server envoy pure server istio server istio-auth client client client TCP keepalive TCP keepalive TCP keepalive client TCP keepalive

Slide 180

Slide 180 text

client client client client server server envoy pure server istio server istio-auth TCP keepalive TCP keepalive TCP keepalive

Slide 181

Slide 181 text

client server client server envoy pure client server istio client server istio-authz

Slide 182

Slide 182 text

client client envoy pure client istio client istio-auth server server server server

Slide 183

Slide 183 text

server Small 500 B Medium 200 KiB Large 1.7 MiB

Slide 184

Slide 184 text

server JSON JSON JSON Small 500 B Medium 200 KiB Large 1.7 MiB

Slide 185

Slide 185 text

client server client server envoy pure client server istio client server istio-authz

Slide 186

Slide 186 text

client server client server envoy pure client server istio client server istio-authz

Slide 187

Slide 187 text

client server client server envoy pure client server istio client server istio-authz JSON JSON JSON JSON TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive HTTP/2 HTTP/2 HTTP/2 TLS TLS TLS 1.2/1.3

Slide 188

Slide 188 text

client server client server envoy pure client server istio client server istio-authz JSON JSON JSON JSON TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive TCP keepalive HTTP/2 HTTP/2 HTTP/2 TLS TLS TLS 1.2/1.3 252 теста

Slide 189

Slide 189 text

Классический сетап

Slide 190

Slide 190 text

client server client server envoy pure client server istio client server istio-authz

Slide 191

Slide 191 text

client server client server envoy pure client server istio client server istio-authz TCP keepalive TCP keepalive TCP keepalive TCP keepalive

Slide 192

Slide 192 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 193

Slide 193 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.78ms 1.09ms 1.75ms

Slide 194

Slide 194 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.78ms 1.09ms 1.75ms 339% 403% 427%

Slide 195

Slide 195 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 196

Slide 196 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 197

Slide 197 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms 214%

Slide 198

Slide 198 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms 214% 0.74ms 74%

Slide 199

Slide 199 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.77ms 214% 0.74ms 74%

Slide 200

Slide 200 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 201

Slide 201 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.23ms

Slide 202

Slide 202 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 0.23ms + 2ms

Slide 203

Slide 203 text

0.23ms + 2ms = 800% Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 204

Slide 204 text

0.23ms + 2ms = 800% Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 205

Slide 205 text

0.23ms + 2ms = 800% Single-Thread — client TCP keepalive OFF JSON JSON JSON 20ms

Slide 206

Slide 206 text

0.23ms + 2ms = 800% Single-Thread — client TCP keepalive OFF JSON JSON JSON 20ms + 2ms

Slide 207

Slide 207 text

0.23ms + 2ms = 800% Single-Thread — client TCP keepalive OFF JSON JSON JSON 20ms + 2ms = 10%

Slide 208

Slide 208 text

0.23ms + 2ms = 800% Single-Thread — client TCP keepalive OFF JSON JSON JSON 20ms + 2ms = 10%

Slide 209

Slide 209 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 210

Slide 210 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 211

Slide 211 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 212

Slide 212 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 213

Slide 213 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON 1000 x AuthorizationPolicy

Slide 214

Slide 214 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 215

Slide 215 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 216

Slide 216 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 217

Slide 217 text

Single-Thread — client TCP keepalive OFF JSON JSON JSON

Slide 218

Slide 218 text

pure istio Single-Thread — client TCP keepalive OFF

Slide 219

Slide 219 text

pure istio Single-Thread — client TCP keepalive OFF 0.18ms 78% 1.08ms 83%

Slide 220

Slide 220 text

Mutual TLS

Slide 221

Slide 221 text

client client client pure envoy istio istio-auth client server server server server TLS TLS TLS

Slide 222

Slide 222 text

client istio server TLS

Slide 223

Slide 223 text

JSON JSON JSON TLS OFF vs ON

Slide 224

Slide 224 text

JSON JSON JSON TLS OFF vs ON

Slide 225

Slide 225 text

Любопытные наблюдения

Slide 226

Slide 226 text

client server client server envoy pure client server istio client server istio-authz

Slide 227

Slide 227 text

client server client server envoy pure client server istio client server istio-authz TCP keepalive TCP keepalive TCP keepalive TCP keepalive

Slide 228

Slide 228 text

client server istio TCP keepalive

Slide 229

Slide 229 text

JSON JSON JSON Single-Thread — TCP keepalive OFF vs ON

Slide 230

Slide 230 text

client server istio TCP keepalive

Slide 231

Slide 231 text

client server istio TCP keepalive

Slide 232

Slide 232 text

JSON JSON JSON Multi-Thread — TCP keepalive OFF vs ON

Slide 233

Slide 233 text

JSON JSON JSON Multi-Thread — TCP keepalive OFF vs ON

Slide 234

Slide 234 text

https://blog.cloudflare.com/keepalives-considered-harmful/ TCP keepalive Не всегда хорошо!

Slide 235

Slide 235 text

А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 236

Slide 236 text

Как повлияет на приложение?

Slide 237

Slide 237 text

Как повлияет на приложение? Перехват трафика — не бесплатен

Slide 238

Slide 238 text

Как повлияет на приложение? Перехват трафика — не бесплатен ± 2.5 ms

Slide 239

Slide 239 text

Как повлияет на приложение? Перехват трафика — не бесплатен Больше естественный latency — меньше относительный overhead ± 2.5 ms

Slide 240

Slide 240 text

А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 241

Slide 241 text

А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 242

Slide 242 text

А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 243

Slide 243 text

supermeshd

Slide 244

Slide 244 text

supermeshd = istiod

Slide 245

Slide 245 text

supermeshd = istiod Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment

Slide 246

Slide 246 text

supermeshd = istiod Zone-aware Routing Traffic Shifting Metric Exporting & Tracing End-user Authentication Weighted Load Balancer gRPC Load Balancing Mutual TLS A/B Tests Fault Injection Mirroring Authorization Egress Gateway Request Timeout Circuit Breaker Locality Load Balancing Canary Deployment = AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway Sidecar WorkloadGroup

Slide 247

Slide 247 text

istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway Sidecar WorkloadGroup

Slide 248

Slide 248 text

istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway Sidecar WorkloadGroup

Slide 249

Slide 249 text

istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway Sidecar WorkloadGroup

Slide 250

Slide 250 text

istiod AuthorizationPolicy EnvoyFilter IstioOperator DestinationRule PeerAuthentication VirtualService WorkloadEntry ServiceEntry Gateway Sidecar WorkloadGroup Service Endpoint Namespace Node Secret Pod

Slide 251

Slide 251 text

А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 252

Slide 252 text

А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Какие возможности Observability? Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 253

Slide 253 text

Какие возможности Observability? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 254

Slide 254 text

No content

Slide 255

Slide 255 text

Структура

Slide 256

Slide 256 text

Структура

Slide 257

Slide 257 text

Структура

Slide 258

Slide 258 text

Структура Графики

Slide 259

Slide 259 text

Структура Графики Трассировка

Slide 260

Slide 260 text

Структура Графики Трассировка

Slide 261

Slide 261 text

Трассировка Структура Графики

Slide 262

Slide 262 text

Структура Графики Трассировка

Slide 263

Slide 263 text

Структура Графики Трассировка

Slide 264

Slide 264 text

Какие возможности Observability? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 265

Slide 265 text

Какие возможности Observability? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 266

Slide 266 text

Какие возможности Observability? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 267

Slide 267 text

client server

Slide 268

Slide 268 text

client server Привет, server!

Slide 269

Slide 269 text

client server

Slide 270

Slide 270 text

client server Привет, client!

Slide 271

Slide 271 text

client server

Slide 272

Slide 272 text

client server

Slide 273

Slide 273 text

client server

Slide 274

Slide 274 text

client server Привет, server!

Slide 275

Slide 275 text

client server

Slide 276

Slide 276 text

client server Ты кто такой, *&^*$*???!

Slide 277

Slide 277 text

client server OKAY

Slide 278

Slide 278 text

client server

Slide 279

Slide 279 text

client server

Slide 280

Slide 280 text

client server

Slide 281

Slide 281 text

client server

Slide 282

Slide 282 text

client server SAN: spiffe://cluster.local/ns/foo/sa/client

Slide 283

Slide 283 text

client server SAN: spiffe://cluster.local/ns/foo/sa/client principal

Slide 284

Slide 284 text

client server SAN: spiffe://cluster.local/ns/foo/sa/client

Slide 285

Slide 285 text

client server SAN: spiffe://cluster.local/ns/foo/sa/client

Slide 286

Slide 286 text

client server SAN: spiffe://cluster.local/ns/foo/sa/client

Slide 287

Slide 287 text

client server SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount

Slide 288

Slide 288 text

client server

Slide 289

Slide 289 text

client server istiod

Slide 290

Slide 290 text

client server istiod root

Slide 291

Slide 291 text

ca.crt != client server istiod root

Slide 292

Slide 292 text

client server istiod root

Slide 293

Slide 293 text

client server istiod root

Slide 294

Slide 294 text

client server istiod root

Slide 295

Slide 295 text

istiod root server client

Slide 296

Slide 296 text

istiod root client server

Slide 297

Slide 297 text

client istiod root server Pod

Slide 298

Slide 298 text

client istiod root server Pod Super Mesh

Slide 299

Slide 299 text

client server Pod istiod root Super Mesh

Slide 300

Slide 300 text

client server Pod Super Mesh istiod root

Slide 301

Slide 301 text

client server Pod istiod root Super Mesh

Slide 302

Slide 302 text

client Pod server istiod root

Slide 303

Slide 303 text

istiod root Pod server

Slide 304

Slide 304 text

istiod root Pod server

Slide 305

Slide 305 text

istiod root Pod CSR server

Slide 306

Slide 306 text

server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR

Slide 307

Slide 307 text

server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR

Slide 308

Slide 308 text

server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR

Slide 309

Slide 309 text

server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount CSR

Slide 310

Slide 310 text

No content

Slide 311

Slide 311 text

mypod Pod

Slide 312

Slide 312 text

mysa ServiceAccount mypod Pod

Slide 313

Slide 313 text

mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo

Slide 314

Slide 314 text

mysa ServiceAccount mypod Pod { "namespace": "foo", "name": "mysa", ... } apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo

Slide 315

Slide 315 text

mysa ServiceAccount mypod Pod mysa-token-123 Secret apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo { "namespace": "foo", "name": "mysa", ... }

Slide 316

Slide 316 text

mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo secrets: - name: mysa-token-123 mysa-token-123 Secret { "namespace": "foo", "name": "mysa", ... }

Slide 317

Slide 317 text

mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... mysa-token-123 Secret { "namespace": "foo", "name": "mysa", ... }

Slide 318

Slide 318 text

mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... { "namespace": "foo", "name": "mysa", ... } mysa-token-123 Secret

Slide 319

Slide 319 text

mysa ServiceAccount mypod Pod apiVersion: v1 kind: ServiceAccount metadata: name: mysa namespace: foo secrets: - name: mysa-token-123 apiVersion: v1 kind: Pod metadata: name: mypod namespace: foo spec: serviceAccountName: mysa ... { "namespace": "foo", "name": "mysa", ... } mysa-token-123 Secret /run/secrets/kubernetes.io/serviceaccount/token

Slide 320

Slide 320 text

server istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client ServiceAccount CSR

Slide 321

Slide 321 text

istiod root Pod SAN: spiffe://cluster.local/ns/foo/sa/client CSR server

Slide 322

Slide 322 text

istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server

Slide 323

Slide 323 text

istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server

Slide 324

Slide 324 text

istiod root Pod CSR SAN: spiffe://cluster.local/ns/foo/sa/client server

Slide 325

Slide 325 text

istiod root Pod CSR server

Slide 326

Slide 326 text

istiod root Pod CSR server

Slide 327

Slide 327 text

istiod root Pod CSR server

Slide 328

Slide 328 text

istiod root Pod CSR server

Slide 329

Slide 329 text

istiod root Pod CSR server

Slide 330

Slide 330 text

istiod root Pod CSR TokenReview server

Slide 331

Slide 331 text

istiod root Pod CSR server

Slide 332

Slide 332 text

istiod root Pod CSR server

Slide 333

Slide 333 text

server Pod istiod root CSR

Slide 334

Slide 334 text

server Pod istiod root

Slide 335

Slide 335 text

Pod istiod root server

Slide 336

Slide 336 text

Pod istiod root server

Slide 337

Slide 337 text

server Pod istiod root

Slide 338

Slide 338 text

server Pod istiod root

Slide 339

Slide 339 text

server Pod istiod root

Slide 340

Slide 340 text

Какие возможности Observability? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 341

Slide 341 text

Какие возможности Observability? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 342

Slide 342 text

Какие возможности Observability? А как на кластер? Что если что-то сломается? Так ли безопасен Mutual TLS? Что-то там было про федерацию... Как его правильно засетапить? А обновить? Как повлияет на приложение?

Slide 343

Slide 343 text

No content

Slide 344

Slide 344 text

No content

Slide 345

Slide 345 text

за 8 минут!

Slide 346

Slide 346 text

за 8 минут!

Slide 347

Slide 347 text

за 8 минут! 150+ кластеров под управлением

Slide 348

Slide 348 text

за 8 минут! deckhouse.io Ранний доступ 150+ кластеров под управлением

Slide 349

Slide 349 text

Acknowledgements Дмитрий Столяров За помощь с подготовкой контента Антон Климов За помощь с оформлением презентации

Slide 350

Slide 350 text

Спасибо! deckhouse.io Полностью идентичный Kubernetes где угодно Успех с Kubernetes с первого дня Андрей Половов Архитектор проектов Флант DevOps и Kubernetes, обслуживание 24×7 habr.com/ru/company/flant youtube.com/c/Флант flant.ru t.me/flant_ru t.me/andreypolovov andrey.polovov@flant.com