Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
Search
taiki45
October 02, 2019
Technology
0
530
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
SPIFFE Meetup Tokyo #2
https://spiffe-jp.connpass.com/event/142393/
taiki45
October 02, 2019
Tweet
Share
More Decks by taiki45
See All by taiki45
builderscon Tokyo 2019: Intro Service Mesh
taiki45
6
2.9k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
taiki45
4
1.7k
CloudNative Days Tokyo 2019: Understanding Envoy
taiki45
3
3.2k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
taiki45
2
300
EnvoyCon 2018: Building and operating service mesh at mid-size company
taiki45
4
4.2k
Cookpad Tech Kitchen #20 クックパッドでのサービスメッシュについて
taiki45
1
2.1k
Building and operating service mesh at mid-size company
taiki45
2
2.1k
Observability, Service Mesh and Microservices
taiki45
25
6.2k
Draft: Observability, Service Mesh and Microservices
taiki45
1
570
Other Decks in Technology
See All in Technology
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
210
LayerXにおけるLLMプロダクト開発の今までとこれから
layerx
PRO
1
340
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
15k
web-application-security
matsuihidetoshi
0
170
Google Cloud Next '24 Recap(Cloud Run/k8s)
mokocm
0
230
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
380
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.7k
競技としてのKaggle、役に立つKaggle
yu4u
3
1.7k
ChatGPT for IT Service Management (IT Pro)
dahatake
7
1.6k
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
260
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.2k
DMM.com アルファ室採用案内資料
hsugita
1
150
Featured
See All Featured
What's new in Ruby 2.0
geeforr
337
31k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k
Git: the NoSQL Database
bkeepers
PRO
422
63k
Six Lessons from altMBA
skipperchong
21
3k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
21
1.6k
Web development in the modern age
philhawksworth
202
10k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
How to train your dragon (web standard)
notwaldorf
73
5.2k
The Power of CSS Pseudo Elements
geoffreycrofte
60
5k
Thoughts on Productivity
jonyablonski
58
3.8k
Transcript
Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS
Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー
• App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
None
None
Envoy Architecture 5
Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:
auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6
tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,
inline_string 7
Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の
FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8
Envoy Architecture 9 SDS server Certificates Trusted CA
Go tetrate.io/about-us/careers/ !