Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
Search
taiki45
October 02, 2019
Technology
0
590
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
SPIFFE Meetup Tokyo #2
https://spiffe-jp.connpass.com/event/142393/
taiki45
October 02, 2019
Tweet
Share
More Decks by taiki45
See All by taiki45
Error Handling in Rust Applications
taiki45
0
93
Efficient Platform for Security and Compliance
taiki45
3
750
RustでAWS Lambda functionをいい感じに書く
taiki45
2
280
builderscon Tokyo 2019: Intro Service Mesh
taiki45
6
3k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
taiki45
4
1.7k
CloudNative Days Tokyo 2019: Understanding Envoy
taiki45
3
3.3k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
taiki45
2
300
EnvoyCon 2018: Building and operating service mesh at mid-size company
taiki45
4
4.3k
Cookpad Tech Kitchen #20 クックパッドでのサービスメッシュについて
taiki45
1
2.2k
Other Decks in Technology
See All in Technology
20240725 LLMによるDXのビジョンと、今何からやるべきか @Azure OpenAI Service Dev Day
nrryuya
3
1.2k
データベース研修 分析向けSQL入門【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
110
JBUG岡山 #6 WordCamp男木島の チームビルディング
takeshifurusato
0
150
Azure AI ことはじめ
tsubakimoto_s
0
130
ペパボのオブザーバビリティ研修2024 説明資料
kesompochy
0
1.1k
フルリモートワークはエンジニアの夢を叶えたか? #cm_odyssey
mamohacy
2
600
プレイドにおけるDatadog APMの活用方法
plaidtech
PRO
2
120
年間一億円削減した時系列データベースのアーキテクチャ改善~不確実性の高いプロジェクトへの挑戦~
lycorptech_jp
PRO
3
2.9k
Luupの開発組織におけるインシデントマネジメントの変遷 ver.RoadtoSRENEXT2024
grimoh
1
270
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
280
テスト・設計研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
170
Android研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
100
Featured
See All Featured
Bash Introduction
62gerente
607
210k
Unsuck your backbone
ammeep
666
57k
The Brand Is Dead. Long Live the Brand.
mthomps
52
36k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
353
29k
The World Runs on Bad Software
bkeepers
PRO
63
11k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
90
47k
Designing on Purpose - Digital PM Summit 2013
jponch
113
6.6k
Designing for humans not robots
tammielis
247
25k
Rebuilding a faster, lazier Slack
samanthasiow
78
8.5k
Designing for Performance
lara
604
67k
BBQ
matthewcrist
82
9k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Transcript
Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS
Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー
• App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
None
None
Envoy Architecture 5
Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:
auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6
tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,
inline_string 7
Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の
FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8
Envoy Architecture 9 SDS server Certificates Trusted CA
Go tetrate.io/about-us/careers/ !