Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
Search
taiki45
October 02, 2019
Technology
0
690
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
SPIFFE Meetup Tokyo #2
https://spiffe-jp.connpass.com/event/142393/
taiki45
October 02, 2019
Tweet
Share
More Decks by taiki45
See All by taiki45
Mocking in Rust Applications
taiki45
2
520
Error Handling in Rust Applications
taiki45
3
470
Efficient Platform for Security and Compliance
taiki45
4
1.3k
RustでAWS Lambda functionをいい感じに書く
taiki45
2
540
builderscon Tokyo 2019: Intro Service Mesh
taiki45
6
3.2k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
taiki45
4
1.8k
CloudNative Days Tokyo 2019: Understanding Envoy
taiki45
3
3.4k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
taiki45
2
350
EnvoyCon 2018: Building and operating service mesh at mid-size company
taiki45
4
4.4k
Other Decks in Technology
See All in Technology
Alignment and Autonomy in Cybozu - 300人の開発組織でアラインメントと自律性を両立させるアジャイルな組織運営 / RSGT2025
ama_ch
1
2.4k
dbtを中心にして組織のアジリティとガバナンスのトレードオンを考えてみた
gappy50
0
180
カップ麺の待ち時間(3分)でわかるPartyRockアップデート
ryutakondo
0
130
AWS re:Invent 2024 re:Cap Taipei (for Developer): New Launches that facilitate Developer Workflow and Continuous Innovation
dwchiang
0
160
Git scrapingで始める継続的なデータ追跡 / Git Scraping
ohbarye
5
480
Oracle Exadata Database Service(Dedicated Infrastructure):サービス概要のご紹介
oracle4engineer
PRO
0
12k
デジタルアイデンティティ人材育成推進ワーキンググループ 翻訳サブワーキンググループ 活動報告 / 20250114-OIDF-J-EduWG-TranslationSWG
oidfj
0
510
JAWS-UG20250116_iOSアプリエンジニアがAWSreInventに行ってきた(真面目編)
totokit4
0
140
Accessibility Inspectorを活用した アプリのアクセシビリティ向上方法
hinakko
0
180
2025年に挑戦したいこと
molmolken
0
150
【JAWS-UG大阪 reInvent reCap LT大会 サンバが始まったら強制終了】“1分”で初めてのソロ参戦reInventを数字で振り返りながら反省する
ttelltte
0
130
「隙間家具OSS」に至る道/Fujiwara Tech Conference 2025
fujiwara3
7
6.4k
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
137
6.7k
Visualization
eitanlees
146
15k
Optimizing for Happiness
mojombo
376
70k
Gamification - CAS2011
davidbonilla
80
5.1k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
Designing Experiences People Love
moore
139
23k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
240
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
192
16k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.6k
Product Roadmaps are Hard
iamctodd
PRO
50
11k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
28
4.5k
Typedesign – Prime Four
hannesfritz
40
2.5k
Transcript
Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS
Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー
• App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
None
None
Envoy Architecture 5
Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:
auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6
tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,
inline_string 7
Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の
FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8
Envoy Architecture 9 SDS server Certificates Trusted CA
Go tetrate.io/about-us/careers/ !