开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Service Mesh 安全：用 Istio 应对攻击

在云计算领域，Service Mesh 是一种用于管理微服务通信和安全的网络基础设施。Service Mesh 可以提供精细的流量控制、策略执行和可观察性，以便更好地管理和保护微服务。Istio 是一种流行的 Service Mesh 实现，它可以提供丰富的功能，包括流量管理、安全、可观察性和策略执行。

在使用 Istio 应对攻击时，可以使用以下方法来提高服务的安全性：

使用 mTLS 进行服务间通信加密：mTLS 是一种基于 TLS 的加密方式，可以确保服务间通信的安全性。在 Istio 中，可以使用 mTLS 对服务间通信进行加密，以防止中间人攻击和数据泄露。
使用授权策略限制访问：Istio 提供了丰富的授权策略，可以限制服务之间的访问，以防止未经授权的访问和攻击。
使用速率限制防止 DDoS 攻击：Istio 提供了速率限制功能，可以限制服务的访问速率，以防止 DDoS 攻击和服务的过载。
使用网络策略限制流量：Istio 提供了网络策略功能，可以限制服务之间的流量，以防止攻击和数据泄露。

推荐的腾讯云相关产品：

腾讯云 TKE RegisterNode：可以用来创建和管理 Kubernetes 集群，并提供丰富的网络和安全功能。
腾讯云 TKE Anywhere：可以用来部署和管理基于 Istio 的 Service Mesh，并提供丰富的安全和策略功能。
腾讯云 Cloud Shield：可以用来防止 DDoS 攻击和其他网络攻击，并提供丰富的安全功能。

产品介绍链接地址：

腾讯云 TKE RegisterNode：https://cloud.tencent.com/product/tke/register-node
腾讯云 TKE Anywhere：https://cloud.tencent.com/product/tke/anywhere
腾讯云 Cloud Shield：https://cloud.tencent.com/product/shield

相关搜索:Istio Service Mesh 教程 Kiali——Istio Service Mesh 的可观察性工具 Kubernetes 上的 Service Mesh 实践：用 EnvoyFilter 扩展 Istio Service Mesh:在虚拟服务中使用Istio基于客户端IP路由TCP流量 Vistio—使用 Netflix 的 Vizceral 可视化 Istio service mesh 从istio service Mesh上工作节点中的服务连接到Kubernetes API Server 保持数据安全：如何应对网页抓取攻击如何使用Istio Service Mesh从Kubernetes集群内部访问外部SMTP服务器怎样用CDN防篡改、抗攻击、控内容？一份CDN安全指南请查收理解 Istio Service Mesh 中 Envoy Sidecar 代理的路由转发

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

腾讯云中间件团队在Service Mesh中的实践与探索

导语：Service Mesh 作为腾讯微服务平台（TSF）支持的微服务架构之一，产品化命名为 Mesh 微服务平台（Tencent Service Mesh Framework，简称 TSF Mesh），提供下一代微服务架构 - 服务网格（Service Mesh）的解决方案，覆盖公有云、私有云和本地化部署等多种场景。从 2018 年 8 月推出首个版本以来，已经陆续在金融、新零售、工业互联网，以及公司内部等生产环境落地。在产品落地过程中，遇到了一系列技术挑战，如非 Kubernetes 环境的支持、多租户隔离、与 Spring Cloud 服务框架的互通、海量服务实例下的域名解析等等。针对这些问题，通过自研以及社区合作，最终得以解决。本文主要从用户场景出发，以生产实践探索过程中遇到的挑战为切入点，梳理和总结应对的解决方案，以期望对 Service Mesh 的认识、对 TSF Mesh 产品的了解有所帮助。

02

Service Mesh安全：当入侵者突破边界，如何抵御攻击？| CNBPS 2020演讲实录

大家好，我是来自灵雀云的邢海涛，今天演讲的主题是Service Mesh安全，主要从四个方面来跟大家做一下分享。首先介绍Service Mesh 安全需求，然后详细介绍Istio的安全实现，随后介绍两款Service Mesh产品的安全特性：LinkerD 和 Alauda Service Mesh。希望通过这个演讲，让大家了解Istio的无代码侵入，灵活的安全解决方案，启发大家思考自己的安全解决方案，以及如何迁移到Istio的安全模型。

01

数字化 IT 从业者知识体系 | 应用技术架构 —— 服务网格架构

2013 年容器技术 Docker 开源，2014 年容器编排工具 Kubernetes 开源。2015 年，云原生计算基金会（CNCF）成立，标志着应用进入云原生时代， 2016 年 9 月 14 日，Envoy 的开源标志着应用技术架构进入到服务网格（Service Mesh）时代，2017 年 5 月 24 日，Google、IBM、Lyft 共同宣布 Istio 开源标志着进入由控制面和数据面组成的服务网格成为主流。Istio 是当前最受欢迎的服务网格技术。

04

数字化 IT 从业者知识体系 | 应用技术架构 —— 服务网格架构

2013 年容器技术 Docker 开源，2014 年容器编排工具 Kubernetes 开源。2015 年，云原生计算基金会（CNCF）成立，标志着应用进入云原生时代， 2016 年 9 月 14 日，Envoy 的开源标志着应用技术架构进入到服务网格（Service Mesh）时代，2017 年 5 月 24 日，Google、IBM、Lyft 共同宣布 Istio 开源标志着进入由控制面和数据面组成的服务网格成为主流。Istio 是当前最受欢迎的服务网格技术。

04

Istio 系列篇一 | 服务网格和 Istio

在之前的一篇文章云原生思想中，说过软件架构是从单体 -> 微服务 -> 基于 k8s 上的微服务 -> 服务网格逐步演进的。

03

应用服务网格（Service Mesh）应对微服务中面临的三种挑战

微服务适用于开发运维（DevOps），可是这些架构依赖的服务到服务通信在生产环境下运行和管理起来很复杂。这时候Service Mesh闪亮登场了：这是企业扩展、保护和监控应用程序的最佳方式。

04

构建基于 Spring Cloud 向 Service Mesh 框架迁移的解决方案及思路

作为新一代微服务架构体系，Service Mesh 技术有效地解决了 Spring Cloud 微服务架构和服务治理过程中的痛点问题，一经推出便引起了很大的反响。近一年来，伴随着云原生的热火朝天，Service Mesh 被推向了巅峰，从陌生走向大家的视界，甚至一些初创企业都想从中获得第一桶金。对于初创企业或全新产品，选择 Service Mesh 变得相对轻松很多，毕竟不存在迁移的问题。但对于大部分企业或成熟的产品体系，这样大的架构转型就变得很难以实施，需要多加权衡利弊，面对 Service Mesh 带来的好处，不得不迫使向它靠拢。

03

全面对比指南：Service Mesh能否成为下一代SDN

作者：James Kelly 译者：月满西楼原题：Are Service Meshes the Next-Gen SDN? 全文7500字，阅读约需要18分钟 2017年6月28日更新: 了解更

06

译文：Istio Ambient 模式安全架构深度解析

深入分析刚刚公布的 Istio ambient mesh（Istio 的一个无 sidecar 数据平面）对于服务网格的安全来说意味着什么。

02

构建基于Spring Cloud向Service Mesh框架迁移的解决方案及思路

作为新一代微服务架构体系，Service Mesh 技术有效地解决了 Spring Cloud 微服务架构和服务治理过程中的痛点问题，一经推出便引起了很大的反响。近一年来，伴随着云原生的热火朝天，Service Mesh 被推向了巅峰，从陌生走向大家的视界，甚至一些初创企业都想从中获得第一桶金。对于初创企业或全新产品，选择 Service Mesh 变得相对轻松很多，毕竟不存在迁移的问题。但对于大部分企业或成熟的产品体系，这样大的架构转型就变得很难以实施，需要多加权衡利弊，面对 Service Mesh 带来的好处，不得不迫使向它靠拢。

02

干货 | 携程Service Mesh可用性实践

本文作者烧鱼、Shirley博，来自携程Cloud Container团队，目前主要从事Service Mesh在携程的落地，负责控制面的性能优化及可用性建设，以及推进各类基础设施服务的云原生化。

01

微服务进阶之路，容器落地避坑指南

编者按：容器和容器的编排仅仅是部署和运行的基础平台，开发人员需要关注更多的是部署在平台上的应用。容器时代，应用架构发生了巨大变化，如果要让应用在容器上发挥其最大的功效，我们就必须走上微服务道路。然而，容器落地的过程中路多坑更多，微服务进阶之路需要更多经验之谈。

02

企业级服务网格架构之路解读|Service Mesh在会话层解耦

这是一本由Nginx赞助，O’Reilly出版社出品的关于服务网格的书籍，本书标题是 The Enterprise Path to Service Mesh ，还有个副标题 Decoupling at Layer 5 ，第一版发行于2018年8月8日。这本书一共61页，本文是我对该书的一些解读，读者可以在Nginx的网站上免费下载阅读完整内容。

03

Service Mesh到底解决什么问题

最近在学习Service Mesh，也系统看了下它的原理以及演进过程，算是对Service Mesh 有了一个认识，便尝试着整理下Service Mesh一些文章，而这篇文章也是本系列的第一篇文章。

03

【云原生攻防研究】Istio访问授权再曝高危漏洞

在过去两年，以Istio为代表的Service Mesh的问世因其出色的架构设计及火热的开源社区在业界迅速聚集了一批拥簇者，BAT等大厂先后也发布了自己的Service Mesh落地方案并在生产环境中部署运行。Service Mesh不仅可以降低应用变更过程中因为耦合产生的冲突（传统单体架构应用程序代码与应用管理代码紧耦合），也使得每个服务都可以有自己的团队从而独立进行运维。在给技术人员带来这些好处的同时，Istio的安全问题也令人堪忧，正如人们所看到的，微服务由于将单体架构拆分为众多的服务，每个服务都需要访问控制和认证授权，这些威胁无疑增加了安全防护的难度。Istio在去年一月份和九月份相继曝出三个未授权访问漏洞（CVE-2019-12243、CVE-2019-12995、CVE-2019-14993）[12]，其中CVE-2019-12995和CVE-2019-14993均与Istio的JWT机制相关，看来攻击者似乎对JWT情有独钟，在今年2月4日，由Aspen Mesh公司的一名员工发现并提出Istio的JWT认证机制再次出现服务间未经授权访问的Bug，并最终提交了CVE，CVSS机构也将此CVE最终评分为9.0[6]，可见此漏洞之严重性。

02

框架Left，网格Right，微服务之出路

云原生时代的微服务，在过去的2020年：有坚守，亦有破局。服务框架依然在持续进化和奔向云原生，Service Mesh 在持续进步的同时依旧疑点重重。总体而言，微服务架构的演进并非一蹴而就，过于保守或激进都不是解决之道。

03

全方位解读服务网格（Service Mesh）的背景和概念

一直以来“微服务”都是一个热门的词汇，在各种技术文章、大会上，关于微服务的讨论和主题都很多。对于基于 Dubbo、SpringCloud 技术体系的微服务架构，已经相当成熟并被大家所知晓，但伴随着互联网场景的复杂度提升、业务快速变更以及快速响应，如何快速、稳定、高效的应对变幻莫测的业务市场需求，这类技术体系（如：Spring Cloud）的传统微服务架构就变得力不从心，此时微服务架构再次升级，将服务网格作为了新一代微服务架构。

06

美团下一代服务治理系统 OCTO2.0 的探索与实践

本文根据美团基础架构部服务治理团队工程师郭继东在2019 QCon（全球软件开发大会）上的演讲内容整理而成，主要阐述美团大规模治理体系结合 Service Mesh 演进的探索实践，希望对从事此领域的同学有所帮助。

02

译文：重磅消息 - Istio 引入 Ambient Mesh 模式

译者按：Istio 于2022年9月7日宣布了一种全新的数据平面模式 “ambient mesh”（ambient 意思是“环境的”，这里指 ambient mesh 使用了环境中的共享代理而不是 sidecar，下文直接使用英文原文），简单地讲就是将数据面的代理从应用 pod 中剥离出来独立部署，以彻底解决 mesh 基础设施和应用部署耦合的问题。该变化是 Istio 自创建以来的第二次大的架构变动，也说明 Istio 社区在持续创新，以解决 service mesh 生产中面临的实际问题。

02

爬虫系统化课程kubernetes插件开发的六大方向(上)

kubernetes 已经成为云原生的行业标准，现在几乎所有行业所有公司的所有业务都在基于云进行部署，拓展。但是很多咨询学员其实对于云原生并不太感冒，觉得挺没技术含量的，yml 文件或者 yaml 文件相较于市面上存在的其它语言，它属于声明式的，不需要太多逻辑，就是一个通过不断使用就可以熟练的过程，纯记忆的东西，毫无艺术可言，掌握这些东西，并不会对自己的开发思维和编码能力带来影响。

01

Istio的流量管理(实操三)

涵盖官方文档Traffic Management章节中的egress部分。其中有一小部分问题(已在下文标注)待官方解决。

02

每周云安全资讯-2023年第35周

Microsoft PowerShell Gallery 代码存储库上的软件包命名策略过于宽松，这将为大规模供应链攻击奠定基础。

03

k8s-服务网格实战-配置 Mesh（灰度发布）

在上一篇 k8s-服务网格实战-入门Istio中分享了如何安装部署 Istio，同时可以利用 Istio 实现 gRPC 的负载均衡。

02

云原生环境下的API业务安全思考

针对单体架构的应用，安全防护往往在边界网关设备处。随着业务需求的不断变化以及技术的持续更新，企业应用开始从单体架构向微服务架构转变。不同应用模块可以根据业务规模进行动态扩缩容，与此同时，微服务应用也为API安全防护带来了新的挑战。

02

Weibo Mesh的发展

微博从2013年开发了Java语言的Motan RPC框架，基于此完成了服务化改造。Motan从2013年上线至今经历过每个热点事件，三节高峰的挑战，稳定性和可靠性都得到了实际场景的验证。这些经历之下微博Motan也积累了一套服务治理型RPC的服务化体系。

03

【译文连载】理解Istio服务网格（第五章混沌测试）

第5章混沌测试................................................................................................. 1

02

eBPF 如何简化服务网格

本文译自 How eBPF Streamlines the Service Mesh[1]。

02

构建基于Service Mesh 的云原生微服务框架

目前很多企业还是采用基于 SDK 的传统微服务框架进行服务治理，而随着 Service Mesh 的普及，越来越多的企业开始布局自己的 Service Mesh 框架体系，但多数企业刚开始不会激进地将所有业务迁移至 Serivice Mesh，像 Java 系应用依然保留原框架，而非 Java 系应用采用 Mesh 框架，不同开发语言可以用不同的技术框架，但业务不能被框架割裂，那在两种架构体系下应用服务如何互联互通？微服务如何统一治理？传统微服务又如何平滑迁移至 Service Mesh 呢？腾讯

04

构建基于Service Mesh 的云原生微服务框架

腾讯为了解决以上的技术问题，自研了 TSF Mesh 微服务框架。也许有人会问，开源 Istio 已经是比较完善的 Service Mesh 方案了，为什么要再造一个 Mesh 微服务框架？和原生 Istio 什么区别呢？

02

Service Mesh - Istio实战篇（上）

如下图所示，我们要部署一个由两个服务组成的Mesh，除此之外还会有一个网关和一个外部服务，可以说是精简且完整了：

02

Service Mesh：微服务架构的救世主还是多余的花招？

在前面，我们提出了一个问题：随着模块和节点的增多，微服务之间难免会遇到各种网络问题。为了解决这些问题，目前有一个解决方案，即使用Spring Cloud中的各个组件。然而，这种解决方案不仅需要更多的学习成本，而且对代码有一些要求，比如必须使用Java开发。这就导致了系统的单一性。因此，今天我们将讨论一下服务网格Service Mesh。

02

【Service Mesh资料整理】可能是目前最全的

Service mesh ，中文译作“服务网格”，一般情况下不翻译，因为太别扭，不禁让人想起当年的网格计算和志愿计算等概念。Service mesh 可能是今年关于服务化或微服务最火的概念了，甚至打上了下一代微服务的标签。本文整理收集了目前网络上几乎所有高质量的内容，希望能帮助你从入门到迷茫！ ❖: 本文链接涉及的具体内容整理自网络，版权归原作者所有。

01

服务网格比较：Istio vs Linkerd

本文译自 Service Mesh Comparison: Istio vs Linkerd[1]，作者 Anjul Sahu，译者张晓辉。

02

【Service Mesh资料整理】可能是目前最全的

Service mesh ，中文译作“服务网格”，一般情况下不翻译，因为太别扭，不禁让人想起当年的网格计算和志愿计算等概念。Service mesh 可能是今年关于服务化或微服务最火的概念了，甚至打上了下一代微服务的标签。本文整理收集了目前网络上几乎所有高质量的内容，希望能帮助你从入门到迷茫！ ❖: 本文链接涉及的具体内容整理自网络，版权归原作者所有。

03

漫谈腾讯微服务平台 TSF Mesh 统一容器和虚拟机之路

随着业务的增长，一些传统企业对诸如灰度发布、服务路由、服务熔断、服务限流等服务治理的需求越来越强烈，但他们又不想对业务代码做大量的改造，因而 Service Mesh 成了他们比较好的选择；不幸的是业内比较成熟能落地的 Service Mesh 方案如 Istio 都是基于各种容器平台构建的，而这些传统企业很多没有接入容器平台也不想做容器化改造，这就导致 Service mesh 很难应用于这些传统企业或者一些非容器化的场景。

05

The obstacles to put Istio into production and how we solve them

I have been following the Istio project from its early stage. Over time, it turned out Istio has a good architecture, an active community, promising features and also strong support from big companies. So, after its 1.0 release, our team has begun the efforts to integrate Istio into our system. This article tells our findings and thoughts during this adventure.

03

《Istio 服务网格在生产环境的实践与挑战》

🐯 猫头虎博主来报道！随着微服务架构的普及，服务网格成为了现代云原生应用的关键组件。最近，越来越多的读者在搜索 “Istio 基础”、“服务网格实践” 或 “Istio 生产环境部署”。因此，我决定深入研究 Istio 服务网格在生产环境中的实践与挑战。本文将带你了解 Istio 的核心功能、实际部署过程及其面临的挑战。🚀

01

Service Mesh实战（Istio）

01 介绍构建微服务是每个开发者都会面对的问题如何管理好服务间的网络通信？云原生架构三架马车 Kubernetes：云原生操作系统 Service Mesh：应用的网络通信层，让应用与服务通信解耦，让开发者只关注业务 Serverless：让应用不用关注机器与实例学完收获深入地理解 Service Mesh技术的概念、核心功能、实践方法熟练掌握istio在流量控制、安全、服务可观测性等方面的功能将Service Mesh技术应用到项目中，解决现有系统服务通信方面的痛点理解系统要点、技术发展趋

Service Mesh未来发展趋势浅析

一. Service Mesh背景及定义 2017 年底，Service Mesh依托其非侵入式特性在微服务技术中崭露头角， Service Mesh 又译作“服务网格”，作为微服务间通信的基础设施

06

网易轻舟如何基于 Istio 实现微服务架构演进

网易轻舟是一站式云原生软件生产力平台，覆盖开发、构建、发布、上线运行、治理和运维等环节，源自网易内部的大规模互联网业务实践，经过金融、制造、物流等行业客户的生产环境验证。

02

推荐4款好用到哭的Kubernetes工具和框架

Kubernetes工具和框架是发挥Kubernetes技术的重要组成部分，可帮助满足各种需求并增强你的体验，因此在做技术选型的时候，我们需要选择一个最优的工具、最稳的框架。

02

全方位详解Service Mesh（服务网格）

在数字化转型的旗帜下，IT界的一大变化是大型单体应用程序被分解为微服务架构，即小型、离散的功能单元，并且这些应用程序在容器中运行。包含所有服务代码以及依赖项的软件包被隔离起来，并且能轻松从一个服务器迁移到另一个。

03

Aeraki Mesh

Aeraki [Air-rah-ki] Mesh is an open-source service mesh I started about a year ago, and have been working on it till recently. Aeraki is the Greek word for ‘breeze’. While Istio connects microservices in a service mesh, Aeraki Mesh provides a non-intrusive, highly extendable way to allow Istio to support none-HTTP open-source and proprietary protocols. I hope this breeze can help Istio and service mesh sail a little further.

02

负载均衡续：万亿流量场景下的负载均衡实践

正是由于这些专门针对数据包的高性能支持，才得以实现性能优良的负载均衡器来支撑多年双11场景下的脉冲流量的压力。

03

service mesh：你需要知道的3件事

最近，“service mesh”一词在关于容器化和云原生应用的讨论中逐渐增加。service mesh出现在2018年一个专家的网络预测列表中，最近的Interop ITX会议上也提到了这个话题。

04

IstioCon 2021: How to Manage Any Layer-7 Traffic in an Istio Service Mesh?

备注：本文根据腾讯云赵化冰和知乎唐阳在 IstioCon 2021 中的演讲 “How to Manage Any Layer-7 Traffic in an Istio Service Mesh?”

02

istio 是啥？一文带你简单了解！

如果你比较关注新兴技术的话，那么很可能在不同的地方听说过 istio，并且知道它和 service mesh 有着牵扯。这篇文章是我之前在公司内部做过的分享，可以作为了解 istio 的入门介绍，了解什么是 istio，istio 为什么最近这么火，以及 istio 能够我们带来什么好处。

01

五分钟k8s实战-Istio 网关

在上一期 k8s-服务网格实战-配置 Mesh 中讲解了如何配置集群内的 Mesh 请求，Istio 同样也可以处理集群外部流量，也就是我们常见的网关。

02

4 款经典好用的Kubernetes工具和框架

Kubernetes工具和框架是发挥Kubernetes技术的重要组成部分，可帮助满足各种需求并增强你的体验，因此在做技术选型的时候，我们需要选择一个最优的工具、最稳的框架。

02

Istio 知多少 | 下一代微服务的守护者

在写完eShopOnContainers 知多少[12]：Envoy gateways后，就一直想进一步探索Service Mesh，最近刚在极客时间上学完《Service Mesh入门》，又大致浏览了一遍官方文档，对Istio也算有了基本的认识。下面就根据自己的理解对Istio进行简单的梳理，算是对知识的总结吧。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭