联邦信任域是SPIFFE和SPIRE最高需求和活跃开发的功能之一。在这篇博文中,我将概述我们当前的计划以及实施它的挑战。
项目被领先的云原生公司使用,包括彭博、字节跳动、Pinterest 和 Twilio 等
SPIFFE目前被各种项目用于发行(issue)和消费(consume)SPIFFE ID。
大概很多人和我一样,是从 Istio 那里听说 SPIFFE(读音 Spiffy [ˈspɪfi]) 的,Istio 中用 SPIFFE 方式为微服务提供身份。SPIFFE 全称为 Secure Production Identity Framework For Every one,顾名思义,这是一个解决身份问题的框架;而 SPIRE 则是 SPIFFE 的一个实现,全称为 SPIFFE Runtime Environment。
之前对 SPIFFE 和 SPIRE 进行了一个相对全面/啰嗦的介绍,这一篇就反过来,用一个简单的例子来展示 SPIRE 的基本用法,本文中会以 NGINX 作为服务生产方,使用 Ghostunnel 当做 NGINX 的反向代理,把原有的 HTTP 通信升级为支持定期正顺轮转的双向 TLS 认证协议,并且用 CURL 使用客户端证书来通过 Ghostunnel 安全地访问背后的 NGINX。这里为 CURL 和 NGINX 提供证书以及轮转的,就是 SPIRE 的 Server 和 Agent。
SPIRE 的容量是有限的,随着工作负载强度的不同,需要有不同的规模。一套 SPIRE 中的 Server 部分,可能由一或多个共享数据存储的 SPIRE Server 组成;还可以是同一信任域的多个 SPIRE Server;至少有一个 SPIRE Agent,当然,多数时候是多个 Agent。 部署规模和负载规模相关。单个 SPIRE Server 能够承载一定数量的 Agent 和注册项。SPIRE Server 负责管理和签发注册项的身份,因此它的内存和 CPU 消耗是随着负载注册条目的数量线性增长的。单一的 SPIRE Server 部署还可能导致单点失败。
几年前,CNCF 开始为项目执行和开源第三方安全审计,以提高我们生态系统的整体安全性。这些审计有助于识别安全问题,从一般的弱点到关键的漏洞,并为项目维护者提供了解决已识别的漏洞并添加文档以帮助用户的路线图。
微服务通过将应用程序分解为更小的、独立的部分来提高单个开发团队的生产力。然而,仅使用微服务并不能解决诸如服务发现、身份验证和授权等古老的分布式系统问题。事实上,由于微服务环境的异构性和短暂性,这些问题往往更为严重。
该博客描述了 Cilium 如何在不使用 Sidecar 的情况下提供服务网格。在这篇博客中,我们将扩展 mTLS 的主题,并研究 Cilium 如何提供具有出色安全性和性能特征的基于 mTLS 的无边车身份验证。
Kubernetes工作负载采用的新双向认证机制存在最终一致性问题,这可能带来安全隐患。
本文将继续介绍 ambient 模式下四层流量处理的实现机制。本文将以 bookinfo 应用中 productpage 访问 reviews 的请求路径为例来分析一个请求从 client 端发出到 server 端处理的四层流量处理流程。
本文将继续介绍 ambient 模式下四层流量处理的实现机制。本文将以 bookinfo 应用中 productpage 访问 reviews 的请求路径为例进行分析,以理清一个请求从 client 端发出到 server 端处理的完整流程。
该文为前期热门文章《eBPF将如何提供服务网格解决方案--告别sidecar》的后续。其介绍了Cilium提供非sidecar模式的服务网格的解决方案。在本篇文章中,我们将目光扩展到mTLS的主题上,并研究Cilium如何提供基于mTLS非sidecar模式的双向认证,其同时具备出色的安全性和性能优势。
这是一个系列文章,将会通过七篇内容和大家一起聊聊 Kubernetes 中的证书管理。
这篇博文还是围绕 API 网关和服务网格的。虽然现在2020年了,围绕这个话题依然有大量的困惑。我之所以选择写这个话题是,为了帮助大家带来真正具体的解释,有助于澄清分歧,重合的地方以及何时使用哪一种方式。如果感觉我解释不清楚,或者不认可我说的,亦或者要请我喝啤酒(或者都有),请随时联系我(我的twwiter:@christianposta)。
1 重新审视 Lambda 持久性攻击 与传统的基于服务器的环境相比,无服务器环境是一个非常不同的目标。本文将介绍如何在AWS的Lambda 中进行攻击持久化操作。。 https://frichetten.com/blog/revisiting_lambda_persistence/ 2 攻击者视角详谈K8S集群安全 本文将介绍集群中的横向攻击、K8S管理平台攻击、镜像仓库攻击、第三方组件攻击等攻击点。 https://tutorialboy24.blogspot.com/2022/09/a-detaile
这次介绍的是在 SPIRE Server 和 Vault Server 之间建立 OIDC 联邦的方法。设置联邦之后,SPIRE 认证的工作负载就能使用 JWT-SVID 来通过 Vault Server 的认证。这样工作负载就无需使用 AppRole 或者用户名密码的方式来进行认证了。
安全是一个非常重要的话题,但也是平时容易被忽略的一个话题,我们在开发应用的时候,往往会忽略安全,但是当应用上线后,安全问题就会暴露出来,这时候就会造成很大的损失。Istio 通过在服务之间注入 Sidecar 代理,来实现对服务之间的流量进行控制和监控,从而实现服务之间的安全通信。
Istio 为 Service Mesh 中的微服务提供了非常丰富的统计指标(Metrics),这些指标可以让运维人员随时监控应用程序中服务的健康状况,在系统出现线上故障之前就发现潜在问题并进行处理。本文将介绍 Istio Metrics 的实现机制,以帮助读者深入了解其原理。
CNCF技术监督委员会[1](TOC)已投票接受 in-toto 作为 CNCF 的孵化项目。
CNCF 技术监督委员会(TOC)已经投票接受cert-manager[1]作为 CNCF 孵化项目。
5 月 2 日,容器领域最大峰会之一 KubeCon + CloudNativeCon Europe 2018 在丹麦的哥本哈根盛大举行。本次 KubeCon + CloudNativeCon 议题数接近 300,这场技术盛会吸引了来自各大云计算领先公司的技术大咖及 Kubernetes 爱好者近 4300 人,堪称历年之最。本文将对 KubeCon 首日 6 大重磅 Keynote 进行深度解读,带你从技术角度全面思考 KubeCon! 数字说进展 大会一开始,CNCF 执行董事 Dan Kohn 就以一
安全是 Dapr 的基础,本文我们将来说明在分布式应用中使用 Dapr 时的安全特性和能力,主要可以分为以下几个方面。
今天,我们将加快进度,来对Provisioning这一层的项目做一下概览。Provisioning层是一种工具性质的项目,能一定程度上提升Kubernetes的综合能力,尤其是镜像管理和安全性。
组合的证书验证上下文包含默认的CertificateValidationContext和SDS配置。当SDS服务器返回动态CertificateValidationContext时,动态和默认的CertificateValidationContext都将合并到新的CertificateValidationContext中以进行验证。此合并是通过Message::MergeFrom()完成的,因此动态的CertificateValidationContext会覆盖默认CertificateValidationContext中的单个字段,并将重复的字段连接到默认CertificateValidationContext中。
这个博客最初是由Ayrat Khayretdinov在CloudOps博客上发布
前面关于 SPIRE 的内容中,介绍了使用 JOIN Token 证实节点身份的方法。这种方法比较简易,但是完全依赖 SPIRE Server/Agent 的“内循环”,并不利于外部管理,同时每次节点更新,都要照本宣科的重来一遍。对于动态集群来说,这种方式并不理想,SPIRE 包含了面向 OpenStack、几大公有云以及 TPM 等的花钱证实节点身份的方案;除了这些之外,还有个经济型的证实方法——使用 SSH。
Ambient 是 Istio 刚刚宣布支持的一种新的数据面模式,在本篇文章中,我们将尝试安装 Istio 的 ambient 模式,并采用 bookinfo demo 来体验 ambient 提供的 L4 和 L7 能力。
Crossplane 是一个面向混合云场景的应用与云服务管理控制平面,它致力于基于 K8s 声明式 API,遵循开放应用模型标准对应用进行管理与交付,并通过独有的机制对云服务以云平台无关的、最终用户友好的方式进行抽象与管理。这种由 Kubernetes 社区最先提出的控制平面方法,正在改变平台团队如何自动化基础设施,并通过自助服务供应使开发人员能够更快地构建。
🎉大家好!猫头虎博主今天带来了一篇热门话题——服务网格!虽然服务网格为云原生应用提供了强大的网络能力,但在实施过程中,它也带来了一系列挑战。在这篇文章中,我们将深入探讨这些挑战,并提供相应的解决方案。对于关心微服务、服务网格和云原生技术 热门词汇的朋友,这篇文章绝对不能错过!🚀
Istio 为网格中的微服务提供了较为完善的安全加固功能,在不影响代码的前提下,可以从多个角度提供安全支撑,官方文档做了较为详细的介绍,但是也比较破碎,这里尝试做个简介兼索引,实现过程还是要根据官方文档进行。
Ambient is a new data-plane model that Istio has just announced support for. In this post, we will try to install Istio’s ambient model and use the bookinfo demo to experience the L4 and L7 capabilities offered by ambient.
----Donald Knuth《结构化编程与go to语句》
CNCF再次非常兴奋地参加即将到来的LFX[1](之前的CommunityBridge)春季学期,学期从3月1日到5月31日。我们有15个毕业、孵化和沙箱项目,其中有35个项目创意可供学员使用。LFX与谷歌Summer of Code和Outreachy类似,它是一个平台,为有兴趣参与开源项目的开发人员提供带薪实习和指导的机会。
加州旧金山-2020年6月1日-为云原生软件构建可持续生态系统的CNCF®(Cloud Native Computing Foundation®,云原生计算基金会)今天宣布,云原生专家Priyanka Sharma将加入CNCF担任其新任总经理。
随着云计算的蓬勃发展,云原生概念被提出并快速发展,公司内部也在推进使用云原生技术进行架构优化,研发模式和基础设施都发生了很大的变化,新的k8s和容器技术正逐步取代传统的物理机和虚拟机。
2022年9月3日,微软、英特尔、Dapr中国社区与阿里云,联合发起首届Dapr分布式运行时开发者日。10余位大咖加盟,神秘Dapr秘籍分享,解放更多开发者,让开发回归业务,让创新回归技术,期待你的到来!
本系列文章将介绍用户从 Spring Cloud,Dubbo 等传统微服务框架迁移到 Istio 服务网格时的一些经验,以及在使用 Istio 过程中可能遇到的一些常见问题的解决方法。
作者赵化冰,腾讯云高级工程师,Istio contributor,ServiceMesher管理委员,热衷于开源、网络和云计算。目前主要从事服务网格的开源和研发工作。 本系列文章将介绍用户从 Spring Cloud,Dubbo 等传统微服务框架迁移到 Istio 服务网格时的一些经验,以及在使用 Istio 过程中可能遇到的一些常见问题的解决方法。 什么是『无头服务』? 『无头服务』即 Kubernetes 中的 Headless Service。Service 是 Kubernetes 对后端一组提供
随着 Uber 的业务持续增长,我们用了 5 年时间扩展 Apache Hadoop(本文中称为“Hadoop”),部署到了 21000 多台主机上,以支持多种分析和机器学习用例。我们组建了一支拥有多样化专业知识的团队来应对在裸金属服务器上运行 Hadoop 所面临的各种挑战,这些挑战包括:主机生命周期管理、部署和自动化,Hadoop 核心开发以及面向客户的门户。
Go 中的 for 循环可以使用 continue, break 进行控制,同时也可以标签
问卷链接(https://www.wjx.cn/jq/97146486.aspx)
PART ONE 概 述 提案征集 (CFP) 现已开放。 提交提案[1] 如果您没有使用过 CFP 系统,您需要在提交前注册并创建一个账户。 请在首次提交前创建您的账户[2]。谢谢! 请阅读本页每个标签中的信息,了解提交过程的重要细节,包括新的申请要求和申请流程的变更。有关提案征集流程的任何问题,请发送电子邮件至 cfp@cncf.io。 Overview The Call for Proposals (CFP) is now open. SUBMIT A PROPOSAL[3] If you
零信任是一种网络安全新范式,被一些世界上最大和技术先进的组织所采用,包括谷歌、微软。该技术几乎适用于所有技术平台和基础架构,Kubernetes 也不例外。
云原生策略执行引擎被高盛、Netflix、Pinterest和T-Mobile等组织用于生产
CNCF技术监督委员会[1](TOC)投票通过了将 KEDA 作为 CNCF 孵化项目的决定。
Istio 服务网格从逻辑上分为数据平面和控制平面,因为Istio是Envoy的控制平面。
部署 httpbin 服务,同样,官方demo已经提供了该配置文件,执行如下命令应用即可:
CNCF技术监督委员会[1](TOC)已投票接受 OpenMetrics 作为 CNCF 的孵化项目。
领取专属 10元无门槛券
手把手带您无忧上云