在上一篇文章中,我们分析了为什么需要对k8s出向流量进行安全管控。并分析了6大类解决方案的特点。可以清晰的看出,将外部安全设施与k8s融合是有效实现出向流量精细化管控的方案。无论是安全管控的技术实现,还是让多团队协作来落地纵深防御的思想,方案都具备了良好的支持和覆盖。 在本篇文章中,我们将具体阐述F5 Container Egress Traffic(CES)方案的一些细节与使用场景。 CES可以理解为一种解决方案,它包含一个运行在k8s内的控制器,以及运行于k8s外部的F5 AFM(虚拟或硬件F5): CES控制…
为何要进行Egress流量策略管控 2021年CNCF调查显示,全球将kubernetes用在生产环境的用户占比已达59.77%,欧洲用户更是达到了68.98%。用户正越来越多的将生产业务迁移到kubernetes环境下。Gartner 2021 Hype Cycle for Cloud Security也显示了容器与Kubernetes安全已处在”slope of Enlightenment ”阶段。这说明保护kubernetes里的应用服务正变的越来越重要。 当我们去审视运行在kubernetes中的大量微服务…
JD下单:)感谢支持。
伴随基础架构的发展,商用成品服务器(Commercial Off-The-Shelf ,COTS)中的CPU正在花费越来越多的时间用于非业务负载,越来越大的网络速率意味着CPU需要花费更多的开销在网络处理方面。全面SSL加密部署需要更多的CPU算力用于加解密。SDN的发展需要CPU处理越来越多的数据封装与解封装。云原生的发展进一步加剧了代理类中间件对CPU的消耗。 网络接口从2010年的1GbE到2012年的10GbE普及,从2016的40GbE到如今的100GbE的广泛应用,数据中心网络流量正在不断增大。这需要更…
[crayon-633d47c91f9be813048771/] CES是一种解决方案。用于帮助用户更好的管理k8s内容器出向策略。它以k8s原生方式解决了高动态IP场景下出向流量策略控制的挑战,提供丰富的出向控制策略。并通过层次化的设计解决了企业安全、网络、平台、应用运维部门之间多角色配合问题。 方案架构 组件构成 CES方案包含以下组件: CES控制:运行于k8s内的容器。该组件为控制面组件,负责将k8s内部署的出向策略转化为外部数据面组件上的配置。 F5 BIG-IP AFM: 运行于k8s外部的数据面组件。…
生来简单Load Balancing 上世纪九十年代,Internet的快速发展催生了大量在线网站,Web访问量迅速提升。在当时,一个朴实的诉求是如何提高Web网站的访问速度与能力。 彼时,在西雅图市中心斜坡上的Six Arms酒吧里,每晚都有几个年轻人在这里热烈的讨论着他们的创业梦想,他们沉迷于人机接口,研究如何突破沉浸式虚拟现实的极限。Michael Almquist便是其中的一个,他发现当时的服务器满足不了他们的需求,于是他们研究使用负载均衡来帮助解决他们遇到的问题。 1996年,F5 Labs在西雅图塔五楼…
Just got TOGAF certification. ID 152743
Nothing Just say hello for 2021 echo please if you happen to see this.
二进制flannle部署,非cni网络模式下与k8s CIS结合方案 环境描述 flannel以etcd为存储,直接使用二进制文件部署,不走cni模式的k8s集群 k8s 集群版本v1.18 CIS版本 v1.14 或 v2.1.1 结合方案 由于flannel直接以二进制安装,且以etcd为存储,因此flanneld不会给node patch 相关的flannel注解,而CIS需要读取这些annotations来了解节点的public ip, vtepmac信息来构建vxlan,因此需要手工为这些node节点增加…
用于自动化的为一个容器申请jwt token,并关联到此容器上,可以代表该容器身份。kubelet负责申请,挂载,以及更新该token。 要实现该功能需要: k8s 版本v1.12以上 kube-apiserver 中启用如下flag,具体key文件位置,以及audiences要根据实际情况配置 [crayon-633d47c920413918592971/] pod里的容器spec定义需要包含如下volumemount以及volumes定义,注意volumes定义使用的是serviceAccount…
静态挂载模式 ingressgateway的deployment中默认将名为istio-ingressgateway-certs的secret mount到/etc/istio/ingressgateway-certs下 ,然后在gateway中指明对应的crt及key的文件路径 pod volume来源: [crayon-633d47c9204ec048317187/] mount到目录: [crayon-633d47c9204ef826985434/] gateway中指定: [crayon-633d47c92…
istio 1.6.3 Gateway资源中定义的port和协议定义了在ingressgateway(envoy)中的listener port及协议处理。 但是,Gateway中的port可以填写为 ingressgateway 对应svc中的定义的port或者targetPort,最终在envoy里配置的是targetPort。 例如,Gateway中定义port为443: [crayon-633d47c9205d8424911541/] 而实际envoy中产生的配置是8443: [crayon-633d47c…
安装NGINX官方helm repo 安装过程演示
Envoy,使者,使节,代表!就像其单词含义本身一样,带着一种权威感,一种全代理的神圣感。结合其本身用途与角色,真是“人如其名”,不禁为Lyft点赞,不知是得到了哪位大师的指点来起这个名字。在当前火热的微服务时代下,Envoy是个绝对的明星,用众人皆知来形容可以说一点也不为过。曾有人问我如何看Envoy以及在云原生时代下是否Enovy将取代F5取代NGINX,作为一个经历了两次应用交付技术领域更迭浪潮的老兵,在本文中我将来浅谈一下Envoy,以及试图从个人角度来理解与回答一下这个问题。为什么说浅谈一下,这真的不是谦…
Istio注入的iptables Istio通过向业务pod中注入init容器以及envoy proxy容器实现流量的劫持与处理,init 容器运行后将在对应的linux namespace里产生以下iptables的NAT表规则 Outbound 流量控制 当业务容器将请求发往外部的时候比如productpage到reviews:9080端口访问,这个连接会被iptables进行redirect到127.0.0.1:15001端口上,进而被envoy处理 REDIRECT This target is only …
最近评论
厚嘴唇 发布于 8 个月前(02月08日)
厚嘴唇 发布于 8 个月前(02月08日)
平谷无颜祖 发布于 10 个月前(12月15日)
minw9545 发布于 11 个月前(11月18日)
minw9545 发布于 11 个月前(11月18日)
