Service Mesh 实战 
11858 人已学习
新⼈⾸单¥59
课程目录
已完结/共 41 讲
第一章:理论篇 (6讲)
时长 06:20
时长 03:15
时长 12:21
第二章:Istio入门篇 (5讲)
时长 14:32
时长 08:51
时长 08:50
时长 08:27
第三章:实验篇 (19讲)
时长 17:50
时长 08:25
时长 09:17
时长 08:32
时长 09:14
时长 12:41
时长 09:43
时长 10:22
时长 09:50
时长 10:06
时长 12:03
时长 13:07
时长 09:23
时长 12:35
时长 14:16
时长 11:30
时长 10:28
时长 12:07
第四章:实战篇 (11讲)
时长 20:47
时长 21:30
时长 16:36
时长 14:20
时长 16:25
时长 14:09
时长 17:23
时长 22:44
时长 19:12
时长 15:26
时长 06:58
Service Mesh 实战
登录|注册
当前播放: 29 | 双重保障:为应用设置不同级别的双向TLS
00:00 / 00:00
高清
- 高清
1.0x
- 2.0x
- 1.5x
- 1.25x
- 1.0x
- 0.75x
- 0.5x
付费课程,可试看
01 | 课程介绍
02 | 内容综述
03 | Service Mesh的起源:为什么会出现Service Mesh技术?
04 | Service Mesh的发展:Service Mesh技术是如何演进的?
05 | 微服务通信的济世良方:什么是Service Mesh?它能帮你做什么?
06 | 列王的纷争:市面上有哪些主流的Service Mesh产品?
07 | 王者的诞生:为什么Istio有如此高的呼声?
08 | Istio的自我救赎:为什么Istio发生了两次重大的架构变更?
09 | 核心功能之流量控制:Istio是如何实现流量控制功能的?
10 | 服务的可观察性:如何理解服务可视化的重要性?
11 | 保卫你的网格:Istio是如何设计安全架构的?
12 | 安装与部署:如何安装Istio?它都支持哪些环境和部署方式?
13 | 动态路由:用Virtual Service和Destination Rule设置路由规则
14 | 网关:用Gateway管理进入网格的流量
15 | 服务入口:用Service Entry扩展你的网格服务
16 | 流量转移:灰度发布是如何实现的?
17 | Ingress:控制进入网格的请求
18 | Egress:用Egress实现访问外部服务
19 | 超时重试:提升系统的健壮性和可用性
20 | 熔断:“秒杀”场景下的过载保护是如何实现的?
21 | 故障注入:在Istio中实现一个“Chaos Monkey”
22 | 流量镜像:解决线上问题排查的难题
23 | 洞察你的服务:使用Kiali观测你的微服务应用
24 | 指标:使用Prometheus收集指标
25 | 监控:使用Grafana查看系统的整体状态
26 | 日志:如何获取Envoy的日志并进行调试
27 | 分布式追踪:使用Jeager对应用进行分布式追踪
28 | 守卫网格:配置TLS安全网关
29 | 双重保障:为应用设置不同级别的双向TLS
30 | 授权策略:如何实现JWT身份认证与授权?
31 | 实战演练(一):项目准备和构建过程
32 | 实战演练(二):实现自动化灰度发布
33 | 实战演练(三):提升系统的弹性能力
34 | 实战演练(四):配置安全策略
35 | 实战演练(五):收集指标并监控应用
36 | 实战演练(六):集成 ELK Stack 日志套件
37 | 实战演练(七):集成分布式追踪工具
38 | 调试工具和方法:调试网格的工具和方法有哪些?
39 | 实践经验总结:实际落地中的常见问题有哪些?
40 | 未来架构——从Service Mesh迈向云原生
41 | 结果测试&结束语
本节摘要
登录 后留言
全部留言(5)
- 最新
- 精选
Geek_b70b14
请问老师enable mtls后, client pod sleep和server pod httpbin会相互认证各自证书, 但在实际部署中在sleep和httpbin pod中没有找到各自证书.
1.请问老师enable mtls后 workload的证书在哪里能看到, 是在某个secret么?
2.workload的证书是会rotation生成, 想问下如何修改使得生成的workload证书加密算法是SHA384和3072bit长度, 我看官网只能用openssl修改生成CA证书的算法(修改下官网给的生成CA的配置文件即可), 但是之后部署istio和httpbin发现生成的workload证书又变成2048bit和SHA256长度了. 参考:https://istio.io/latest/docs/tasks/security/cert-management/plugin-ca-cert/, 如何操作修改生成的workload证书算法长度.
非常感谢!!!
作者回复: 1. 可以通过 istioctl pc secret <pod name> -o json 查看 2. 1.5之后SDS服务默认开启,会自动管理证书。如果你要在mesh内部手动挂载证书可能需要关闭sds(但这个需求很奇怪,mesh内部应该是可信的);如果你是指在gateway层面的,参考https://istio.io/latest/docs/tasks/traffic-management/ingress/secure-ingress/
2021-01-25
吴承祖
应用间内部为什么一般需要用双向呢,是不是太影响性能了,集群内部应该跟外部网络是隔离的吧,感觉不用任何加密也没问题呀
作者回复: 没错,一般内部系统都是可信的,不需要mTLS。不过不排除有这样的需求,比如你的系统要和财务等更高安全要求的系统对接。
2020-12-21
2
Geek_66dcc6
老师,我本地用nodeport 的方式安装istio:安装命令如下:
istioctl install --set addonComponents.grafana.enabled=true --set addonComponents.kiali.enabled=true --set addonComponents.tracing.enabled=true --set values.global.jwtPolicy=first-party-jwt
安装好后,我想看下ingressgw 的外部访问情况,用第一节示例中的bookinfo 的例子,访问 http://xxx/productpage
在ingressgw 的log 中是下面的log:
TLS error: 67108971:RSA routines:OPENSSL_internal:BLOCK_TYPE_IS_NOT_01 67109000:RSA routines:OPENSSL_internal:PADDING_CHECK_FAILED 184549382:X.509 certificate routines:OPENSSL_internal:public key routines 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED" 0 91 35 - "172.28.32.124" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "f7650949-8a7f-4fef-8e73-a45be023622c" "172.28.32.124:31937" "10.42.1.14:9080" outbound|9080||productpage.default.svc.cluster.local - 10.42.1.33:80 172.28.32.124:51684 - -
这个是tls 的问题吗?该怎么解决这个问题呢
作者回复: 在destinationrule先关闭tls看一下,tls: mode: DISABLE 也可以进入调用服务的envoy的log看看什么日志,必要的话可以开debug模式看
2020-07-06
xyz
29课 双向mtls使用场景能讲一下吗 按说mtls是加密访问的 比如我购买一个云厂商的k8s集群,然后发布应用,如果不使用mtls,有什么安全隐患呢,能举例说一下吗
作者回复: 双向一般用于应用内部的服务之间通信,毕竟速度要慢
2020-06-05
2
Geek_8094b4
Mts为啥不是通过HTTPs访问?
2022-02-09
收起评论