#IstioCon Taming Istio Configuration with Helm Ryan Michela / @ryanmichela / Salesforce #IstioCon In this talk This is a talk about using Helm with Istio ● Look at helm from a new perspective ● Helm helps automate Istio day-2 tasks ● Helm gitops #IstioCon HELM The package manager for Kubernetes It’s not just for installation anymore! #IstioCon What is Helm? ● Installer for Charts Helm to get the most from Helm! #IstioCon Managing Istio with Helm #IstioCon How does Helm relate to Istio? ● Istio install built on Helm ● Istio runs on YAML ● Our services are installed with YAML

qi2018-workshop-istio/tree/master/kubecon2018sh (四）基于Istio on Kubernetes 云原⽣生应⽤用的最佳 实践 2018-11-09 � 部署Istio 打开容器器服务控制台，在左侧导航栏中选中集群，右侧点击更更多，在弹出的菜单中选中 部署Istio。 在打开的⻚页⾯面中可以看到Istio默认安装的命名空间、发布名称； 通 通过勾选来确认是否安装相应的模块，注意勾选下Kiali Kiali； 点击 部署Istio 按钮，⼏几⼗十秒钟之后即可完成部署。 ⾃自动 Sidecar 注⼊入 查看namespace： 点击编辑，为 default 命名空间打上标签 istio-injection=enabled。 创建Ingress查看Kiali 路路由-> 命名空间istio-system,点击创建。输⼊入名称为kiali, 域名也为kiali 等待⼏几秒钟，等待⽬目标规则⽣生效。这意味着上述3个微服务已经都部署在istio的环境中了了。你可以使⽤用以下命令来查看⽬目标规则： 1 kubectl get destinationrules 查看Ingress Gateway的地址 点击左侧导航栏中的服务，在右侧上⽅方选择对应的集群和命名空间，在列列表中找到istio-ingressgateway的外部端点地址。 打开浏览器器，访问h

场景而变的 基础设施碎片化问题。 ServiceMesh-4-新发展-服务网格编排平台 上文提到了UDPA，它在数据面上进行了统一接口的努力，而控制面抽象并没有标准，目前大家都采用Istio的控制 面，Istio的设计上还是略显复杂，而其他厂商的控制面存在差异，所以控制面也想基于统一的愿望做到简化部署、 更加抽象简化的使用方式迈进。一家叫做Gloo.io的公司开始这方面的尝试! Ser Serverless 中引入 Service Mesh：典型如 Knative 项目和 Knative 的 Google Cloud 托管版本 Google Cloud Run，通过引入对容器的支持和使用 Istio， Knative 将 Serverless 的支持扩展到 Function 之外，在极大的扩展 Serverless 适用范围的前提下，也将服务间通讯的能力引入到 Serverless。 • 在 例情况来通知 k8s调度对齐进行容量和稳定性治理 网关上容器云之后，面临一个隐含的问题，就是K8s或 者其他容器云都具备自己的流量网关，而ServiceMesh 也有自己的网关组件（比如Istio的Istio Gateway Pod）， 对于用户需要维护两个网关，明显是感觉奇怪的，但 是问题往往没有那么简单。 REST TCP gRPC REST 专业型网关 通用型网关 API网关和ServiceMesh之间的关系

攻击过程复现........................................................................................41 3.4Istio 认证策略绕过攻击............................................................................... 43 3.4.1 未授权访问结果...............................................................................45 图 17 绕过 Istio JWT 认证访问结果........................................................45 图 18 云原生应用保护能力建设架构图........ 第三方组件攻击 k8s 生态中还会使用一些第三方组件，比如服务网格、API 网关等，这些 组件也有可能存在漏洞，比如开源 API 网关 Apache APISIX[14] 的 RCE 漏洞、 服务网格 Istio[15] 的未授权访问或 RCE 漏洞等。 2.5 路径 4：微服务攻击 云原生安全威胁分析与能力建设白皮书 30 微服务是一种软件架构模式，把一个应用拆分成多个服务，每个服务间通过 约定的

阿里服务网格（简称 ASM）是一个统一管理微服务应用流量、兼容Istio的托管式平台 ASM 中Istio通过标准 MCP协议跟MSE 中 Nacos打通； MSE服务治理基于ASM流量治理原子API 做服务治理 MSE微服务引擎 Nacos Ingress（Envoy） 云原⽣⽹关 服务治理 ASM 服务⽹格 Istio 控制面 MCP 流量治理 业务进程 Envoy Sidecar

蚂蚁集团 可信原生技术部，技术专家 蚂蚁集团技术专家，专注于高性能网络服务器研发，MOSN、 Tengine 开源项目核心成员，目前专注于云原生 ServiceMesh、 Nginx、Envoy、Istio 等相关领域。 喜欢开源，乐于分享。 https://github.com/wangfakang MOSN 开源交流群2 目 录 MOSN 云原生演进历程 01 MOSN 网络层扩展思考和选型 2018年3月 MOSN 诞生 支持 Service Mesh 核心支付链路覆 盖 MOSN 宣布独立运营 CNCF landscape V0.13.0 发布， 进行云原生组 件生态融合 Istio 官方推荐 数据面 MOSN 和 Envoy、 Dapr、WASM 开始展开生态合作 商业化落地 江西农信 Mesh 阿里云 CDN 2019年双11 2019年12月 2020年6月 • CGO 性能优化 • 支持 zipkin，Jaeger 等 • 支持 ZK，Nacos 等 • 支持 Dubbo 3.0 • 支持 thrift， kafka 等 协议 • 支持 Istio 1.10 • 支持 Ingress 和 Gateway • 推动 UDPA 多协议建 设 核心能力 微服务 性能优化 MOSN 网络层扩展思考和选型 MOE 背景介绍 — 什么是

Guang Ya Liu (liugya@cn.ibm.com) Senior Software Engineer - IBM Cloud Private Kubernetes Member Istio Maintainer Why Multicloud As our businesses become ecosystems for delivering greater value in a Private Clouds 3rd Party Public Clouds IBM Public Cloud Service Mesh Kubernetes Federation V2 Istio Resource Propagation Visibility Security Application Management IBM Cloud Private IBM DevOps

蚂蚁集团 可信原生技术部，技术专家 蚂蚁集团技术专家，专注于高性能网络服务器研发，MOSN、Tengine 开源项目核 心成员，目前关注云原生 ServiceMesh、Nginx、Envoy、Istio 等相关领域。 喜欢开源，乐于分享。 https://github.com/wangfakang 目 录 MoE 背景介绍 01 MoE 方案介绍 02 MoE 实践效果 03 MoE

硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 RASP应用安全、数据安全、态势感知与风险隔离