蜷缩的蜗牛

专注云原生运维

深入Istio系列-Sidecar自动注入

kbsonlong 发布于 2022-09-11 收录于云原生 Istio

Sidecar 自动注入机制是将 sidecar 代理自动添加到用户创建的 pod。
它使用 MutatingWebhook 机制在 pod 创建的时候将 sidecar 的容器和卷添加到每个 pod 的模版里。
用户可以通过 webhooks namespaceSelector 机制来限定需要启动自动注入的范围，也可以通过注解的方式针对每个 pod 来单独启用和禁用自动注入功能。

Sidecar 是否会被自动注入取决于下面 3 条配置和 2 条安全规则：

Istio性能测试

kbsonlong 发布于 2022-09-11 收录于云原生

压测大纲

Istio部署实战

kbsonlong 发布于 2022-09-11 收录于云原生

Helm 安装

安装基础资源

1
2
3
helm template istio-base manifests/charts/base \
     -n istio-system \
     --set base.enableCRDTemplates=true

Openconnect双因素认证

kbsonlong 发布于 2022-09-11

修改认证方式

1
2
# vim /etc/ocserv/ocserv.conf
auth = "plain[passwd=/etc/ocserv/ocpasswd,otp=/etc/ocserv/ocserv.otp]"

配置pam

1
echo "auth requisite pam_oath.so debug usersfile=/etc/ocserv/ocserv.otp window=20" >> /etc/pam.d/ocserv

Openconnect设置用户组实现多路由

kbsonlong 发布于 2022-09-11

1.首先添加两个带分组的用户

1
2
ocpasswd -c /etc/ocserv/ocpasswd -g gruop1 user1 
ocpasswd -c /etc/ocserv/ocpasswd -g gruop2 user2

2.添加创建路由表组

1
2
3
mkdir /etc/ocserv/group 
echo -e "route = 10.10.0.0/255.255.255.0" >> /etc/ocserv/group/group1 
echo -e "no-route = 211.80.0.0/255.240.0.0" >> /etc/ocserv/group/group2

以上连个路由表是演示group1和group2随便写的请自行添加路由规则此外路由表里还可以写DNS 短线时间的参数

Istio 数据平面Pod启动过程详解

kbsonlong 发布于 2022-09-10 收录于云原生

本文将为你讲解：

Istio 中 sidecar 自动注入过程
Istio 中的 init 容器启动过程
启用了 Sidecar 自动注入的 Pod 的启动流程

下图中展示了 Istio 数据平面中的 Pod 启动完后的组件。

Istio 数据平面 Pod 内部组件

理解Iptable

kbsonlong 发布于 2022-09-10 收录于云原生

iptables 作为 Linux 内核中的重要功能，有着广泛的应用，在 Istio 中默认就是利用 iptables 做透明流量劫持的。理解 iptables，对于我们理解 Istio 的运作有十分重要的作用。本文将为大家简单介绍下 iptbles。