Как сэкономить гигабайты памяти в Istio Sidecars

В Istio всё начинается с маленькой «удобной» идеи — прокси рядом с каждым подом. А заканчивается тем, что XDS разносит по кластеру тонны Listener’ов, Route’ов и Cluster’ов, дублируя конфиги для сервисов, которые вы даже не трогаете. Память тает, GC злится, а апдейты сервисов превращаются в шторм. В статье пойдет речь о том, как мы в проде с 20K+ подов «урезали аппетит» сайдкаров на гигабайты. Обсудим, где работает жёсткое ограничение видимости, когда спасает Ambient Mesh, зачем нужен ленивый XDS и почему «волшебной кнопки» нет — но есть комбинации, дающие двузначную экономию. Эта статья написана по мотивам моего доклада для конференции

https://habr.com/ru/companies/oleg-bunin/articles/968652/

#конференции #platform_engineering #highload #highload++ #высоконагруженные_системы #service_mesh #istio #kubernetes

Безопасность в Service Mesh: правда и мифы о mTLS

Если бы кто-то создал кнопку «Сделать безопасно», то заработал бы миллиарды. Но увы — такой не существует, приходится всё делать вручную. Привет, Хабр! Меня зовут Анна Лучник. Последние два десятилетия я реализую сложные и безопасные ИТ-проекты. В этой статье расскажу: От каких угроз может защитить внедрение Service Mesh в теории и на практике. Какие конфигурации и решения обесценивают включение mTLS, на какие конфигурации стоит обратить внимание, чтобы всё корректно работало. Поговорим о том, чем mTLS отличается от обычного TLS. К каким сбоям и проблемам может привести режим strict mTLS. И что делать, чтобы безопасность на стала причиной того, что у нас ничего не работает.

https://habr.com/ru/companies/oleg-bunin/articles/961316/

#service_mesh #devops #devopsconf #безопасность #информационная_безопасность #разработка

Как мы строили безопасную микросервисную архитектуру с Service Mesh: взгляд изнутри

Привет, Хабр! Меня зовут Валентин Вертелецкий, я DevOps в СберТехе, занимаюсь развитием

https://habr.com/ru/companies/sberbank/articles/936802/

#сбертех #кинцуги #микросервисы #service_mesh #istio #сетевая_безопасность #kubernetes #прокси

[Перевод] Собираем собственный сервис-меш

В этой статье автор рассказывает о том, как самостоятельно построить сервис-меш с помощью современных инструментов и Open Source-решений. Материал будет полезен разработчикам и инженерам, интересующимся внутренним устройством сервис-мешей, их преимуществами, а также возможностями настройки и кастомизации под собственные нужды.

https://habr.com/ru/companies/flant/articles/923410/

#сервисмеш #service_mesh #proxy #sidecarконтейнеры #ebpf #сертификаты #сайдкаринжектор #tls #информеры #kubernetes

Как мы внедряли Service Mesh и не утонули в сложностях: реальный кейс Orion soft

Артём Еремин, системный инженер Nova Container Platform в Orion soft. Всем привет! Недавно я выступал на мероприятии СНОВА О КУБЕРЕ и рассказывал о Service Mesh. Тема достойна и поста на Хабре, потому что Service Mesh стал распространенной фишкой, но при этом не самой простой. Мы в Orion soft решили внедрить ее в нашу платформу оркестрации Nova Container Platform, и по пути столкнулись с целым рядом «подводных камней»: от выбора самого решения до нюансов настройки MTLS и организации точек входа трафика в наш кластер. В этой статье я расскажу, как мы выбирали реализацию для Service Mesh, почему остановились на Istio, какие вопросы решали и что из этого получилось.

https://habr.com/ru/companies/orion_soft/articles/932118/

#kubernetes #service_mesh #nova_container_platform

Опыт эксплуатации Service Mesh в Авито

Привет, Хабр! Меня зовут Игорь Балюк, совсем недавно я работал платформенным инженером в Авито . В этой статье я рассказываю про Service Mesh и показываю, что это, скорее, не конечная точка, где можно найти «серебряную пулю» от всех проблем, а путь, который, возможно, никогда не закончится: придется постоянно куда-то бежать и что-то дорабатывать. В тексте я также разбираю, как работает Service Mesh в Авито. Переходите под кат, будет интересно!

https://habr.com/ru/companies/avito/articles/929732/

#kubernetes #istio #paas #network #service_mesh #envoy #devops

Как мигрировать с OpenShift на любой дистрибутив Kubernetes без единой правки

После ухода известных вендоров у многих возникла задача импортозамещения и миграции между платформами контейнеризации. В этой статье разберём опыт решения этой задачи и как свести к минимуму зависимости приложений от конкретной версии и/или реализации Kubernetes. Рассмотрим проблемы, обсудим возможные пути и конкретные технологии для их решения и, главное, посмотрим, как всё это работает. Статья написана по мотивам выступления Максима Чудновского, лидера по продукту Platform V Synapse Service Mesh СберТех на Highload++, где он рассматривал кейс миграции с OpenShift на Platform V DropApp, но предложенные подходы могут быть использованы и для миграции на другие российские Kubernetes-платформы: Deckhouse, Штурвал, Боцман и так далее. Помимо вариантов использования механизмов ETL, трансляции шаблонов в релизных конвейерах, рассматривается подход применения менеджера политик Kubelatte для того, чтобы мигрировать с OpenShift без единой правки кода.

https://habr.com/ru/companies/oleg-bunin/articles/905816/

#openshift #kubelatte #service_mesh #миграция #policy_engine #deploymentconfig #route #ingress #webhook

CI/CD Kubernetes платформа Gitorion. Canary-релизы

Привет всем! Перед деплоем нового релиза приложения в продакшен хорошей практикой является оценка его работы с запросами от реальных пользователей. Если разом заменить текущий релиз приложения на новый, есть вероятность в случае ошибки в программном обеспечении повредить данные большого числа пользователей или получить непрогнозируемое поведение нового релиза под нагрузкой. Чтобы избежать указанных трудностей используют Canary-релизы - это когда рядом с актуальным релизом приложения в продакшене развертывают релиз с новой версией приложения и направляют на него часть запросов от реальных пользователей. В данной статье мы расскажем о нашем опыте внедрения Canary-релизов в CI/CD платформу Gitorion .

https://habr.com/ru/companies/gitorion/articles/879434/

#canary #ci_cd #kubernetes #ingress_controller #service_mesh #jenkins #jenkins_pipeline

[Перевод] Istio для практиков: как упростить управление микросервисами

Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.

https://habr.com/ru/companies/flant/articles/862920/

#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть

Одна опция TCP-стека спасет приложение от даунтайма

Всем привет, меня зовут Вадим Макеров, я работаю в iSpring бэкенд-разработчиком. Однажды у нас в продукте был инцидент, который привел к даунтайму LMS и происходил несколько раз, в течении нескольких дней. Причина оказалась нетривиальной и находилась на уровне сетевых настроек подключений между сервисами. Узнать что за опция спасает от даунтайма

https://habr.com/ru/companies/ispring/articles/869800/

#tcp #go #сеть #микросервисы #распределенные_системы #service_mesh #инцидент #kubernetes