Как мы строили безопасную микросервисную архитектуру с Service Mesh: интеграция с базами данных

Привет, Хабр! Меня зовут Валентин, я DevOps-инженер команды Platform V Kintsugi . Мы развиваем облачный сервис и регулярно сталкиваемся как с архитектурными задачами построения распределённых систем, так и с вопросами обеспечения их безопасности. Наш продукт — консоль управления базами данных, поэтому значительная часть его архитектуры построена вокруг взаимодействия микросервисов с СУБД. Именно этот контур лежит в основе большинства операций — от управления и администрирования до мониторинга и обслуживания, — а значит, требования к его надёжности и безопасности становятся критически важными. В этом контексте особенно интересен вопрос организации взаимодействия сервисов с внешними базами данных. В статье мы сосредоточимся на этом прикладном аспекте и рассмотрим его на примере PostgreSQL.

https://habr.com/ru/companies/sberbank/articles/1043708/

#микросервисная_архитектура #kintsugi #synapse #сбертех #istio #service_mesh

[Перевод] Kubernetes Gateway API в 2026 году: сравниваем Envoy Gateway, Istio, Cilium, Kong и NGINX Gateway Fabric

Сейчас ландшафт сетей Kubernetes переживает самую значительную трансформацию со времен появления Ingress API в 2015 году. Gateway API прошел путь от бета-версии до General Availability и продолжает развиваться: к 2026 году — версия 1.4. Это фундаментальная переархитектура того, как трафик моделируется, управляется и защищается в Cloud-Native-окружениях. Это руководство — исчерпывающий анализ экосистемы вокруг этого стандарта: разбираем архитектурные подходы, характеристики производительности и наборы функций ведущих реализаций. Наше исследование показывает: стандарт Gateway API успешно унифицировал базовый интерфейс конфигурации, заменив фрагментированную аннотационную модель Ingress, — но нижележащие реализации демонстрируют глубокие расхождения в производительности и операционном поведении. Команда VK Cloud перевела статью для тех, кто уже несколько лет живет с зоопарком Ingress-аннотаций под NGINX, Traefik и ALB и сейчас выбирает, на что мигрировать. Автор разбирает Gateway API в его нынешнем состоянии (версия 1.4, GA), сравнивает пять Production-Ready-реализаций — Envoy Gateway, Istio в Ambient Mode, Cilium, Kong и NGINX Gateway Fabric — и дает фреймворк выбора под конкретный профиль нагрузки. Никакого маркетинга и «лучшего решения для всех»: цифры по Latency и CPU, архитектурные компромиссы, явные пределы масштабирования каждой модели.

https://habr.com/ru/companies/vktech/articles/1042710/

#vk_cloud #kubernetes #gateway_api #envoy #istio #cilium #kong #nginx #service_mesh #ebpf

Canary в Kubernetes с Argo Rollouts и Prometheus: автоматический анализ и откат

Обычный Kubernetes Deployment умеет заменить одну версию приложения другой, но почти ничего не знает о том, как новая версия ведёт себя под реальным трафиком. Контейнер может быть живым, readiness-проба — зелёной, а error rate или latency уже уезжают в красную зону. В статье разберём, как собрать canary-деплой с Argo Rollouts и Prometheus: настроить пошаговый выкат, подключить AnalysisTemplate, автоматически откатываться по метрикам и не перепутать replica-based canary с настоящим traffic split через ingress или service mesh. Читать туториал

https://habr.com/ru/companies/otus/articles/1039856/

#Argo_Rollouts #kubernetes #Prometheus #canary_deployment #автоматический_откат #GitOps #service_mesh

Как сэкономить гигабайты памяти в Istio Sidecars

В Istio всё начинается с маленькой «удобной» идеи — прокси рядом с каждым подом. А заканчивается тем, что XDS разносит по кластеру тонны Listener’ов, Route’ов и Cluster’ов, дублируя конфиги для сервисов, которые вы даже не трогаете. Память тает, GC злится, а апдейты сервисов превращаются в шторм. В статье пойдет речь о том, как мы в проде с 20K+ подов «урезали аппетит» сайдкаров на гигабайты. Обсудим, где работает жёсткое ограничение видимости, когда спасает Ambient Mesh, зачем нужен ленивый XDS и почему «волшебной кнопки» нет — но есть комбинации, дающие двузначную экономию. Эта статья написана по мотивам моего доклада для конференции

https://habr.com/ru/companies/oleg-bunin/articles/968652/

#конференции #platform_engineering #highload #highload++ #высоконагруженные_системы #service_mesh #istio #kubernetes

Безопасность в Service Mesh: правда и мифы о mTLS

Если бы кто-то создал кнопку «Сделать безопасно», то заработал бы миллиарды. Но увы — такой не существует, приходится всё делать вручную. Привет, Хабр! Меня зовут Анна Лучник. Последние два десятилетия я реализую сложные и безопасные ИТ-проекты. В этой статье расскажу: От каких угроз может защитить внедрение Service Mesh в теории и на практике. Какие конфигурации и решения обесценивают включение mTLS, на какие конфигурации стоит обратить внимание, чтобы всё корректно работало. Поговорим о том, чем mTLS отличается от обычного TLS. К каким сбоям и проблемам может привести режим strict mTLS. И что делать, чтобы безопасность на стала причиной того, что у нас ничего не работает.

https://habr.com/ru/companies/oleg-bunin/articles/961316/

#service_mesh #devops #devopsconf #безопасность #информационная_безопасность #разработка

Как мы строили безопасную микросервисную архитектуру с Service Mesh: взгляд изнутри

Привет, Хабр! Меня зовут Валентин Вертелецкий, я DevOps в СберТехе, занимаюсь развитием

https://habr.com/ru/companies/sberbank/articles/936802/

#сбертех #кинцуги #микросервисы #service_mesh #istio #сетевая_безопасность #kubernetes #прокси

[Перевод] Собираем собственный сервис-меш

В этой статье автор рассказывает о том, как самостоятельно построить сервис-меш с помощью современных инструментов и Open Source-решений. Материал будет полезен разработчикам и инженерам, интересующимся внутренним устройством сервис-мешей, их преимуществами, а также возможностями настройки и кастомизации под собственные нужды.

https://habr.com/ru/companies/flant/articles/923410/

#сервисмеш #service_mesh #proxy #sidecarконтейнеры #ebpf #сертификаты #сайдкаринжектор #tls #информеры #kubernetes

Как мы внедряли Service Mesh и не утонули в сложностях: реальный кейс Orion soft

Артём Еремин, системный инженер Nova Container Platform в Orion soft. Всем привет! Недавно я выступал на мероприятии СНОВА О КУБЕРЕ и рассказывал о Service Mesh. Тема достойна и поста на Хабре, потому что Service Mesh стал распространенной фишкой, но при этом не самой простой. Мы в Orion soft решили внедрить ее в нашу платформу оркестрации Nova Container Platform, и по пути столкнулись с целым рядом «подводных камней»: от выбора самого решения до нюансов настройки MTLS и организации точек входа трафика в наш кластер. В этой статье я расскажу, как мы выбирали реализацию для Service Mesh, почему остановились на Istio, какие вопросы решали и что из этого получилось.

https://habr.com/ru/companies/orion_soft/articles/932118/

#kubernetes #service_mesh #nova_container_platform

Опыт эксплуатации Service Mesh в Авито

Привет, Хабр! Меня зовут Игорь Балюк, совсем недавно я работал платформенным инженером в Авито . В этой статье я рассказываю про Service Mesh и показываю, что это, скорее, не конечная точка, где можно найти «серебряную пулю» от всех проблем, а путь, который, возможно, никогда не закончится: придется постоянно куда-то бежать и что-то дорабатывать. В тексте я также разбираю, как работает Service Mesh в Авито. Переходите под кат, будет интересно!

https://habr.com/ru/companies/avito/articles/929732/

#kubernetes #istio #paas #network #service_mesh #envoy #devops

Как мигрировать с OpenShift на любой дистрибутив Kubernetes без единой правки

После ухода известных вендоров у многих возникла задача импортозамещения и миграции между платформами контейнеризации. В этой статье разберём опыт решения этой задачи и как свести к минимуму зависимости приложений от конкретной версии и/или реализации Kubernetes. Рассмотрим проблемы, обсудим возможные пути и конкретные технологии для их решения и, главное, посмотрим, как всё это работает. Статья написана по мотивам выступления Максима Чудновского, лидера по продукту Platform V Synapse Service Mesh СберТех на Highload++, где он рассматривал кейс миграции с OpenShift на Platform V DropApp, но предложенные подходы могут быть использованы и для миграции на другие российские Kubernetes-платформы: Deckhouse, Штурвал, Боцман и так далее. Помимо вариантов использования механизмов ETL, трансляции шаблонов в релизных конвейерах, рассматривается подход применения менеджера политик Kubelatte для того, чтобы мигрировать с OpenShift без единой правки кода.

https://habr.com/ru/companies/oleg-bunin/articles/905816/

#openshift #kubelatte #service_mesh #миграция #policy_engine #deploymentconfig #route #ingress #webhook