Oracle Cloud Hangout Cafe Season6 #1 🍔 Service Mesh がっつり入門!
- OracleDev_JP
- 1106
- 3
- 0
- 0
Service Meshにおけるプロキシの配置パターンはちょうど先の資料のAppendixにまとめていたりします。 主要なService MeshはProxy per Application Instance(Sidecarパターン)ですが、先程触れたCiliumやLinkerd 1.0などはProxy per Hostだったりします。 speakerdeck.com/ido_kara_deru/… #ochacafe pic.twitter.com/AK1QZpM2Qx
2022-09-07 19:44:02Kumaも色々使ってきたけど、VMベースのシステムとかでKubenretesに縛られたくない場合は割りと良い選択肢だと思う。ただ機能性はまだこれからのところも。 #ochacafe
2022-09-07 19:45:53Open Service MeshはLinkerdベースでAPIを定義してたと思うのですが、Data PlaneはEnvoy Proxyなのですね。意外 #ochacafe
2022-09-07 19:46:54Service Meshいろいろあるなぁ。 って5年前くらいにも言ってた気がする。 #ochacafe
2022-09-07 19:48:21「SMIは個人的にあまり存在感ないと思っていたが、最近Gateway API連携のアナウンスがあり期待」 全くもって同意見です。発表以来話題を聞かなかった #ochacafe
2022-09-07 19:50:14#ochacafe (きっと後で紹介があるチュートリアルコンテンツです!) oracle-japan.github.io/ocitutorials/c…
2022-09-07 19:52:10「GitHub Starsで見るとIstioは頭ひとつ抜けてる」 そうなんですよね。ServiceMeshConの発表とかもIstioネタが多いですし、周囲で使ってる話を聞くのももっぱらIstio。 CNCF SurveyだけLinkerdがIstioにダブルスコア付けてて謎 #ochacafe
2022-09-07 19:53:55Service Meshの商用プロダクトだとVMwareのTanzu Service Meshもある。オプションでIstio互換APIも使えるらしい。 以前はNSXベースだったと思うけど、今はどうなってるんだろう tanzu.vmware.com/content/blog/i… #ochacafe
2022-09-07 19:58:31istiodが発表されたときは、MicroservicesからMonolithへの回帰だとか結構話題になりました。 #ochacafe
2022-09-07 20:00:51Tipsですが、VirtualServiceは送信側のEnvoyを制御するので、ingress-gateway(外部通信を受け付けるEnvoy)からのトラフィックを処理する際は受信側にEnvoyが入って無くても動作します。 アプリにEnvoyを入れたくないけど複雑なルーティングをしたい、みたいなときに便利です。 #ochacafe
2022-09-07 20:06:48なるほど、つまりワークロードIDと言っているけど実装としてはServiceAccount単位ということなのか #ochacafe
2022-09-07 20:19:27Istioのセキュリティ周りの機能や設定例も上の資料にまとめました! EnvoyFilterでext_authzを使えばOPA連携とかやりたい放題できるよ! #ochacafe
2022-09-07 20:20:36jwks jwksUri:xxxxxxxx/.well-known/jwks.json ルールをお互い持ち合う。共通鍵っぽいのか。。 #ochacafe
2022-09-07 20:21:14jwt認証のときにAuthorizationPolicyも作る理由は、リクエストにjwtがあるときはRequestAuthenticationが機能するのですが、jwtがないときはRequestAuthenticationを設定していても素通りしてしまうので、それを防ぐためですね。 気持ちは分かるけど、ちょっとそれってどうなのという設計 #ochacafe
2022-09-07 20:23:04