yevvzi的博客

在今年五月份社区已经添加了 MCP-OVER-XDS的实现 ，在当前的master代码中已经 移除了mcp 协议 的实现代码，将全部转换为MCP-OVER-XDS实现，也就意味着istio 1.9将不再支持原有MCP协议，具体参考 XDS-OVER-MCP设计initConfigSources当我们配置的ConfigSource为XDS类型时，将创建XDS client,用于发起请求// 初始化一个ads clientxdsMCP, err := adsc.New(srcAddress.Host,

环境准备使用kind进行集群安装，通过静态路由打通两个集群的容器网络。cluster1 初始化cluster1 kind配置如下kind: ClusterapiVersion: kind.x-k8s.io/v1alpha4featureGates: GenericEphemeralVolume: truenetworking: podSubnet: "10.241.0.0/16" serviceSubnet: "10.95.0.0/16"nodes:- role: contro

概述Istio 在网格中部署的Pod中注入initContainer，istio-init。该istio-init容器设置荚的网络流量重定向到/从Istio三轮代理。这就要求将用户或服务帐户部署到网格上的Pod具有足够的Kubernetes RBAC权限才能部署具有NET_ADMIN和NET_RAW功能的容器。对于某些组织的安全合规性，要求Istio用户具有提升的Kubernetes RBAC权限是有问题的。Istio CNI插件是istio-init执行相同网络功能但不要求Istio用户启用提升的Kub

envoy rbac介绍基于角色的访问控制(RBAC)为服务提供服务级别和方法级别的访问控制。RBAC政策是附加的。依次检查策略。根据操作以及是否找到匹配的策略，允许或拒绝请求。策略配置主要包括两个部分。permissions由AuthorizationPolicy中to转换过来定义角色的权限集。 每个权限都与OR语义匹配。 为了匹配此策略的所有操作，应使用any字段设置为true的单个Permission。principals由AuthorizationPolicy中to和when

介绍MCP是基于订阅的配置分发API。配置使用者（即sink）从配置生产者（即source）请求更新资源集合.添加,更新或删除资源时，source会将资源更新推送到sink.sink积极确认资源更新，如果sink接受，则返回ACK，如果被拒绝则返回NACK，例如: 因为资源无效。一旦对先前的更新进行了ACK/NACK，则源可以推送其他更新.该源一次只能运行一个未完成的更新(每个集合).MCP是一对双向流gRPC API服务（ResourceSource和ResourceSink）。当source是

变更说明涉及以下变更：流量管理添加了 values.global.proxy.holdApplicationUntilProxyStarts config选项，它使sidecar注入器在pod容器列表的开始处注入sidecar，并将其配置为阻止所有其他容器的开始，直到代理就绪为止。默认情况下禁用此选项。(#11130)新增了对用于客户端证书和CA证书的SDS支持，该证书用于使用DestinationRule从Egress Gateway发起的TLS/mTLS(#14039)安全改进

介绍Open Service Mesh（OSM）是一种轻量级，可扩展的Cloud Native服务网格，它使用户能够统一管理，保护和获得针对高度动态微服务环境的开箱即用的可观察性功能。安装osmwget https://github.com/openservicemesh/osm/releases/download/v0.1.0/osm-v0.1.0-darwin-amd64.tar.gztar xf osm-v0.1.0-darwin-amd64.tar.gz# pre check./dar

envoy 中的证书验证combined_validation_context组合的证书验证上下文包含默认的CertificateValidationContext和SDS配置。 当SDS服务器返回动态CertificateValidationContext时，动态和默认的CertificateValidationContext都将合并到新的CertificateValidationContext中以进行验证。 此合并是通过Message::MergeFrom()完成的，因此动态的Certifica

环境这里我们是在本机使用kind，安装查看容器对应的虚拟设备对for container in `crictl ps -q`doiflink=`crictl exec $container cat /sys/class/net/eth0/iflink`iflink=`echo $iflink|tr -d '\r'`veth=`grep -l $iflink /sys/class/net/*/ifindex`veth=`echo $veth|sed -e 's;^.*net/\(.*\)/if

envoy ratelimitenvoy 可以继承一个全局grpc ratelimit 服务，称之为为rate limit service，go-control-plane 是一个官方实现的golang 库github.com/envoyproxy/go-control-planego-control-plane中关于rls的pb文件为envoy/service/ratelimit/v2/rls.pb.go其包含了一个RegisterRateLimitServiceServer方法，将一个限流器实现

contourContour是开源的Kubernetes入口控制器，为Envoy边缘和服务代理提供控制平面.Contour支持动态配置更新和多团队入口委托，同时保持轻量级配置文件。特点内置envoyContour是基于Envoy，高性能L7代理和负载均衡器的控制平面灵活的架构轮廓可以部署为Kubernetes部署或守护程序集TLS证书授权管理员可以安全地委派通配符证书访问架构原理Envoy，提供高性能的反向代理。Contour，充当Envoy的管理服务器并为其提供配置

envoy rate limit介绍envoy中有以下两种限速方式：全局限速Envoy的全局请求限速服务器，检查是否接受。全局意味着所有代理都将使用一个计数器作为评估请求的基础。每个代理都请求一个上游速率限制服务（在此示例中为Lyfts），该服务将在envoy外部运行以决定请求。本地限速本地速率限制计数器在处理请求的单个envoy代理的上下文中运行。这意味着每个代理都跟踪其管...