Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
Search
taiki45
October 02, 2019
Technology
0
570
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
SPIFFE Meetup Tokyo #2
https://spiffe-jp.connpass.com/event/142393/
taiki45
October 02, 2019
Tweet
Share
More Decks by taiki45
See All by taiki45
RustでAWS Lambda functionをいい感じに書く
taiki45
1
250
builderscon Tokyo 2019: Intro Service Mesh
taiki45
6
3k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
taiki45
4
1.7k
CloudNative Days Tokyo 2019: Understanding Envoy
taiki45
3
3.2k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
taiki45
2
300
EnvoyCon 2018: Building and operating service mesh at mid-size company
taiki45
4
4.3k
Cookpad Tech Kitchen #20 クックパッドでのサービスメッシュについて
taiki45
1
2.2k
Building and operating service mesh at mid-size company
taiki45
2
2.2k
Observability, Service Mesh and Microservices
taiki45
25
6.2k
Other Decks in Technology
See All in Technology
えにしテックさん15周年に寄せて〜万葉と私のこれまでの学び〜
nay3
44
27k
IaCツールのいろいろ
takesection
0
220
The Art of Malware C2 Scanning - How to Reverse and Emulate Protocol Obfuscated by Compiler
takahiro_haruyama
0
1.6k
AWSの生成AIサービス入門 & 最強の書籍紹介!
minorun365
PRO
5
570
フロントエンドの Monorepo をやめてリポジトリ分割したワケ / Why did we stop using Monorepo on the frontend and split the repository?
kaminashi
6
3.1k
フィーチャー開発から ホールプロダクト開発へ ~ 顧客価値へ向き合い続ける挑戦 ~ @itohiro73 #開発生産性con_findy
itohiro73
10
4.9k
Oracle Cloud Infrastructure:2024年6月度サービス・アップデート
oracle4engineer
PRO
1
100
学びの敷居を下げるためにどんな工夫をしたの?
mineo_matsuya
3
320
What's is Bluesky
shinoharata
0
230
【Oracle GoldenGate 最新情報&テクニカルセミナー】[Session01] Oracle GoldenGate 最新情報&最新事例
oracle4engineer
PRO
2
150
マイクロサービスの現場からプラットフォームエンジニアリングの可能性を探る!
abnoumaru
1
4.6k
Oracle Autonomous Database:サービス概要のご紹介
oracle4engineer
PRO
1
5.6k
Featured
See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
244
1.2M
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
22
1.9k
GraphQLの誤解/rethinking-graphql
sonatard
58
9.5k
Typedesign – Prime Four
hannesfritz
36
2.2k
Designing for Performance
lara
603
67k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
143
43k
Being A Developer After 40
akosma
68
580k
Learning to Love Humans: Emotional Interface Design
aarron
269
39k
[RailsConf 2023] Rails as a piece of cake
palkan
31
4.3k
Atom: Resistance is Futile
akmur
260
25k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
247
20k
Designing with Data
zakiwarfel
96
4.9k
Transcript
Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS
Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー
• App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
None
None
Envoy Architecture 5
Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:
auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6
tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,
inline_string 7
Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の
FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8
Envoy Architecture 9 SDS server Certificates Trusted CA
Go tetrate.io/about-us/careers/ !