Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
Search
taiki45
October 02, 2019
Technology
0
720
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
SPIFFE Meetup Tokyo #2
https://spiffe-jp.connpass.com/event/142393/
taiki45
October 02, 2019
Tweet
Share
More Decks by taiki45
See All by taiki45
Mocking in Rust Applications
taiki45
2
560
Error Handling in Rust Applications
taiki45
3
560
Efficient Platform for Security and Compliance
taiki45
4
1.3k
RustでAWS Lambda functionをいい感じに書く
taiki45
2
610
builderscon Tokyo 2019: Intro Service Mesh
taiki45
6
3.3k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
taiki45
4
1.8k
CloudNative Days Tokyo 2019: Understanding Envoy
taiki45
3
3.4k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
taiki45
2
370
EnvoyCon 2018: Building and operating service mesh at mid-size company
taiki45
3
4.4k
Other Decks in Technology
See All in Technology
AI Agentを「期待通り」に動かすために:設計アプローチの模索と現在地
kworkdev
PRO
2
440
大AI時代で輝くために今こそドメインにディープダイブしよう / Deep Dive into Domain in AI-Agent-Era
yuitosato
1
360
AWS全冠芸人が見た世界 ~資格取得より大切なこと~
masakiokuda
5
5.9k
似たような課題が何度も蘇ってくるゾンビふりかえりを撲滅するため、ふりかえりのテーマをフォーカスしてもらった話 / focusing on the theme
naitosatoshi
0
450
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming
tomzoh
1
230
Creating Awesome Change in SmartNews
martin_lover
1
270
生成AIによるCloud Native基盤構築の可能性と実践的ガードレールの敷設について
nwiizo
5
450
Mastraに入門してみた ~AWS CDKを添えて~
tsukuboshi
0
150
Amazon CloudWatch Application Signals ではじめるバーンレートアラーム / Burn rate alarm with Amazon CloudWatch Application Signals
ymotongpoo
5
470
SnowflakeとDatabricks両方でRAGを構築してみた
kameitomohiro
1
240
[2025年4月版] Databricks Academy ラボ環境 利用開始手順 / Databricks Academy Labs Onboarding
databricksjapan
0
130
DuckDB MCPサーバーを使ってAWSコストを分析させてみた / AWS cost analysis with DuckDB MCP server
masahirokawahara
0
1.2k
Featured
See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
2.9k
The World Runs on Bad Software
bkeepers
PRO
67
11k
Adopting Sorbet at Scale
ufuk
76
9.3k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.3k
How STYLIGHT went responsive
nonsquared
99
5.5k
[RailsConf 2023] Rails as a piece of cake
palkan
54
5.4k
It's Worth the Effort
3n
184
28k
Reflections from 52 weeks, 52 projects
jeffersonlam
349
20k
Side Projects
sachag
452
42k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
Transcript
Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS
Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー
• App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
None
None
Envoy Architecture 5
Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:
auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6
tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,
inline_string 7
Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の
FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8
Envoy Architecture 9 SDS server Certificates Trusted CA
Go tetrate.io/about-us/careers/ !