Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SPIFFE Meetup Tokyo #2 LT: Envoy SDS

Avatar for taiki45 taiki45
October 02, 2019
Technology
0
780

SPIFFE Meetup Tokyo #2 LT: Envoy SDS

SPIFFE Meetup Tokyo #2 https://spiffe-jp.connpass.com/event/142393/

Avatar for taiki45

taiki45

October 02, 2019
Tweet

More Decks by taiki45

See All by taiki45
Mocking in Rust Applications
Avatar for taiki45 taiki45
2
630
Error Handling in Rust Applications
Avatar for taiki45 taiki45
3
690
Efficient Platform for Security and Compliance
Avatar for taiki45 taiki45
5
1.5k
RustでAWS Lambda functionをいい感じに書く
Avatar for taiki45 taiki45
2
690
builderscon Tokyo 2019: Intro Service Mesh
Avatar for taiki45 taiki45
6
3.4k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
Avatar for taiki45 taiki45
4
1.9k
CloudNative Days Tokyo 2019: Understanding Envoy
Avatar for taiki45 taiki45
3
3.5k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
Avatar for taiki45 taiki45
2
390
EnvoyCon 2018: Building and operating service mesh at mid-size company
Avatar for taiki45 taiki45
3
4.5k

Other Decks in Technology

See All in Technology
Escaping_the_Kraken_-_October_2025.pdf
Avatar for Maarten Dalmijn mdalmijn
0
150
やる気のない自分との向き合い方/How to Deal with Your Unmotivated Self
Avatar for Genki Sano sanogemaru
0
440
OCI Network Firewall 概要
Avatar for oracle4engineer oracle4engineer
PRO
1
7.8k
そのWAFのブロック、どう活かす? サービスを守るための実践的多層防御と思考法 / WAF blocks defense decision
Avatar for 株式会社カミナシ kaminashi
0
120
生成AIとM5Stack / M5 Japan Tour 2025 Autumn 東京
Avatar for you(@youtoy) you
PRO
0
240
AI時代だからこそ考える、僕らが本当につくりたいスクラムチーム / A Scrum Team we really want to create in this AI era
Avatar for TAKAKING22 takaking22
7
4k
SREとソフトウェア開発者の合同チームはどのようにS3のコストを削減したか?
Avatar for Masahiro Yoshizawa muziyoshiz
1
110
衛星画像超解像化によって実現する2D, 3D空間情報の即時生成と“AI as a Service”/ Real-time generation spatial data enabled_by satellite image super-resolution
Avatar for Yuji Kobayashi lehupa
0
110
許しとアジャイル
Avatar for Jun Nakajima jnuank
1
140
ガバメントクラウド(AWS)へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
180
能登半島災害現場エンジニアクロストーク 【JAWS FESTA 2025 in 金沢】
Avatar for Masakatsu Sugii ditccsugii
0
190
『OCI で学ぶクラウドネイティブ 実践 × 理論ガイド』 書籍概要
Avatar for oracle4engineer oracle4engineer
PRO
2
160

Featured

See All Featured
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
19
1.2k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
79
6k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
209
24k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.1k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.7k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4k

Transcript

  1. Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS

  2. Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー

    • App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
  3. None
  4. None

  5. Envoy Architecture 5

  6. Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:

    auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6

  7. tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,

    inline_string 7

  8. Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の

    FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8

  9. Envoy Architecture 9 SDS server Certificates Trusted CA

  10. Go tetrate.io/about-us/careers/ !