Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SPIFFE Meetup Tokyo #2 LT: Envoy SDS

taiki45
October 02, 2019
Technology
0
680

SPIFFE Meetup Tokyo #2 LT: Envoy SDS

SPIFFE Meetup Tokyo #2 https://spiffe-jp.connpass.com/event/142393/

taiki45

October 02, 2019
Tweet

More Decks by taiki45

See All by taiki45
Mocking in Rust Applications
taiki45
2
510
Error Handling in Rust Applications
taiki45
3
450
Efficient Platform for Security and Compliance
taiki45
4
1.2k
RustでAWS Lambda functionをいい感じに書く
taiki45
2
510
builderscon Tokyo 2019: Intro Service Mesh
taiki45
6
3.2k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
taiki45
4
1.8k
CloudNative Days Tokyo 2019: Understanding Envoy
taiki45
3
3.4k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
taiki45
2
340
EnvoyCon 2018: Building and operating service mesh at mid-size company
taiki45
4
4.4k

Other Decks in Technology

See All in Technology
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
280
社内イベント管理システムを1週間でAKSからACAに移行した話し
shingo_kawahara
0
180
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
180
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
840
10分で学ぶKubernetesコンテナセキュリティ/10min-k8s-container-sec
mochizuki875
3
330
AWS re:Invent 2024で発表された コードを書く開発者向け機能について
maruto
0
190
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
530
5分でわかるDuckDB
chanyou0311
10
3.2k
レンジャーシステムズ | 会社紹介(採用ピッチ)
rssytems
0
150
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
530
Postman と API セキュリティ / Postman and API Security
yokawasa
0
200
Amazon Kendra GenAI Index 登場でどう変わる? 評価から学ぶ最適なRAG構成
naoki_0531
0
110

Featured

See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
29
2k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
28
900
Writing Fast Ruby
sferik
628
61k
How GitHub (no longer) Works
holman
311
140k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
Into the Great Unknown - MozCon
thekraken
33
1.5k
Why Our Code Smells
bkeepers
PRO
335
57k
The Cost Of JavaScript in 2023
addyosmani
45
7k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Building Adaptive Systems
keathley
38
2.3k
How STYLIGHT went responsive
nonsquared
95
5.2k

Transcript

  1. Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS

  2. Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー

    • App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
  3. None
  4. None

  5. Envoy Architecture 5

  6. Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:

    auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6

  7. tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,

    inline_string 7

  8. Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の

    FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8

  9. Envoy Architecture 9 SDS server Certificates Trusted CA

  10. Go tetrate.io/about-us/careers/ !