Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
Search
taiki45
October 02, 2019
Technology
0
760
SPIFFE Meetup Tokyo #2 LT: Envoy SDS
SPIFFE Meetup Tokyo #2
https://spiffe-jp.connpass.com/event/142393/
taiki45
October 02, 2019
Tweet
Share
More Decks by taiki45
See All by taiki45
Mocking in Rust Applications
taiki45
2
600
Error Handling in Rust Applications
taiki45
3
640
Efficient Platform for Security and Compliance
taiki45
4
1.5k
RustでAWS Lambda functionをいい感じに書く
taiki45
2
660
builderscon Tokyo 2019: Intro Service Mesh
taiki45
6
3.4k
NoOps Meetup Tokyo #7: 入門サービスメッシュ
taiki45
4
1.9k
CloudNative Days Tokyo 2019: Understanding Envoy
taiki45
3
3.5k
Cloud Native Meetup Tokyo #8 ServiceMesh Day Recap
taiki45
2
380
EnvoyCon 2018: Building and operating service mesh at mid-size company
taiki45
3
4.5k
Other Decks in Technology
See All in Technology
クラウド開発の舞台裏とSRE文化の醸成 / SRE NEXT 2025 Lunch Session
kazeburo
1
580
american aa airlines®️ USA Contact Numbers: Complete 2025 Support Guide
aaguide
0
500
安定した基盤システムのためのライブラリ選定
kakehashi
PRO
3
130
Transformerを用いたアイテム間の 相互影響を考慮したレコメンドリスト生成
recruitengineers
PRO
2
430
How to Quickly Call American Airlines®️ U.S. Customer Care : Full Guide
flyaahelpguide
0
240
AI時代にも変わらぬ価値を発揮したい: インフラ・クラウドを切り口にユーザー価値と非機能要件に向き合ってエンジニアとしての地力を培う
netmarkjp
0
130
AWS 怖い話 WAF編 @fillz_noh #AWSStartup #AWSStartup_Kansai
fillznoh
0
130
CDK Toolkit Libraryにおけるテストの考え方
smt7174
1
550
ABEMAの本番環境負荷試験への挑戦
mk2taiga
5
1.3k
モニタリング統一への道のり - 分散モニタリングツール統合のためのオブザーバビリティプロジェクト
niftycorp
PRO
1
520
サービスを止めるな! DDoS攻撃へのスマートな備えと最前線の事例
coconala_engineer
1
180
ポストコロナ時代の SaaS におけるコスト削減の意義
izzii
1
470
Featured
See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Typedesign – Prime Four
hannesfritz
42
2.7k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
Producing Creativity
orderedlist
PRO
346
40k
Testing 201, or: Great Expectations
jmmastey
43
7.6k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Writing Fast Ruby
sferik
628
62k
A designer walks into a library…
pauljervisheath
207
24k
Statistics for Hackers
jakevdp
799
220k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.7k
Into the Great Unknown - MozCon
thekraken
40
1.9k
Transcript
Taiki Ono SPIFFE Meetup Tokyo #2 Envoy SDS
Envoy おさらい • LB/service discovery/retry, timeout/logging, metrics/TLS handling とか やってくれるいい感じプロキシー
• App と同じ pod にデプロイ (side-car model) or app と同じホストにデプロ イして iptables とかで app からの/へのトラフィックを envoy にリダイレ クトする • 上の機能の設定を中央のマネージメントサーバーから配信することで全体に 散らばった envoy を統一的に管理する • このマネージメントサーバーと envoy 間の設定通信プロトコルを「xDS プロ トコル」と呼んでいる 2
None
None
Envoy Architecture 5
Envoy と TLS config • Per-cluster: outgoing requests ◦ tls_context:
auth.UpstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext • Per-listener-filter-chain: incoming requests ◦ tls_context: auth.DownstreamTlsContext ▪ Common_tls_context: auth.CommonTlsContext ▪ Require_client_certificate: Bool • auth.CommonTlsContext ◦ tls_certificates or tls_certificate_sds_secret_config ◦ validation_context or validation_context_sds_secret_config ▪ 証明書を検証する時の設定 (e.g. trusted_ca) 6
tls_ceritificates • Body: private_key, certificate_chain, password • データの指定: filename, inline_bytes,
inline_string 7
Static vs SDS • tls_certificates の情報をどう渡すかの違い • Static: Envoy が動く場所の
FS に置いておいて file name で指定 • SDS: SDS サーバーに置いておいて inline bytes で配信 ◦ SDS サーバーに置いてある「どの ceritificate を使うか」を決めるのが “tls_certificate_sds_secret_configs.name” をキーにして決める 8
Envoy Architecture 9 SDS server Certificates Trusted CA
Go tetrate.io/about-us/careers/ !