Все

Service Mesh авторизация c Istio и Open Policy Agent

2023-11-03 12:00 Видео architecture infrastructure backend
Как обеспечить контроль за межсервисным взаимодействием для 2500 сервисов и и ничего не сломать? Оказывается, что просто добавить межсервисную авторизацию в Service Mesh недостаточно. Расскажу, какие шаги мы прошли от прототипа до интеграции в продакшн, как боролись с временем ожидания и добились невозможности случайного закрытия доступов.
О спикере: Антон — бэкенд-инженер в юните PaaS. Участвует в разработке PaaS в Авито. Занимался архитектурой нагруженных проектов. Интересуется Service Mesh, есть опыт в DevOps. Пишет код на Go/Python. Преподавал и руководил курсом DevOps Bootcamp, ведёт вебинары, пишет статьи, выступает на конференциях и митапах.
00:03 | Вступление
00:35 | О чём доклад
00:53 | Решаемые проблемы
02:29 | Дополнительный слой
03:00 | Data/Control plane
04:27 | Примеры продуктов, которые решают проблему
04:44 | Istio
05:26 | Envoyproxy
06:46 | Envoy
07:25 | xDS
08:46 | Istio + Envoy
09:40 | Что мы уже реализовали
10:41 | Latency (99.9)
11:00 | Межсервисная авторизация как пример возможностей Service Mesh
11:13 | brief
12:25 | mTLS
14:22 | authz-фильтр
15:06 | mTLS + authz
15:51 | Open Policy Agent
16:14 | Архитектура
16:47 | Policy
17:38 | Читабельность
18:07 | auth.toml
18:56 | [default]
19:09 | Клиенты
19:58 | [default] — примеры
20:33 | [[policy]]
21:08 | [[policy]] — пример
21:27 | Транслятор
21:57 | И снова платить
23:04 | Кэширование на Envoy
26:07 | Istio-авторизация
28:04 | Что получилось
28:46 | Выводы
30:20 | Вопросы
Презентация Антона: https://clc.to/x_LItg
Другие доклады с Митапа: https://www.youtube.com/playlist?list=PLknJ4Vr6efQFKhI7BRcmFjqHmCAj3-jHw