Service Mesh是下一代SDN吗？ 从通信的角度看Service Mesh的发展 赵化冰 中兴通讯 软件专家/Istio Committer 2019.10.26 Service Mesh Meetup #7 成都站什么是Service Mesh？- by Willian Morgan(Buoyant) A service mesh is a dedicated infrastructure 服务网格是一个基础设施层，用于处理服务间通信。云原生应用有着 复杂的服务拓 扑，服务网格负责在这些拓扑中实现请求的可靠传递。 在实践中，服务网格通常实 现为一组轻量级网络代理，它们与应用程 序一起部署，但对应用程序透明。什么是Service Mesh？- by Istio 服务发现 负载均衡 流量控制 ... 黑白名单 限流 ... 身份认证 通信加密 权限控制 ... 调用追踪 指标收集 Mesh是一个主要针对七层的网络解决方案，解决的是服务间的连通问题Service Mesh是下一代的SDN吗？ 通信网络 l 互不兼容的专有设备 l 基于IP的通信缺乏质量保证 l 低效的业务部署和配置 ... 微服务系统 l 互不兼容的代码库 l 不可靠的远程方法调用 l 低效的服务运维 ... 通信网络和微服务系统面临类似的问题：Service Mesh是下一代的SDN吗？ Network Layer

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 20.3. 在 FIPS 模式下安装集群 2581 2581 FIPS 验证的/Modules in Process 加密库 。 重要 重要 OpenShift Container Platform 4.8 安装 安装 14 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不 ，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并 在未指定时自动生成。 --targetHostname,-H 要安装 Quay 的目标的主机名。默认为 $HOST，如本地主机（如果未指定）。

访问主机的情况下手动收集日志 25.5. 从安装程序获取调试信息 25.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 26 章 章 支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的 ，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并 在未指定时自动生成。 --targetHostname, -H 要安装 Quay 的目标的主机名。默认为 $HOST，如本地主机（如果未指定）。

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2. 配置 AZURE 帐户 7.3. 为 AZURE 启用用户管理的加密 7.4. 在 AZURE 上快速安装集群 7.5. 使用自定义在 AZURE 上安装集群 7.6. 使用网络自定义在 AZURE 上安装集群 7.7. 将 AZURE 上的集群安装到现有的 VNET 访问主机的情况下手动收集日志 26.5. 从安装程序获取调试信息 26.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 27 章 章 支持 支持 FIPS 加密 加密 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 27.2. 集群使用的组件支持 FIPS 27.3. 在 FIPS 模式下安装集群 3864 3866 负载均衡、存储和所有集群机器。 要使用基于代理的安装程序部署集群，您可以首先下载基于代理的安装程序。然后，您可以配置 集群并生成发现镜像。您可以使用发现镜像引导集群机器，它会安装一个与安装程序进行通信的 代理，并为您处理置备，您不需要与安装程序进行交互或自行设置置备程序机器。您需要提供所 有集群基础架构和资源，包括网络、负载均衡、存储和单个集群机器。这个方法适用于断开连接 的环境。 对于具有安

. . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3. 为 AZURE 手动创建 IAM 7.4. 为 AZURE 启用用户管理的加密 7.5. 在 AZURE 上快速安装集群 7.6. 使用自定义在 AZURE 上安装集群 7.7. 使用网络自定义在 AZURE 上安装集群 7.8. 将 AZURE 上的集群安装到现有的 VNET 负载均衡、存储和所有集群机器。 要使用基于代理的安装程序部署集群，您可以首先下载基于代理的安装程序。然后，您可以配置 集群并生成发现镜像。您可以使用发现镜像引导集群机器，它会安装一个与安装程序进行通信的 代理，并为您处理置备，您不需要与安装程序进行交互或自行设置置备程序机器。您需要提供所 有集群基础架构和资源，包括网络、负载均衡、存储和单个集群机器。这个方法适用于断开连接 的环境。 对于具有安 Platform 配置数据并将其发送到红帽。数据用于生成有关集 群可能暴露的潜在问题的主动分析建议。这些建议通过 console.redhat.com 上的 Insights Advisor 与集群 管理员通信。 备 备注 注 Insights Operator 补充 OpenShift Container Platform Telemetry。 其他 其他资 资源 源 使用 Insights Operator

Container Platform 置备内核模块 17.1.2.2.1. 通过 MachineConfig 对象置备内核模块 17.1.3. 在安装过程中加密磁盘 17.1.3.1. 启用 TPM v2 磁盘加密 17.1.3.2. 启用 Tang 磁盘加密 17.1.4. 在安装过程中镜像磁盘 17.1.4.1. 配置一个启用了 RAID 的数据卷 17.1.5. 配置 chrony 时间服务 连接到主机的情况下手动收集日志 19.5. 从安装程序获取调试信息 19.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 2226 2227 2228 2229 2231 2232 过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 第 第 2 章 章 选择 选择集群安装方法并 集群安装方法并为 为用

1 云原生安全威胁分析与 能力建设白皮书 中国联通研究院 中国联通网络安全研究院 下一代互联网宽带业务应用国家工程研究中心 2023 年 11 月 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法 律保护。转载、摘编或利用其他方式使用本报告文字或者观点的， 应注明“来源：中国联通研究院”。违反上述声明者，本院将追 究其相关法律责任。 云原生安全威胁分析与能力建设白皮书 云计算 质变的技术内核。 云原生作为云计算深入发展的产物，已经开始在 5G、人工智能、大数据等 各个技术领域得到广泛应用。中国联通研究院一直从事云原生及其安全技术的研 究，致力于推动云原生在通信行业落地实践，全面落实好“大安全”主责主业， 以实际行动践行“国家队、主力军、排头兵”的责任担当。2022 年，我们在“联 通合作伙伴大会”发布了《中国联通云原生安全实践白皮书》，该书系统阐述了 云原生应用保护能力建设思 路，以期与行业同仁共同推动云原生安全落地发展。 最后，白皮书内容难免有疏漏，敬请读者批评指正。 云原生安全威胁分析与能力建设白皮书 8 编写单位： 中国联合网络通信有限公司研究院、联通数字科技有限公司、中国联通福建 省分公司、北京神州绿盟科技有限公司、北京小佑网络科技有限公司、中兴通讯 股份有限公司 专家顾问： 叶晓煜、张建荣、徐雷、潘松柏、冯强、张曼君、傅瑜、葛然、张小梅、徐

Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 如UEFI、loader、OS、应用等，可以确保在被入侵 修改时的阻断行为，另外可以将可信启动链的 Hash值上传云端管理，可以做到中心管控验证的 目的。 加密技术 数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但 是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运 行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和 代码，完成了安全闭环。 依赖于硬件和更高阶密码学，可以彻底阻断物理 成本较高，所以要视业务场景要求取舍。 Mesh零信任 mTLS服务间访问授权，主要针对Pod层WorkLod的访问控制 应用透明，全局管理视角，细粒度安全策略 Check&Report机制影响通信性能，并只涉及到服务 通信级别的安全，对node没有防护 Calico零信任 主要针对Node层的访问控制，可以让攻击者难以横向移动，隔离了风险 应用透明，全局管理视角，细粒度安全策略，针 对Node层面构建安全

文档中的编辑主机时间配置。 1.1.4. 网络连接要求 您必须配置机器之间的网络连接，以允许 OpenShift Container Platform 集群组件进行通信。 查看有关所需网络端口的以下详细信息。 表 1.2. 用于全机器到所有机器通信的端口 协议 协议 端口 端口 描述 描述 ICMP N/A 网络可访问性测试 TCP 1936 指标 9000-9999 主机级别的服务，包括端口 Security Payload(ESP) 协议 协议 端口 端口 描述 描述 表 1.3. 用于所有机器控制平面通信的端口 协议 协议 端口 端口 描述 描述 TCP 6443 Kubernetes API 表 1.4. control plane 机器用于 control plane 机器通信的端口 协议 协议 端口 端口 描述 描述 TCP 2379-2380 etcd 服务器和对等端口 1 / 1 第 第 1 章 章 在 在 VSPHERE 上安装 上安装 15 1 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent

2. 从 OPENSHIFT SDN 集群网络供应商迁移 16.3. 回滚到 OPENSHIFT SDN 网络供应商 16.4. 转换为 IPV4/IPV6 双栈网络 16.5. IPSEC 加密配置 16.6. 为项目配置出口防火墙 16.7. 查看项目的出口防火墙 16.8. 为项目编辑出口防火墙 16.9. 从项目中删除出口防火墙 16.10. 配置出口 IP 地址 16.11 OPENSHIFT CONTAINER PLATFORM DNS 如果您运行多个服务，比如使用多个 pod 的前端和后端服务，则要为用户名和服务 IP 等创建环境变量， 使前端 pod 可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 pod 之前创建后端服 务，以确保正确生成服务 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 I