contents Table of contents 1 Executive summary 2 Notable findings 3 Project summary 4 Audit scope 6 Overall assessment 7 Fuzzing 9 Threat model 11 Issues found 17 Review of fixes for issues from they came up which gave the Istio team time to triage and assess criticality. Results summarised 6 fuzzers written and added to Istio's OSS-Fuzz integration 1 CVE found in Golang 1 vulnerability found Istio documentation Repository https://github.com/istio/istio.io Language n/a; documentation only 6 Istio Security Audit, 2023 Overall assessment Our evaluation is that Istio is a well-maintained project

目录 1. Envoy启动及配置文件 2. Envoy流量拦截原理、常用部署方式 3. Envoy可扩展过滤器架构、可观测性 4. Envoy线程模型 5. 生产环境问题分析及解决方法 6. 针对Envoy做的一些优化及效果 7. 常用性能分析测试工具及使用方法 8. 华为ASM产品介绍 Copyright © Huawei Technologies Co., Ltd. All rights Http1/Http2/Tls/gRPC/Tcp等。 Copyright © Huawei Technologies Co., Ltd. All rights reserved. Page 6 Envoy原理及总体架构-启动 istiod Pilot-agent Pilot-agent apiServer iptables iptables Envoy client backend SO_ORIG INAL_DS T 路 由 上 游 连 接 池 12.localhost app2 15.lo 1 2 3.非本 POD、 非 Envoy 自身 4.DNAT 5 6 7. UID=1337 8 9 10.跳 过普 通端 口 11.DNAT 1 3 14.lo 网络发送 • outbound方向：本POD内发起对外调用流量 • outbound方向增加ISTIO_OUTPUT、

Istio Security Assessment Google August 6, 2020 – Version 1.1 Prepared for Arun Kumar R Prepared by Mark Manning Jeff Dileo Divya Natesan Andy Olsen Feedback on this project? https://my.nccgroup does in fact provide network security within the control plane, ensure that users know it exists. 6 | Google Istio Security Assessment Google / NCC Group Confidential Finding Lack of Security Related port: number: 9080 - match: - uri: exact: /login redirect: uri: / authority: www.nccgroup.com 6. Save the result of the following 7. Run the following command and observe that a normal HTML page is

io/latest/blog/2020/tradewinds-2020/ #IstioCon Feature Graduation ● Enhancement workflow ○ CNI ○ IPv6 ○ Dual-stack (IPv6/IPv6) ○ Virtual Machine Expansion ○ Multi cluster mesh ○ Helm v3 life-cycle management ●

IstioCon 2021 Partner Packages Keynotes ● 6 Keynotes for US TZ ● 2 Keynotes for China TZ Lightning talks ● 8 lightning talks of 10 minutes each for US TZ ● 4 for China TZ Tech Talks ● 14 14 tech talks of 40 minutes each for US TZ ● 6 Tech talks of 40 minutes each for China TZ Workshops ● 4 Workshops of 2.5 hours each for US TZ ● 1 Workshop of 2.5 hours for China TZ 1. Getting mention at slack and social media for those who go above and beyond in the organization of the event. 6. Logos on bumpers (for session recordings) Vendor logo representation - Examples Vendor logo representation

目录 1. 为什么我们需要服务网格 2. SolarMesh的定位 3. SolarMesh的特点 4. SolarMesh 对Istio社区的产品化改进 5. SolarMesh的架构 6. SolarMesh 组件介绍 7. 应用场景 Copyright © 2021 Cloud To Go 为什么我们需要服务网格 - 微服务化带来的问题 错综复杂的服务调度掩盖了 问题的源头 云上应用故障的可视化排查 传统的故障定位方式 使用solarmesh的故障定位方式 1. 发现页面报错 2. F12看接口 3. 从网关开始，顺着调用链看日志 4. 日志没报错，下一个 5. 循环 4 6. 直到找到故障位置 1. 流量告警 / 发现页面报错 2. 看图 3. 直接找到故障位置 Copyright © 2021 Cloud To Go 应用场景 - 灰度版本迁移 传统的版本升级方式 2. 多集群统一纳管，为流量运维提供上帝视角 3. 可视化、规范化Istio操作，告别terminal 4. 反应集群真实情况，流量可视化监控 5. 为istio核心组件提供监控能力 6. 服务质量(SLO)检测能力 7. 一键部署分布式链路追踪组件jaeger 8. 一键部署数据可视化工具grafana，进一步提升流量监控的体验 9. …… Copyright © 2021

capabilities we mentioned on the previous slide Traffic Management for non-HTTP/gRPC - only layer-3 to layer-6 ● Routing based on headers under layer-7 ○ IP address ○ TCP Port ○ SNI ● Observability - only TCP 将需要修改的数据放入 Mutation 结构中 4. Router 根据 RDS 配置的路由规则选择 Upstream Cluster 5. Encoder 根据 Mutation 结构封包 6. 将请求发送给 Upstream L7 filter 共享数据结构： ● Metadata： decode 时填充的 key:value 键值对，用于 l7 filter 的处理逻辑中 ● 从 Metadata 获取所需的数据，进行响应方向的业务处理 4. L7 filter 将需要修改的数据放入 Mutation 结构中 5. Encoder 根据 Mutation 结构封包 6. 将响应发送到 Downstream L7 filter 共享数据结构： ● Metadata： decode 时填充的 key:value 键值对，用于 l7 filter 的处理逻辑中

Service(ADS): 通过一个Aggregated Server提供所有xDS服务，以解 决各个不同xDS服务的顺序导致的数据一致性问题。 gRPC/REST: update config on the fly 6 Istio 流量管理 – 数据面 – Istio 中的 Envoy Sidecar 配置 Istio中的 Envoy Sidecar 配置： • Istio 通过 Listener、Route outbound listener。 5. 根据 0.0.0.0_9080 listener 的 http_connection_manager filter 配置，该请求采用 9080 route 进行分发。 6. 9080 这个 route 的配置中，host name 为 reviews:9080 的请求对应 的 cluster 为 outbound|9080||reviews.default.svc.cluster svc.cluster.local subset: v1 https://docs.google.com/document/d/1g3AJNYwbh04-BVajshmcWpeLyGUanbRnihIXU6uIiOY Pilot { "virtual_hosts": [ { "name": "reviews.default.svc.cluster.local:9080", "services": [ "reviews

ServiceMesher 公众号开通 • 2018 年 5 月，ServiceMesher 发起了 Envoy 文档翻译活动 • 2018 年 6 月，由蚂蚁金服发起的 ServiceMesher 社区在杭州举办第一届 meetup • 2018 年 6 月，ServiceMesher 发起了 Istio 官网翻译活动 • 2019 年 3 月，社区发起了《Istio Handbook》共创活动

n sockets • 4. S初始化成功，通知P停止监听新的链接并优雅关闭未完成的工作 • 5. 在P优雅关闭过程中，S会从共享内存中获取stats • 5. 到了时间S通知P自行关闭 • 6. S升级为P • 官方博客：Envoy hot restart什么时候会进行热重启？监控envoy ü获取非正常退出状态 ü抢救机制触发 ü抢救令牌减少一个（总共10个） ü在2(n-1) d43a680af", • "172.00.00.000","Thu, 05 Jul 2018 08:12:19 GMT","780", • "bc1f172f-b8e3-4ec0-a070-f2f6de38a24f","718"]转换成属性词汇异步Flush到Adapter ü通过Template润色数据 ü使用Go的协程异步Flush到Adapter üAdapter展示数据 ü响应envoy数据处理完成问题讨论