# Redis TLS Origination ## through the sidecar Author: Sam Stoelinga | Twitter: samosx | GitHub: samos123 Based on blog post: https://samos-it.com/posts/securing-redis-istio-tls-origination-termination b7de26979d7d39120/p2_2.jpg) ## I stio TLS Origination - app talks unencrypted TCP to Redis - Sidecar istio-proxy encrypts the Redis traffic and sends to external redis - App doesn’t need to configure f/1/7/4/f17418912988675b7de26979d7d39120/p5_3.jpg) ## How to do Redis TLS origination with the sidecar? 1. Create ServiceEntry for external service such that Istio knows about Redis 2. Create DestinationRule

## 云原生开放智能网络代理 MOSN 金融级云原生架构助推器 肖涵（涵畅） 蚂蚁金服高级技术专家 SOFAMosn 项目负责人 ZooKeeper ## Kubernetes Ingress Controller Service Mesh 控制面 Pilot Galley 访问请求 多协议接入 TLS，国密 MOSN WAF, DDoS 多种服务注册中心 SOFA Registry ngCloud、RocketMQ、gRPC、HTTP3、MQTT、QUIC、TLS1.3等 ## 多场景 支持 K8s Ingress, Edge Proxy、Mesh Sidecar, Api Gateway 等多种代理形态 ## 核心和开放能力 支持模块化 自适应限流 多协议深度扩展能力 多进程 WAF WebAssembly 兼容用户态协议栈 Lua 支持 ## 生态融合

Service Mesh Meetup #7 成都站 ## 蚂蚁金服网络代理演进之路 肖涵（涵畅） 蚂蚁金服高级技术专家 2019.10.26  ## Maglev IPvs Katran ## 品 ☐ ☑ ## GFE BFE PC时代 再启程 2018 年协议，安全持续升级（QUIC，MQTT，国密）， 云原生 All in 无线 2015 年无线通道协议，安全升级， 连接收编 自研 2010 开始网络代理白盒化，定制业务逻辑，软硬件一体解决方案 前世 2010年前部署商用设备  Netscaler ## 自研四层网络代理  ## 蚂蚁七层网络代理 ![Image](/uploads/documents/b/6/9/0/b6901cab1358696

## PostgreSQL “反向代理” Redis 高金芳 平安科技（深圳）有限公司 ## 个人介绍 职务：平安科技数据库技术部数据库架构师 邮箱：gaojinfang498@pingan.com.cn ## 个人简介： 高金芳，中国平安集团旗下平安科技数据库技术部数据库架构师，从事数据库相关工作9年。 2007年毕业，从事oracle ERP开发，数据仓库和数据挖掘相关工作。

Service Mesh 落地之后: 为 sidecar 注入灵魂 周群力 Co-founder of Layotto  • Service Mesh 回顾 • Multi Runtime: 从 sidecar 到机甲 • Runtime API: API: 解决跨云部署和厂商绑定难题 • WebAssembly in sidecar: 让业务逻辑跑在sidecar里 • 展望2022：待解决的问题 • 总结 ## Service Mesh 回顾 ## 由开发了 Linkerd 的Buoyant 公司提出 Service Mesh's Control Plane  服务网格是一个基础设施层，用于处理服务间通信。云原生应用有着复杂的服务拓扑，服务网格负责在这些拓扑中实现请求的可靠传递。在实践中，服务网格通常实现为一组轻量级网络代理，他们与应用程序部署在一起，而对应用程序透明。 图片来源： https://new.qq.com/omn/20190806/20190806A0SM4Q00.html ![Image](/upl

ProtocolConverter interface { Multiplexing Convert(data []byte) (map[string]string, []byte) } 解包是对 SIDECAR 代理性能影响最大的因素 多路复用是基本能力，其他能力需要在多路复用能力上构建 协议装换能力允许使用 HTTP2 作为 SOFA-MOSN 之间的通讯协议 ## 基于能力分层的插件化扩展框架

 ## 配置下发 • 物理机、sidecar • Local & Remote，主与备 • 轻量级客户端、本地调用 - Local Proxy负责服务治理与远程通信 - Remote Proxy负责备份和非主流流量 ## 多语言客户端接入 [Image](/uploads/documents/6/a/7/4/6a7410ca18f9435cd69c2097b329e97e/p8_1.jpg) • Registry Agent • sidecar • 注册代理 • 健康检查 - 服务端受限于Proxy支持的协议（目前只支持HTTP 1.1） ## 容器化 ![Image](/uploads/documents/6/a/7/4/6a741 定义需求带来障碍。 - 保持客户端选择proxy的自由度和灵活性，在我们的实践中好处大于坏处 #### 胖客户端 vs. service mesh vs. cluster ||胖客户端|Sidecar（物理机）Daemonset（云）|Cluster（HTTP）| |---|---|---|---| |接入难度|容易。打入依赖包即可|容易。需依赖SDK|容易。需依赖SDK| |编码难度|容易

## Stabilizing Istio Istio sidecar proxy specifications • Kubernetes shortcomings with sidecar containers Controlling containers lifecycle ☐ Autoscaling pods with sidecar containers • Are you prepared ## Stabilizing Istio ## I stio sidecar proxy specifications Pod App container All incoming traffic must flow through the sidecar first when entering the pod Sidecar container All outgoing traffic traffic must flow through the sidecar before leaving the pod ## Stabilizing Istio ## What happens when the sidecar container is not ready? Pod App container ![Image](/uploads/documents/8/5/e/0/85e00364ff

Proxy sidecar  Service ## Control Plane Raw metrics Certs, ACLs... HTTP/1 HTTP/2 gRPC Pod Proxy sidecar  #### Sidecar envoy proxy readiness probe failing - Istio 1.6.7 #26792 Siddharthk opened this issue on 25 Aug

在打开的页面中可以看到Istio默认安装的命名空间、发布名称；通过勾选来确认是否安装相应的模块，注意勾选下Kiali； 点击 部署Istio 按钮，几十秒钟之后即可完成部署。 ## 自动 Sidecar 注入 查看namespace: 概览 ▼ 集群 集群 节点 存储卷 命名空间 ![Image](/uploads/documents/d/7/9/d/d79d43d2460b4