Sélectionner une page


Buoyant a publié la version 2.10 de La gauche Open source service mesh, une version 300 Mo de moins que la version précédente. La nouvelle version personnalisée ne se fait pas au détriment des fonctions, mais pour ajouter des extensions. Au lieu de cela, plusieurs outils précédemment standard sont désormais proposés en tant qu’extensions opt-in.

«Linkerd est déjà le maillage de service le plus rapide et le plus petit qui soit, mais nous allons encore plus loin et faisons de l’installation standard le strict minimum dont vous avez besoin pour une fonction de maillage de service. Tout le reste qui n’est pas strictement nécessaire est présenté sous forme d’extensions opt-in », a-t-il déclaré. William Morgan, PDG de Flottable, l’entreprise derrière La gauche, dans une interview. «Une extension est essentiellement un contrôleur ou un opérateur Kubernetes. Nous nous appuyons autant que possible sur les bases de Kubernetes, mais nous faisons un peu de magie d’emballage qui fait que ces extensions ressemblent au reste de Linkerd. « 

Les anciennes fonctions standard qui sont désormais proposées sous forme d’extensions incluent l’extension multicluster, qui contient des outils de communication inter-cluster chasseur Extension pour le collecteur de traces distribué et l’interface utilisateur ainsi qu’une extension de visualisation avec la pile de métriques sur le cluster composée de Grafana, le tableau de bord, Prometheus et plus encore. Bien que stocker 300 Mo de mémoire soit bon pour cela, Morgan a également déclaré que la surcharge liée à l’exécution de Prometheus n’était pas nécessaire pour certains utilisateurs et constituait également un problème de mise à l’échelle.

«Ce composant Prometheus évolue de manière plus agressive lorsque votre cluster ingère du trafic. Donc, si vous avez un très grand cluster avec beaucoup de trafic, c’est la partie la plus difficile à gérer sur le plan opérationnel », a déclaré Morgan. « De nombreux utilisateurs de Linkerd exécutent de toute façon leur propre pile de métriques basée sur Prometheus, il n’y a donc pas toujours de raison d’avoir ces Prometheus dans le cluster. »

Chaque fois que nous parlons de la taille de la ferme à cet égard, l’idée de marcher sur le bord revient souvent, et Morgan a déclaré que la suppression de Prometheus « ne fera que faciliter la prise de contrôle du bord ». Les extensions ne consistent pas seulement à supprimer les valeurs par défaut et à réduire la taille de l’opération, et Morgan espère que l’écosystème Kubernetes se joindra à lui.

«C’est formidable de retirer des éléments de l’installation standard et de disposer de ces fonctionnalités vraiment minimalistes. Cependant, nous souhaitons également que des tiers puissent créer des extensions sans avoir à se salir la main avec la CLI centrale Linkerd. Ainsi, lorsque vous créez une extension Linkerd, vous ne faites que construire sur les bases existantes de Kubernetes, et Linkerd se sentira comme le reste de l’expérience Linkerd », a déclaré Morgan.

«Linkerd existe dans cet écosystème très riche de choses Kubernetes, et beaucoup de ces choses ont du sens en relation avec Linkerd. J’espère donc que nous verrons des choses comme les contrôleurs Ingress, comme les Gatekeepers, des choses que les gens utilisent beaucoup avec Linkerd et qui deviennent également des extensions Linkerd. Et puis vous avez cette très bonne option de déployer ces choses d’une manière préconfigurée pour fonctionner avec Linkerd. « 

Une amélioration que les utilisateurs de Linkerd peuvent espérer est l’offre interne de Buoyant, que Morgan qualifie de «Beta Buoyant Extension», ce qui facilite l’intégration de Linkerd. Nuage flottant, le tableau de bord Linkerd hébergé par l’entreprise.

En plus des extensions, Linkerd 2.10 étend également une fonction introduit en 2.9qui a activé mTLS standard pour toutes les connexions TCP. Linkerd 2.10 étend désormais cela à toutes les connexions TCP à travers les clusters, afin que Linkerd puisse connecter en toute sécurité les services Kubernetes à travers les limites du cluster. Dans cet esprit, Linkerd 2.10 ajoute une fonction de port opaque que Linkerd peut utiliser pour fournir mTLS pour tout le trafic TCP. Par exemple, si vous exécutez un MySQL non chiffré, vous pouvez contourner le proxy Linkerd. Linkerd n’a pas à gérer les ports opaques, et maintenant Linkerd peut fournir mTLS ainsi que d’autres fonctionnalités telles que les métriques au niveau TCP.

Kong Mesh 1.2 ajoute la prise en charge OPA et FIPS

Dans d’autres messages de maillage de service, Kong Mesh 1.2 voyage avec un accent similaire sur l’ajout de nouvelles fonctionnalités de sécurité. Construit sur l’open source pareillement Le plan de contrôle universel pour service mesh basé sur Envoy, Kong Mesh 1.2, prend en charge le Normes fédérales de traitement de l’information (FIPS), Sécurité multizone et intégration native de Open Policy Agent (OPA)Marco Palladino, directeur technique de Kong, déclare que l’utilisation de l’OPA sur Kong Mesh est spectaculaire par rapport aux autres maillages de service.

«Kong Mesh est le premier et le seul maillage de services à offrir un support natif pour OPA qui est intégré au maillage de services lui-même. Afin de pouvoir utiliser OPA dans d’autres mailles de service, l’utilisateur doit fournir un proxy sidecar supplémentaire avec l’agent OPA en plus de chaque service et en plus du proxy sidecar de maillage de service. L’utilisateur doit ensuite rédiger les directives OPA et les enregistrer quelque part afin qu’elles puissent être analysées. Si l’utilisateur est utilisé dans un maillage de service qui s’étend sur plusieurs clusters, il doit distribuer les directives OPA à tous les clusters, nuages ​​ou zones pris en charge par le maillage de service », a écrit Palladino dans un e-mail. « Avec Kong Mesh, rien de plus n’est requis (à part la rédaction de la politique Rego, qui doit être appliquée). »

En ce qui concerne la prise en charge FIPS, cela semble être une tendance ces derniers temps parmi les ajouts de maillage de service aux deux. Projet GetIstio de Tetrate et Solo.ios Gloo Mesh Enterprise Les deux ont ajouté la prise en charge des normes le mois dernier. Palladino associe globalement le support FIPS à la catégorie OPA et note qu’il peut être difficile à déployer.

«De nos jours, FIPS n’est pas activé par défaut dans Envoy. En conséquence, le déploiement est douloureux, en particulier dans une organisation commerciale qui exécute plusieurs plates-formes (Kubernetes, VM, etc.), des clouds et des systèmes d’exploitation. Avec cette nouvelle version, Kong Mesh accélère la conformité de la sécurité en regroupant la prise en charge FIPS dans chaque proxy de plan de données pour toutes les distributions que nous prenons en charge sans que l’utilisateur n’ait à prendre aucune mesure », a écrit Palladino. «Par défaut, la mise en œuvre de Kong Mesh 1.2 signifie que nous déployons un service mesh compatible FIPS pour accélérer la sécurité et la conformité dans tous les environnements pris en charge par Kong Mesh. Comme pour OPA, cela fait de Kong Mesh 1.2 le moyen le plus simple d’accélérer la conformité FIPS au sein d’une entreprise. « 





Source link

Recent Posts