![]()
9.4 최종 사용자 인증 및 인가 사전 지식 : Service Account Token Volume Projection, Admission Control, JWT(JSON Web Token), OIDC Service Account Token Volume Projection : '서비스 계정 토큰'의 시크릿 기반 볼륨 대신 'projected volume' 사용Service Account Token (SAT) Volume Projection - 링크서비스 계정 토큰을 이용해서 서비스와 서비스, 즉 파드(pod)와 파드(pod)의 호출에서 자격 증명으로 사용할 수 있을까요?불행히도 기본 서비스 계정 토큰으로는 사용하기에 부족함이 있습니다. 토큰을 사용하는 대상(audience), 유효 기간(expiratio..
![]()
개요This chapter covers Securing microservice communication서비스 메시에서 서비스 간 인증 및 인가 처리하기 Handling service-to-service authentication and authorization in the service mesh최종 사용자 인증 및 인가 처리하기 Handling end-user authentication and authorization 들어가며4장에서는 트래픽을 메시로 허용하는 방법을 다륐는데, 트래픽을 보호하는 방법도 몇 가지 포함됐다.여기서는 서비스 메시 기능을 사용해 서비스 기반 아키텍처의 보안 태세를 투명하게 개선하는 방법을 자세히 살펴본다.이스티오는 기본적으로 안전하다.이번 장에서는 그 의미는 무엇인지, 어떻게 ..
![]()
8. 관찰가능성 Observability : Visualizing network behavior with Grafana, Jaeger, and KialiCloudNet에서 주관하는 istio(Istio Hands-on Study) 1기 스터디 4주차 글이다. 아래의 글은 스터디의 내용을 기반으로 작성했으니 많은 관심 부탁 드린다. CloudNet@ Blog 에서 스터디 관련 글 및 모집 글을 확인 가능하다.This chapter covers그라파나를 사용해 메트릭을 시각적으로 관찰하기 Using Grafana to observe metrics visually예거를 사용한 분산 트레이싱 계측하기 Distributed tracing instrumentation with Jaeger키알리로 네트워크 호출 그래..
![]()
7. 관찰가능성 Observability: Understanding the behavior of your servicesCloudNet에서 주관하는 istio(Istio Hands-on Study) 1기 스터디 4주차 글이다. 아래의 글은 스터디의 내용을 기반으로 작성했으니 많은 관심 부탁 드린다. CloudNet@ Blog 에서 스터디 관련 글 및 모집 글을 확인 가능하다.This chapter covers기본적인 요청 수준 메트릭 수집하기 Collecting basic request-level metrics이스티오의 서비스 간 표준 메트릭 이해하기 Understanding Istio’s standard service-to-service metrics프로메테우스로 워크로드 및 컨트롤 플레인 메트릭 긁어..
![]()
6장 Resilience: Solving application networking challengesThis chapter covers회복탄력성의 중요성 이해 Understanding the importance of resilience클라이언트 측 로드 밸런싱 활용 Leveraging client-side load balancing요청 시간 초과 및 재시도 구현 Implementing request timeouts and retries회로 차단 및 연결 풀링 Circuit breaking and connection pooling마이그레이션 Migrating from application libraries used for resilience 들어가며4장에서 다룬 이스티오 인그레스 게이트웨이를 거쳐 클러스..
![]()
5장 Traffic control: Fine-grained traffic routing이번 장의 목표Traffic routing basicsShifting traffic during a new releaseMirroring traffic to reduce the risk of a new releaseControlling traffic as it leaves a cluster 들어가며 : 트래픽 세부 라우팅 필요 설명이전 장에서 우리는 트래픽을 클러스터로 가져오는 방법과 이를 위해 고려해야 할 사항들을 살펴보았습니다.요청이 클러스터에 들어오면, 요청을 처리하기 위해 적절한 서비스로 어떻게 라우팅되나요?클러스터 내에 있는 서비스는 같은 클러스터 내 또는 클러스터 외부에 있는 다른 서비스와 어떻게 통신하나요?..
![]()
4.2.3 Overall view of traffic flow 전체적인 트래픽 흐름 개요이스티오 게이트웨이 리소스는 서비스 메시 클러스터의 엣지에서 리스닝하고자 하는 포트, 프로토콜, 가상 호스트를 정의한다.VirtualService 리소스는 에지에서 허용된 트래픽이 가야 할 곳을 정의한다. 4.2.4 Istio ingress gateway vs. Kubernetes Ingress쿠버네티스를 실행할 때 ‘왜 이스티오는 그냥 쿠버네티스 인그레스 v1 리소스를 인그레스로 지정하지 않는가?’ 라는 의문이 생길 수 있다. 이스티오는 쿠버네티스 인그레스 v1 리소스를 지원하지만, 쿠버네티스 인그레스 v1 사양에는 상당한 한계가 있다.쿠버네티스 인그레스 v1 의 사양이 HTTP 워크로드에 맞춰져 매우 단순하다는 점..
![]()
개요CloudNet에서 주관하는 istio(Istio Hands-on Study) 1기 스터디 2주차 글이다. 아래의 글은 스터디의 내용을 기반으로 작성했으니 많은 관심 부탁 드린다. CloudNet@ Blog 에서 스터디 관련 글 및 모집 글을 확인 가능하다. 3장 Istio’s data plane: Envoy Proxy이번 장은 아래와 같은 목표가 있다.Understanding the standalone Envoy proxy and how it contributes to Istio : Istio 에 Envoy 동작 이해Exploring how Envoy’s capabilities are core to a service mesh like Istio : Envoy 기능 알아보기Configuring En..
