云原生开放智能网络代理 MOSN 金融级云原生架构助推器 肖涵（涵畅） 蚂蚁金服高级技术专家 SOFAMosn 项目负责人1/10 MOSN，云原生时代的安全网络代理 Service Mesh 控制面 Galley Pilot Pod SOFA 服务 MSON Kubernetes TLS，国密 服务鉴权 Mirror Ingress Controller Pod Msg Tracing, Jaeger Prometheus, StatsD 生态融合 支持 K8s Ingress，Edge Proxy、Mesh Sidecar， Api Gateway 等多种代理 形态 多场景10/10 开源所幸，云之爆发 我们认为，未来会更多地属于那些告别大教堂、拥抱集市的人们。《大教堂与集市》感谢聆听 欢迎关注，获取最新分布式架构内容 关注服务网格，关注 ServiceMesher

蚂蚁金服网络代理演进之路 肖涵（涵畅） 蚂蚁金服高级技术专家 2019.10.26 Service Mesh Meetup #7 成都站网络代理是什么？ 南北流量 东西流量 Server App 负载均衡器 NAT网关 防火墙 负载均衡器 NAT网关 防火墙 负载均衡器 负载均衡器 路由器 路由器 Internet网络代理有什么？ Maglev Ipvs Katran 01 2010 开始网络代理白盒 化，定制业务逻辑，软 硬件一体解决方案 自研 02 2015 年无线通道协议，安 全升级， 连接收编 All in 无线 03 PC时代 移动时代 万物互联云原生时代 2018 年协议，安全持续升 级（QUIC，MQTT，国密）， 云原生 再启程 03前世 F5 BigIP Netscaler自研四层网络代理 2011 2014 2018 2018 未来 Ø 全面使用DPDK技术重构 Ø EBPF，XDP Ø 可编程交换芯片（P4语言） Ø 四层负载均衡-IPVS Ø NAT网关蚂蚁七层网络代理 Google Spanner?蚂蚁七层网络接入代理 Spanner蚂蚁七层网络接入代理 AGNA （Ant Global Network Accelarator) 网商 信用 保险 财富 支付 国际支付 小程序 微贷 科技开放 物联网

│ true │ false │ 1 zabbix/zabbix-java-gateway │ Zabbix Java Gateway │ true │ false │ 13 jetty It’s not always easy to use a JMX client with the RMI protocol. Some monitoring tools (Nagios, Zabbix, …) are not native JMX clients. But most of them can use HTTP. More over, you may want to write

助安装程序安装内部 13.1. 使用 ASSISTED INSTALLER 安装内部集群 第 第 14 章 章 使用基于代理的安装程序安装内部集群 使用基于代理的安装程序安装内部集群 14.1. 准备使用基于代理的安装程序安装 14.2. 了解断开连接的安装镜像 14.3. 使用基于代理的安装程序安装 OPENSHIFT CONTAINER PLATFORM 集群 14.4. 为 OPENSHIFT OPENSHIFT CONTAINER PLATFORM 准备 PXE 资产 14.5. 为 KUBERNETES OPERATOR 的多集群引擎准备基于 AGENT 的集群 14.6. 基于代理的安装程序的安装配置参数 第 第 15 章 章 在 在单 单一 一节 节点上安装 点上安装 15.1. 准备在一个节点上安装 15.2. 在单一节点上安装 OPENSHIFT 第 第 16 章 章 在裸机上部署安装程序置 的最简单方法，它提供智能默认值，并在安装集群前执行预动态验证。它还提供了一个 RESTful API 用于自动化和高级配置场景。 本地基于代理的 本地基于代理的 ：对于断开连接的环境或有网络限制的环境，您可以使用基于代理的安装程序。 它提供了 Assisted Installer 的许多优点，但您必须首先下载并配置基于代理的安装程序。使用命 令行界面完成配置。这个方法适用于断开连接的环境。 自 自动 动 ：您可以在安装程序置备

4.4. 在 AWS 上快速安装集群 4.4.1. 先决条件 4.4.2. OpenShift Container Platform 的互联网访问 4.4.3. 生成 SSH 私钥并将其添加到代理中 4.4.4. 获取安装程序 4.4.5. 部署集群 4.4.6. 通过下载二进制文件安装 OpenShift CLI 4.4.6.1. 在 Linux 上安装 OpenShift CLI 5. 使用自定义在 AWS 上安装集群 4.5.1. 先决条件 4.5.2. OpenShift Container Platform 的互联网访问 4.5.3. 生成 SSH 私钥并将其添加到代理中 4.5.4. 获取安装程序 4.5.5. 创建安装配置文件 4.5.5.1. 安装配置参数 4.5.5.1.1. 所需的配置参数 4.5.5.1.2. 网络配置参数 4.5.5.1.3 可选的 AWS 配置参数 4.5.5.2. 支持的 AWS 机器类型 4.5.5.3. AWS 的自定义 install-config.yaml 文件示例 4.5.5.4. 在安装过程中配置集群范围代理 4.5.6. 部署集群 4.5.7. 通过下载二进制文件安装 OpenShift CLI 4.5.7.1. 在 Linux 上安装 OpenShift CLI 4.5.7.2. 在 Windows

助安装程序安装内部 13.1. 使用 ASSISTED INSTALLER 安装内部集群 第 第 14 章 章 使用基于代理的安装程序安装内部集群 使用基于代理的安装程序安装内部集群 14.1. 准备使用基于代理的安装程序安装 14.2. 了解断开连接的安装镜像 14.3. 使用基于代理的安装程序安装 OPENSHIFT CONTAINER PLATFORM 集群 14.4. 为 KUBERNETES 的最简单方法，它提供智能默认值，并在安装集群前执行预动态验证。它还提供了一个 RESTful API 用于自动化和高级配置场景。 本地基于代理的 本地基于代理的 ：对于断开连接的环境或有网络限制的环境，您可以使用基于代理的安装程序。 它提供了 Assisted Installer 的许多优点，但您必须首先下载并配置基于代理的安装程序。使用命 令行界面完成配置。这个方法适用于断开连接的环境。 自 自动 动 ：您可以在安装程序置备 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。RHCOS 包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行 时。 OpenShift Container Platform 4.13 集群中的每一 control plane 机器都必须使用

作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.8 集群中的每一 control plane 机器都必须使用 AWS 上的 VMware Cloud 裸机 IBM Z 或 LinuxONE IBM Power 系统 根据平台所支持的情况，在用户置备的基础架构上安装允许您运行可访问互联网的机器，将集群放在代理 后面，或者执行 受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像（image），将它们 放在镜像 registry（mirror registry）中，然后使用那些数据安装集群。虽然您需要访问互联网来为平台容 或 vSphere 使用特定的安装说明来部署集群。如果您使用其他支持 的硬件，请按照裸机安装过程进行。 2.1.4. 您的集群是否需要额外的安全性？ 如果使用用户置备的安装方法，您可以为集群配置代理。这些说明包含在每个安装过程中。 如果要防止公共云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有有限访问

OpenShift Container Platform 与 vMotion 搭配使用 集群资源 集群的限制 网络要求 所需的 IP 地址 DNS 记录 1.1.6. 生成 SSH 私钥并将其添加到代理中 1.1.7. 获取安装程序 1.1.8. 在您的系统信任中添加 vCenter root CA 证书 1.1.9. 部署集群 1.1.10. 通过下载二进制文件安装 OpenShift CLI OpenShift Container Platform 与 vMotion 搭配使用 集群资源 集群的限制 网络要求 所需的 IP 地址 DNS 记录 1.2.6. 生成 SSH 私钥并将其添加到代理中 1.2.7. 获取安装程序 1.2.8. 在您的系统信任中添加 vCenter root CA 证书 1.2.9. 创建安装配置文件 1.2.9.1. 安装配置参数 1.2.9.1.1. vSphere 机器池配置参数 1.2.9.2. 安装程序置备的 VMware vSphere 集群的 install-config.yaml 文件示例 1.2.9.3. 在安装过程中配置集群范围代理 1.2.10. 部署集群 1.2.11. 通过下载二进制文件安装 OpenShift CLI 1.2.11.1. 在 Linux 上安装 OpenShift CLI 1.2.11.2. 在 Windows

作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.10 集群中的每一 control plane 机器都必须使用 上的 VMware Cloud 裸机 IBM Z 或 LinuxONE IBM Power 根据平台支持的用例，在用户置备的基础架构上安装，您可以使用完全互联网访问来运行机器，将集群放 置在代理后面，或者执行受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像 （image），将它们放在镜像 registry（mirror registry）中，然后使用那些数据安装集群。虽然您需要访 RHOSP、vSphere、VMC on AWS 和 裸机，您也可以在安装过程中自定义额外网络 参数。 2.1.4. 您的集群是否需要额外的安全性？ 如果使用用户置备的安装方法，您可以为集群配置代理。这些说明包含在每个安装过程中。 如果要防止公共云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有限访问的

连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 模块 1.21. 使用 3SCALE ISTIO 适配器 1.22. 服务网格故障排除 1.23. ENVOY 代理故障排除 1.24. SERVICE MESH CONTROL PLANE 配置参考 1.25. KIALI 配置参考 1.26. JAEGER 配置参考 1.27. 卸载 SERVICE MESH 2.2.12.8. Kiali 更新 Kiali 1.36 包括以下功能和增强： Service Mesh 故障排除功能 control plane 和网关监控 代理同步状态 Envoy 配置视图 显示 Envoy 代理和应用程序日志处于交集的统一视图 支持联邦服务网格视图的命名空间和集群选择 新的验证、向导和分布式追踪增强 1.2.2.13. Red Hat OpenShift Service /%2Fa../b 由授权策略 评估并发送到您的服务。 此设置会受到 CVE- 2021-31920 的影响。 BASE 这是目前 Istio 默 默认 认安装 中使用的选项。这在 Envoy 代理上应用 normalize_path 选 项，该选项在 RFC 3986 之后使用额外的规范化来 转换反斜杠来正斜杠。 /a/../b 被规范化为 /b。\da 被规范化为 /da。 此设置会受到