#IstioCon Using ECC Workload Certificates (pilot-agent environmental variables) Jacob Delgado / Aspen Mesh #IstioCon ECC workload certificates ● In various environments, the need for x509 certificates cryptography (using ECDSA P-256) to use this feature ● Only ECDSA P-256 is supported #IstioCon pilot-agent environmental variables Disclaimer: Environmental variables and their use are considered experimental the ECC_SIGNATURE_ALGORITHM environmental variable on sidecar ejection to ECDSA for use by pilot-agent ○ For gateways this environmental variable also must be set on installation/upgrade #IstioCon

和第 二代基于Kubernetes的DevOps云平台开发 来自于浙江大学SEL实验室目录 CONTENTS Kubernetes平台下的微服务演进 Pilot核心功能解读 Pilot-Agent核心流程解读Kubernetes平台下的微服务演进当我们在讨论微服务的时候我们在讨论什么？ • 解决如何微服务的问题 • 解决微服务化后带来的问题 温饱问题 • 计算资源的快速分配 • 基本的监控 服务间认证和终端用户认证功能Istio的Pilot功能解析Pilot官方架构Istio – EnvoyPilot-Agent的核心流程解读Pilot工作流程Pilot-Agent的部署形式 pilot-agent在pilot/cmd包下面，是个单独 的二进制。 pilot-agent跟envoy打包在同一个docker镜 像里，镜像由Dockerfile.proxy定义， Makefile（include了tools/istio- sidecar。非Kubernetes情况下需要把 pilot-agent、envoy跟应用部署在一起，这 就有点“污染”应用的意思了。Pilot-Agent的功能介绍 在proxy镜像中，pilot-agent负责的工作包括： • 生成envoy的配置。 • 启动envoy。 • 监控并管理envoy的运行状况，比如envoy出错时pilot-agent负责重启envoy，或者envoy配置变更后 reload

Filebeat异常退出如 何处理？ 如何做上报性能调优？ 6 系统架构 云Kafka Api-server2 Consul 云ES Agent-1 Agent-N Agent-1 Agent-N 数据流 配置监听 Agent注册 配置下发 Web-UI Api-server1 HostGroup HostGroup MasterCluster Opsd Monitord FileCleaner ConfigGroup Config CgroupQuota Action … … 配置对象转化 对象引用 Pipeline 归属 Business Agent Agent Filebeat2 Packetbeat FileCleaner Filebeat1 … Logstash2 Metricbeat FileCleaner Logstash1 CpuLimit Nice值调整 Kill机制 8 Agent管理 时序图 Agent注册 Agent启动首先向Consul获取Master服务列表， 并向Master发起Agent注册逻辑，获取agent id 配置获取 从Consul中获取当前agent的配置组列表，并 启动多个采集进程 配置变更感知 watch到Consul对应的agent id路径，实时感 知配置变化，并对启动的进程列表做重启清理

56 5 Appendix Create a Rancher RKE2 Cluster | 59 Configure a Server Node | 59 Configure an Agent Node | 63 Configure Repository Credentials | 66 Prepare a Cluster Node for DPDK | 67 Juniper reduce ambiguity, we refer to this strictly as a worker node in this document. Agent node In Rancher terminology, an agent node is a Kubernetes worker node. Contrail compute node This is equivalent to contains the vRouter agent and the vRouter itself. The vRouter agent acts on behalf of the local vRouter when interacting with the Contrail controller. There is one agent per node. The agent establishes XMPP

"sample-pipeline" spec: strategy: jenkinsPipelineStrategy: jenkinsfile: |- node('agent') { stage 'build' openshiftBuild(buildConfig: 'ruby-sample-build', showBuildLogs: ex/master/openshift/templates/nodejs-mongodb.json' 1 def templateName = 'nodejs-mongodb-example' 2 pipeline { agent { node { label 'nodejs' 3 } } options { timeout(time: 20, unit: 'MINUTES') 4 志文件保留。严重错误文件保存 在：/var/lib/jenkins/logs。 默认：false AGENT_BASE_IMAGE 设置此值将覆盖使用此镜像提供的 Kubernetes 插件 pod 模板中的 jnlp 容器的镜像。否则，会使用 openshift 命名空间中的 jenkins-agent-base- rhel8:latest 镜像流标签中的镜 像。 默认：image- registry

Redis, 注册中心、配置中心、服务治理中心 服务治理下沉、透明化 Java Agent, Sidecar, Java治理和Mesh治理的统一， 应用0成本上云 部署形态多云、混合云化 本地云端混部、多云混部、公私混部 云原生下微服务趋势 自研微 服务 Fat-SDK Pandora One Agent One Mesh • 基于隔离容器 • 运维治理效率 大幅提升 • 无侵入 服务治理的区分 服务治理中心 提供者 消费者 Agent Agent 用户 配置中心 治理规则 Dev-Sec-Ops 无损下线 离群实例摘除 标签路由 服务鉴权 链路跟踪 金丝雀发布 API管理 服务测试 限流降级 故障注入 • 业务无侵入、无感知 • 0升级成本 • 全面兼容开源 注册中心 元数据中心 微服务引擎 基于 Java Agent 的服务治理 public class Java Agent 无需修改代码，享受微服务治理能力 注册中心感知 到服务端下线 客户端感知到 服务端下线 服务调用报错期 客户端视角 正常 服务端视角 下线静默 下线 注册中心 提供者A 消费者A 提供者B 消费者B 1 正常调用 1 服务下线 (prestop) 3 通知消费者 5 应用重启 4 调用其他提供者 Agent 2 主动通知 Agent 3 客户端主动刷新

modes of running service: native process mode and docker container mode The official module baetyl-agent is responsible for communication with the BIE cloud management suite, which can be used for application successfully started. At present, Baetyl has the following official modules: baetyl-agent: Provides cloud agent service for status reporting and application OTA. baetyl-hub: Provides an MQTT-based message "stats": { "msg_count": 124, "infer_count": 120 } } The subsequent JSON that baetyl-agent reports to the cloud is as follows: { ... "time": "0001-01-01T00:00:00Z", "services": [

modes of running service: native process mode and docker container mode • The official module baetyl-agent is responsible for communication with the BIE cloud management suite, which can be used for application successfully started. At present, Baetyl has the following official modules: • baetyl-agent: Provides cloud agent service for status reporting and application OTA. • baetyl-hub: Provides an MQTT-based "scope": "ai" }, "stats": { "msg_count": 124, "infer_count": 120 } } The subsequent JSON that baetyl-agent reports to the cloud is as follows: { ... "time": "0001-01-01T00:00:00Z", "services": [ { "name":

OpenShift Container Platform 4.7 安装 安装 94 1 4.4.3. 生成 SSH 私钥并将其添加到代理中 如果要在集群上执行安装调试或灾难恢复，则必须为 ssh-agent 和安装程序提供 SSH 密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 ssh-agent： $ ssh-keygen -t ed25519 -N '' \ -f / / 1 $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 第 第 4 章 章 在 在 AWS 上安装 上安装 95 1 输出示例 出示例 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_rsa 后 后续 续步 步骤 骤 在安装 OpenShift

System、Conntrack、Vmstat 等等。原理就是读取 OS 的数据（通过 /proc 和 syscall 等）做一些简 单计算。有很多采集器可以选择： Telegraf Grafana-agent Datadog-agent node-exporter Categraf Kubernetes Node 组 件的监控 Kubernetes Node - 容器负载监控 抓取方案 • Pod或者容器的负 sdk，很完善，业务程序内嵌 statsd 的 sdk，截获请求之后通过 UDP 推送给兼容 statsd 协议的 agent（比如telegraf、datadog-agent），这些 agent 在内存里做指标计算聚 合，然后把结果数据推给服务端。因为是 UDP 协议，fire-and-forget，即使 agent 挂了，对业务也没啥影响 • prometheus sdk 作为另一种埋点方式，聚合计算逻辑是在 sdk statsd；如果是物理机虚拟机环境，每个机器上部署一 个 statsd 的 agent，接收到数据之后统一推给服务端 Pod-001 业务 容器 agent Pod-002 业务 容器 agent 监控服 务端 VM-001 业务 进程 agent 监控服 务端 业务 进程 VM-002 业务 进程 agent 业务 进程 Pod内的业务应用的监控 – prom