Телеграмм чат группы istio_ru страница 144

parrot.ru

Рейтинг популярных групп и каналов

В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Istio_ru

304 membersпожаловаться на группу

2021 March 31

c

cybervagabond 🧝🏻‍♂️... in Istio_ru

Если вот самый банальный пример взять, фронт (axios клиент) ходит на бек

В данном случае нам в Istio нужно настроить AuthPolicy и request authentication

И нужно решить проблему:
- злоумышленник в девтулзах браузера отреверсил апишку

источник

14:24пожаловаться #1

c

cybervagabond 🧝🏻‍♂️... in Istio_ru

Даже если мы прикрыли апи токеном, в хедерах или куках можно найти acces_token

В таких случаях, просто все админские эндпоинты на беке прикрываются другим acess_token-ом?
Тоесть на одном keycloak клиенте нужно создавать роль admin, и все DELETE запросы разрешать только через админский токен?

источник

14:25пожаловаться #2

T

Timur in Istio_ru

https://www.youtube.com/watch?v=i7vuFHH0nxY

Александр Семёнов "Аутентификация OAuth / OpenID Connect в Enterprise и среда Open API"

Казалось бы, такая избитая тема как аутентификация и авторизация уже не может быть интересной, однако, стремительное развитие ИТ с каждым свои витком постоян...

видос кстати огонь именно по части понимания, как работает oidc и oauth

источник

14:26пожаловаться #3

T

Timur in Istio_ru

всячески рекомендую

источник

14:26пожаловаться #4

2021 April 04

tE

t E in Istio_ru

Ребят всем ку, а кто каким образом свои LoadBalancerIP охраняет и мониторит на security issues

точнее, есть в чате люди, которые поработали с envoy modsecurity?

источник

21:13пожаловаться #5

tE

t E in Istio_ru

просто вафчик на nginx изи найти, а вот для envoy нужно постараться)

источник

21:14пожаловаться #6

2021 April 05

TF

Terry Filch in Istio_ru

ребята, вопрос нуба

ткните носом или бросьте урлой: есть ли в Istio by default детекта аномально растущего трафика между микросевервисами и алертами по ним?

источник

13:05пожаловаться #7

tE

t E in Istio_ru

ребята, вопрос нуба

ткните носом или бросьте урлой: есть ли в Istio by default детекта аномально растущего трафика между микросевервисами и алертами по ним?

istio очень много пром метрик предоставляет, by default у тебя есть метрики, графана дашборды, kiali и трейсы в jaeger если с правильным профилем установить

источник

13:08пожаловаться #8

tE

t E in Istio_ru

а детектить аномально растущий трафик — наверное нужно правила в alertmanager заносить, типа
https://istio.io/latest/docs/ops/best-practices/observability/
например alert 5xx > 20%

Observability Best Practices

Best practices for observing applications using Istio.

источник

13:08пожаловаться #9

tE

t E in Istio_ru

а какую ситуацию именно замониторить нужно?

источник

13:10пожаловаться #10

TF

Terry Filch in Istio_ru

а какую ситуацию именно замониторить нужно?

аномально растущего трафика между микросевервисами

источник

13:11пожаловаться #11

tE

t E in Istio_ru

аномально растущего трафика между микросевервисами

по этой метрике можно алерт построить, гляньте в проме у себя

istio_requests_total

но это суммарно
получается в вашем кейсе можно по сервису метрику зацепить RPS

round(sum(irate(istio_requests_total{reporter="$qrep",destination_service=~"$service"}[5m])), 0.001)

и на нее алерт сделать

вот метрика полностью со всеми лейблами

istio_requests_total{app="categories-prod", connection_security_policy="mutual_tls", container="istio-proxy", destination_app="categories-prod", destination_canonical_revision="latest", destination_canonical_service="categories-prod", destination_cluster="Kubernetes", destination_principal="spiffe://cluster.local/ns/project-prod/sa/default", destination_service="categories-prod.project-prod.svc.cluster.local", destination_service_name="categories-prod", destination_service_namespace="project-prod", destination_version="unknown", destination_workload="categories-prod", destination_workload_namespace="project-prod", endpoint="http-envoy-prom", instance="10.244.2.41:15090", istio_io_rev="default", job="categories-prod", namespace="projects-prod", pod="categories-prod-777cfcbd96-n7spl", pod_name="categories-prod-777cfcbd96-n7spl", pod_template_hash="777cfcbd96", reporter="destination", request_protocol="http", response_code="200", response_flags="-", security_istio_io_tlsMode="istio", service="categories-prod", service_istio_io_canonical_name="categories-prod", service_istio_io_canonical_revision="latest", source_app="istio-ingressgateway", source_canonical_revision="latest", source_canonical_service="istio-ingressgateway", source_cluster="Kubernetes", source_principal="spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account", source_version="unknown", source_workload="istio-ingressgateway", source_workload_namespace="istio-system"}

источник

13:11пожаловаться #12

tE

t E in Istio_ru

или если лень, можно дашборд поставить и мониторить глазками
https://grafana.com/grafana/dashboards/7639

Istio Mesh Dashboard dashboard for Grafana | Grafana Labs

Istio Mesh Dashboard version 1.9.2

источник

13:19пожаловаться #13

tE

t E in Istio_ru

если еластик есть, можно через него еще накрутить дашборд
https://grafana.com/grafana/dashboards/11468
и например подозрительные юзер-агенты собирать (аномальный трафик ведь) )

Istio Ingress Gateway - ElasticSearch dashboard for Grafana | Grafana Labs

Dashboard for istio ingress gateway

источник

13:25пожаловаться #14

TF

Terry Filch in Istio_ru

по этой метрике можно алерт построить, гляньте в проме у себя

istio_requests_total

но это суммарно
получается в вашем кейсе можно по сервису метрику зацепить RPS

round(sum(irate(istio_requests_total{reporter="$qrep",destination_service=~"$service"}[5m])), 0.001)

и на нее алерт сделать

вот метрика полностью со всеми лейблами

istio_requests_total{app="categories-prod", connection_security_policy="mutual_tls", container="istio-proxy", destination_app="categories-prod", destination_canonical_revision="latest", destination_canonical_service="categories-prod", destination_cluster="Kubernetes", destination_principal="spiffe://cluster.local/ns/project-prod/sa/default", destination_service="categories-prod.project-prod.svc.cluster.local", destination_service_name="categories-prod", destination_service_namespace="project-prod", destination_version="unknown", destination_workload="categories-prod", destination_workload_namespace="project-prod", endpoint="http-envoy-prom", instance="10.244.2.41:15090", istio_io_rev="default", job="categories-prod", namespace="projects-prod", pod="categories-prod-777cfcbd96-n7spl", pod_name="categories-prod-777cfcbd96-n7spl", pod_template_hash="777cfcbd96", reporter="destination", request_protocol="http", response_code="200", response_flags="-", security_istio_io_tlsMode="istio", service="categories-prod", service_istio_io_canonical_name="categories-prod", service_istio_io_canonical_revision="latest", source_app="istio-ingressgateway", source_canonical_revision="latest", source_canonical_service="istio-ingressgateway", source_cluster="Kubernetes", source_principal="spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account", source_version="unknown", source_workload="istio-ingressgateway", source_workload_namespace="istio-system"}

окей, большое спасибо

источник

13:29пожаловаться #15

tE

t E in Istio_ru

окей, большое спасибо

пишите еще, самому интересно побрейнштормить)

источник

13:29пожаловаться #16

A

Alex Sharov in Istio_ru

подскажите пожалуйста в чем загвоздка, сделал PeerAuthentication

---
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: "

ms

”
spec:
  mtls:
    mode: STRICT

но внутри конейтнера я все еще могу ходить на другой по http

источник

23:13пожаловаться #17

A

Alex Sharov in Istio_ru

при этом если попробую пойти по https:
curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol

источник

23:13пожаловаться #18

A

Alex Sharov in Istio_ru

при этом если делать из другого пода, где нет сайдкара, то получаю вот такой результат:

http: curl: (56) Recv failure: Connection reset by peer (ожидаемо)
https: curl: (16) OpenSSL SSL_write: Broken pipe, errno 32

источник

23:37пожаловаться #19

2021 April 06

4

4c74356b41 in Istio_ru

подскажите пожалуйста в чем загвоздка, сделал PeerAuthentication

---
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: "

ms

”
spec:
  mtls:
    mode: STRICT

но внутри конейтнера я все еще могу ходить на другой по http

вы через сайдкар все равно ходите?)

источник

05:59пожаловаться #20