WebAssembly（简称为Wasm）的诞生源自前端，是一种为了解决日益复杂的Web前端应用以及有限的JavaScript性能而诞生的技术。它本身并不是一种语言，而是一种字节码标准。WASM字节码和机器码非常接近，因此可以非常快速的装载运行。任何一种语言，都可以被编译成WASM字节码，然后在WASM虚拟机中执行，理论上，所有语言，包括JavaScript、C、C++、Rust、Go、Java等都可以编译成WASM字节码并在WASM虚拟机中执行。当然不仅可以嵌入浏览器增强Web应用，也可以应用于其他的场景。WebAssemblyWebAssembly是为下列目标而生的：快速、高效、可移植——通

本文分享自华为云社区《istio资源介绍以及和kubernetes资源扭转关系》，作者：可以交个朋友。一、istio原理Istio的原理是拦截Kubernetes中创建Pod的事件，然后向Pod中注入一个包含Envoy的容器，进出Pod的流量会被“劫持”到Envoy进行处理。由于流量被“劫持”了，所以Istio可以对流量进行分析例如收集请求信息，以及一系列的流量管理操作，也可以验证授权信息。当Envoy拦截流量并执行一系列操作之后，如果请求没问题，就会转发流量到业务应用的Pod中。二、istio架构istio的架构分为控制平面、数据平面、出入口网关。控制平面：控制平面为istiod，默认部署在

访问日志提供了一种从单个工作负载实例的角度监控和理解行为的方法，同样访问日志是我们在生产环境中必不可少的一种监控手段，Istio通过Envoy来提供访问日志功能，EnvoyProxy打印访问信息到标准输出，Envoy容器的标准输出能够通过 kubectllogs 命令打印出来。Istio能够以一组可配置的格式为服务流量生成访问日志，使运维人员可以完全控制日志记录的方式、内容、时间和地点。下面是一个典型的Istio访问日志示例：[2023-12-04T06:17:42.719Z]"GET/productpageHTTP/1.1"200-via_upstream-"-"052892322"10.2

本文分享自华为云社区《IstioEgress出口网关使用》，作者：k8s技术圈。前面我们了解了位于服务网格内部的应用应如何访问网格外部的HTTP和HTTPS服务，知道如何通过 ServiceEntry 对象配置Istio以受控的方式访问外部服务，这种方式实际上是通过Sidecar直接调用的外部服务，但是有时候我们可能需要通过专用的EgressGateway服务来调用外部服务，这种方式可以更好的控制对外部服务的访问。Istio使用Ingress和EgressGateway配置运行在服务网格边缘的负载均衡，IngressGateway允许定义网格所有入站流量的入口。EgressGateway是一个

目录1什么是Istio2Istio特征2.1连接2.2安全2.3策略2.4观察3Istio与服务治理3.1服务治理的三种形态4Istio与Kubernetes4.1Kubernetes介绍4.2Istio是Kubernetes的好帮手4.3Kubernetes是Istio的好基座5Istio与服务网格5.1时代选择服务网格5.2服务网格选择Istio1什么是Istio地址：https://istio.io/服务网格是一个独立的基础设施层，用来处理服务之间的通信。现代的云原生应用是由各种复杂技术构建的服务体系，服务网格负责在这些组成部分之间进行可靠的请求传递。目前典型的服务网格通常提供了一组轻量

目录文章目录目录本节实战1、安全概述2、证书签发流程1.签发证书2.身份认证3、认证1.对等认证a.默认的宽容模式b.全局严格mTLS模式c.命名空间级别策略d.为每个工作负载启用双向TLS2.请求认证a.JWK与JWKS概述b.配置JWT终端用户认证c.设置强制认证规则关于我最后本节实战实战名称🚩实战：对等认证(默认的宽容模式)-2023.11.24(测速成功)🚩实战：对等认证(全局严格mTLS模式)-2023.11.24(测速成功)🚩实战：对等认证(命名空间级别策略)-2023.11.24(测速成功)🚩实战：对等认证(为每个工作负载启用双向TLS)-2023.11.24(测速成功)🚩实战：

自问世以来，Istio因其使用Sidecar（可编程代理与应用容器一同部署）而备受认可。这种架构选择使Istio用户能够享受其好处，而无需对其应用进行drast改变。这些可编程代理，与应用容器紧密部署在一起，因其能够引入Istio的诸多好处而备受赞誉，同时又无需对应用进行重大更改。但总有改进的空间，现在Istio引入了环境化Mesh，这是其架构的重大演进。Sidecar模型：优势和限制传统Istio模型：Istio在工作负载的Pod中部署Envoy代理作为Sidecar。Sidecar的优势：无需重构应用即可享受Istio的功能。Sidecar的限制：侵入性： Sidecar需要集成到应用中，

安全是一个非常重要的话题，但也是平时容易被忽略的一个话题，我们在开发应用的时候，往往会忽略安全，但是当应用上线后，安全问题就会暴露出来，这时候就会造成很大的损失。Istio通过在服务之间注入Sidecar代理，来实现对服务之间的流量进行控制和监控，从而实现服务之间的安全通信。接下来我们将从证书管理、认证、授权等几个方面来学习Istio的安全机制。安全概述将单一应用程序拆分为微服务可提供各种好处，包括更好的灵活性、可伸缩性以及服务复用的能力。但是，微服务也有特殊的安全需求：为了抵御中间人攻击，需要流量加密。为了提供灵活的服务访问控制，需要双向TLS和细粒度的访问策略。要确定谁在什么时候做了什么，

开源项目推荐DevPodDevPod是一款纯客户端工具，可在任何后端基于devcontainer.json创建可重现的开发人员环境。每个开发者环境都在一个容器中运行，并通过devcontainer.json进行指定。通过DevPod提供商，这些环境可以在任何后端创建，如本地计算机、Kubernetes集群、任何可访问的远程机器或云中的虚拟机。GeminiGemini是用于管理卷快照的KubernetesCRD和operator。可以定期为PersistentVolumes上的数据创建快照，清空旧快照，并以最少的停机时间恢复快照。MTKPIMTKPI-多工具Kubernetes渗透测试镜像。该d

开源项目推荐DevPodDevPod是一款纯客户端工具，可在任何后端基于devcontainer.json创建可重现的开发人员环境。每个开发者环境都在一个容器中运行，并通过devcontainer.json进行指定。通过DevPod提供商，这些环境可以在任何后端创建，如本地计算机、Kubernetes集群、任何可访问的远程机器或云中的虚拟机。GeminiGemini是用于管理卷快照的KubernetesCRD和operator。可以定期为PersistentVolumes上的数据创建快照，清空旧快照，并以最少的停机时间恢复快照。MTKPIMTKPI-多工具Kubernetes渗透测试镜像。该d