описываем политики для inbound, outbound трафика (как для внутренних ресурсов, так и для ресурсов и в интернете)
ролевая модель доступа к ресурсам - централизованный сервис авторизации
описываем политики авторизации в файлах конфигурации
написали общие библиотеки для go, python, ruby, которые работают в качестве middleware и ходят в централизованный сервис
Мы уже сталкивались с тем, что неоптимизированный istio mesh выжирал огромное кол-во ресурсов куба (cpu, ram), а хотел уточнить, к уже существующей istio mesh инфре, сколько в % (к cpu, ram) добавляют сайдкары авторизации?
Да, статья - для начинающих. Это верно. Но комбинируя memory limit = request с настройкой HPA мы можем получить достаточно безопасный сетап, который будет работать предсказуемо в плане потребления памяти. А любую внезапную утечку сможет удержать в рамках лимита.
Но я уже планирую продолжение этой истории в следующей статье через пару месяцев. Хочу показать, как используя правильные requests, limits, HPA мы оптимизируем затраты на кластер и увеличиваем надежность.
Привет! На связи коллега из Сбер Маркета.
Мы у себя применяем два уровня авторизации:
базовый слой - istio mesh
MTLS для всего межсервисного взаимодействия
описываем политики для inbound, outbound трафика (как для внутренних ресурсов, так и для ресурсов и в интернете)
ролевая модель доступа к ресурсам - централизованный сервис авторизации
описываем политики авторизации в файлах конфигурации
написали общие библиотеки для go, python, ruby, которые работают в качестве middleware и ходят в централизованный сервис
Мы уже сталкивались с тем, что неоптимизированный istio mesh выжирал огромное кол-во ресурсов куба (cpu, ram), а хотел уточнить, к уже существующей istio mesh инфре, сколько в % (к cpu, ram) добавляют сайдкары авторизации?
Да, статья - для начинающих. Это верно. Но комбинируя memory limit = request с настройкой HPA мы можем получить достаточно безопасный сетап, который будет работать предсказуемо в плане потребления памяти. А любую внезапную утечку сможет удержать в рамках лимита.
Но я уже планирую продолжение этой истории в следующей статье через пару месяцев. Хочу показать, как используя правильные requests, limits, HPA мы оптимизируем затраты на кластер и увеличиваем надежность.