Service Mesh авторизация c Istio и Open Policy Agent | Антон Губарев, Авито

Как обеспечить контроль за межсервисным взаимодействием для 2500 сервисов и и ничего не сломать? Оказывается, что просто добавить межсервисную авторизацию в Service Mesh недостаточно. Расскажу, какие шаги мы прошли от прототипа до интеграции в продакшн, как боролись с временем ожидания и добились невозможности случайного закрытия доступов. О спикере: Антон — бэкенд-инженер в юните PaaS. Участвует в разработке PaaS в Авито. Занимался архитектурой нагруженных проектов. Интересуется Service Mesh, есть опыт в DevOps. Пишет код на Go/Python. Преподавал и руководил курсом DevOps Bootcamp, ведёт вебинары, пишет статьи, выступает на конференциях и митапах. 00:03 | Вступление 00:35 | О чём доклад 00:53 | Решаемые проблемы 02:29 | Дополнительный слой 03:00 | Data/Control plane 04:27 | Примеры продуктов, которые решают проблему 04:44 | Istio 05:26 | Envoyproxy 06:46 | Envoy 07:25 | xDS 08:46 | Istio Envoy 09:40 | Что мы уже реализовали 10:41 | Latency (99.9) 11:00 | Межсервисная авторизация как пример возможностей Service Mesh 11:13 | brief 12:25 | mTLS 14:22 | authz-фильтр 15:06 | mTLS authz 15:51 | Open Policy Agent 16:14 | Архитектура 16:47 | Policy 17:38 | Читабельность 18:07 | 18:56 | [default] 19:09 | Клиенты 19:58 | [default] — примеры 20:33 | [[policy]] 21:08 | [[policy]] — пример 21:27 | Транслятор 21:57 | И снова платить 23:04 | Кэширование на Envoy 26:07 | Istio-авторизация 28:04 | Что получилось 28:46 | Выводы 30:20 | Вопросы Презентация Антона: Другие доклады с Митапа: AvitoTech — это команда инженеров Авито. Подпишитесь на наш канал, соцсети и блоги, чтобы узнавать больше о технологиях Авито 👇🏻 ВК: Телеграм: Хабр: Медиум (eng): Гитхаб: Сайт: