一簇枣泥的博客

You never try, you never know

微服务安全沉思录之三

外部系统访问控制

一些外部的第三方系统可能需要访问系统内部的微服务。例如在网上商店的例子中，外部的推荐服务可能需要接入系统，以获取商店的商品目录信息。相对于内部服务之间的访问而言，外部系统的访问需要进行严格的安全控制。

Posted by "赵化冰" on Wednesday, May 23, 2018

微服务安全沉思录之二

服务间认证与鉴权

除来自用户的访问请求以外，微服务应用中的各个微服务相互之间还有大量的访问,根据应用系统数据敏感程度不同，对于系统内微服务的访问也需要进行相应的安全控制。

Posted by "赵化冰" on Wednesday, May 23, 2018

微服务安全沉思录之一

用户访问认证与鉴权

这段时间对之前微服务安全相关的一些想法进行了进一步总结和归纳，理清在之前文章里面没有想得太清楚的地方，例如服务间的认证与鉴权以及用户身份在服务调用链中的传递。在这一系列博客里面将分为三个部分对微服务安全进行系统阐述：用户访问认证与鉴权，服务间认证与鉴权，外部系统访问控制。

Posted by "赵化冰" on Wednesday, May 23, 2018

Istio Sidecar自动注入原理

Kubernetes webhook扩展机制解析

Kubernets 1.9版本引入了Admission Webhook(web 回调)扩展机制，通过Webhook,开发者可以非常灵活地对Kubernets API Server的功能进行扩展，在API Server创建资源时对资源进行验证或者修改。 Istio 0.7版本就利用了Kubernets webhook实现了sidecar的自动注入。

Posted by "赵化冰" on Wednesday, May 23, 2018

Helm介绍

强大的Kubernetes包管理工具

Helm是Kubernetes生态系统中的一个软件包管理工具。本文将介绍为何要使用Helm进行Kubernetes软件包管理，澄清Helm中使用到的相关概念，并通过一个具体的示例学习如何使用Helm打包，分发，安装，升级及回退Kubernetes应用。

Posted by 赵化冰 on Monday, April 16, 2018