【零信任安全架构】微分段深度拆解:从 VLAN 到 eBPF 的访问控制演化
微分段是零信任在网络层的核心机制——从传统 VLAN 的广播域隔离,到 Kubernetes NetworkPolicy 的 IP 级别过滤,再到 Cilium 基于身份的 eBPF 执行和 Istio 的 L7 策略。本文拆解四层微分段技术的实现原理、性能差异和适用场景,以及从'全通'到'全白名单'的策略制定流程。
kubernetes 标签归档
共 8 篇文章 · 返回首页
【零信任安全架构】SaaS 与云原生的零信任:CASB、CSPM 和 Kubernetes 超网络策略
企业的工作负载已经从数据中心移到了 SaaS 和公有云——Google Workspace、Office 365、Salesforce、GitHub 是新的'内网'。零信任在 SaaS 和云原生环境中的实现方式与传统数据中心完全不同。本文拆解 CASB 的零信任化、SSPM/CSPM 的配置审计和多云 IAM 的最小权限实践。
【可观测性工程】日志管道:Fluent Bit、Vector、Logstash、Cribl 的取舍
日志采集和管道是整个可观测性栈中最容易被忽视的一层。拆解 Fluent Bit、Vector、Logstash、Cribl 四种方案的架构、性能特征、可靠性设计和工程取舍,给出 K8s 环境下的选型决策框架。
【分布式系统百科】etcd 深度解剖:从 Watch 机制到 MVCC 存储引擎
深入剖析 etcd 的核心机制:持久化 Watch 与 Revision 追溯、Lease 租约机制、基于 BoltDB 的 MVCC 存储引擎、与 Raft 共识的联动方式,以及在 Kubernetes 中的关键角色。涵盖性能调优策略、容量限制与规模化方案。
【Kubernetes 网络深度系列】Kubernetes 网络模型:三条规则统治一切
K8s 网络三条铁律、pause 容器的真实作用、Pod 网络命名空间的创建全过程
【eBPF 系列】eBPF + 容器:Cilium 的数据面为什么不再需要 iptables
5000 个 Service、十万条 iptables 规则、一次更新锁五秒——这就是 kube-proxy 的现实。Cilium 用 eBPF Map 的 O(1) 查找干掉了整条 KUBE-SERVICES 链,顺便把 sidecar 也一起埋了。
Kubernetes 网络深度系列
从 Linux 网络栈的第一个字节到多集群联邦网络的最后一跳——用代码、抓包和内核源码把 Kubernetes 网络讲透
k8s 行记: 高可用、helm 和 istio
Kubernetes 实战笔记:高可用集群部署、Helm 包管理与 Istio 服务网格实践