service-mesh 标签归档

共 5 篇文章 · 返回首页

【身份与访问控制工程】服务身份：mTLS、SPIFFE/SPIRE 与 Workload Identity

2026-06-17 | architecture · security | #mtls #spiffe #spire #workload-identity #x509 #svid #oauth2 #jwt-profile #service-mesh #zero-trust

前 9 篇讨论的都是'人'的身份——用户怎么登录、怎么验证。但微服务世界中，80% 的 API 调用是服务之间的。服务身份（Workload Identity）是整个 IAM 体系的另一半：mTLS 解决'传输层你是谁'，SPIFFE/SPIRE 解决'在平台层你是谁且怎么证明'，JWT Profile for OAuth 解决'我怎么拿到一个服务身份的 Token'。本文从这三条线拆解服务身份的工程实现。

【系统架构设计】Service Mesh：Sidecar 的代价与无 Sidecar 的未来

2026-04-13 | architecture | #service-mesh #Istio #Linkerd #Cilium #Envoy #eBPF #sidecar

2023 年，某头部电商平台在全量接入 Istio 后发现：每个 Pod 的内存占用增加了 40-70 MB，p99 延迟从 12 ms 上升到 18 ms，整个集群每月多出数万美元的计算成本。这并非个例。CNCF 2024 年度调查显示，超过 60% 的受访企业已在生产环境中使用或评估服务网格（Service Mes…

【网络工程】Envoy 架构剖析：xDS、Filter Chain 与热重启

2025-09-03 | network | #envoy #proxy #service-mesh #xds #filter-chain

系统剖析 Envoy 代理的架构设计：per-Worker 线程模型与事件循环、Filter Chain 的分层扩展机制、xDS 协议族的动态配置发现、热重启的实现原理与零停机更新、Envoy 在 Service Mesh 中的数据面角色，建立 Envoy 从架构到运维的完整理解。

【Kubernetes 网络深度系列】Cilium 深度拆解：eBPF 原生的云原生网络

2026-04-03 | kubernetes · networking | #Cilium #eBPF #Identity #kube-proxy #Hubble #ClusterMesh #Maglev #service-mesh

从 eBPF 数据面到 Identity 安全模型，全面拆解 Cilium 的架构与实现

【eBPF 系列】eBPF + 容器：Cilium 的数据面为什么不再需要 iptables

2026-06-25 | linux | #cilium #ebpf #kubernetes #iptables #kube-proxy #service-mesh #networking #xdp #container

5000 个 Service、十万条 iptables 规则、一次更新锁五秒——这就是 kube-proxy 的现实。Cilium 用 eBPF Map 的 O(1) 查找干掉了整条 KUBE-SERVICES 链，顺便把 sidecar 也一起埋了。