产品
解决方案
文档与社区
权益中心
定价
云市场
合作伙伴
支持与服务
了解阿里云
备案
控制台
开发者社区
首页
Serverless
中间件
微服务
云原生可观测
消息队列
容器服务
探索云世界
新手上云
云上应用构建
云上数据管理
云上探索人工智能
云计算
弹性计算
无影
存储
网络
倚天
云原生
容器
serverless
中间件
微服务
可观测
消息队列
数据库
关系型数据库
NoSQL数据库
数据仓库
数据管理工具
PolarDB开源
向量数据库
热门
Modelscope模型即服务
弹性计算
云原生
数据库
物联网
云效DevOps
龙蜥操作系统
平头哥
钉钉开放平台
大数据
大数据计算
实时数仓Hologres
实时计算Flink
E-MapReduce
DataWorks
Elasticsearch
机器学习平台PAI
智能搜索推荐
人工智能
机器学习平台PAI
视觉智能开放平台
智能语音交互
自然语言处理
多模态模型
pythonsdk
通用模型
开发与运维
云效DevOps
钉钉宜搭
支持服务
镜像站
码上公益
目录
1 概述
2 微服务架构的发展带来了诸多优势,然而这些分布众多的微服务也会增加安全性方面的
3 挑战,每个微服务都是一个可被攻击的目标。为了提升网络通信的安全防护能力,有效
4 对抗网络威胁,采用微服务架构的服务网格普遍采用了基于安全传输层协议 (TLS)
5 全数据传输。但同时,TLS 协议中的非对称加解密会消耗大量的 CPU
6 务网格的性能表现,并带来了较高的总体拥有成本
7 阿里云服务网格 ASM 采用第三代英特尔® 至强® 可扩展处理器集成的英特尔®
8 硬件加速引擎(英特尔® Crypto Acceleration)相关技术,包括英特尔®
9 512(英特尔® AVX-512),多缓冲区处理 (Multi-Buffer)
10 全传输层协议 (mTLS) 的算法实现,同时基于阿里云服务网格 ASM
11 践,为最终用户提供一键开启 mTLS
12 背景
13 云原生技术 Kubernetes
14 微服务之间的所有交互均通过纯文本 HTTP
15 只依赖网络边界来保证安全,一旦内部的某个服务被攻陷,边界安全手段就如马奇诺防
16 线,攻击者可以利用该服务所在的机器作为跳板来攻击内网。
17 服务网格作为一个云原生应用通信的基础设施层,可以进一步控制和增强服务间的安全
18 性。基于 TLS
19 网关的 HTTPS 请求、网格内部服务之间的横向调用过程中的 mTLS
20 内部对外部的访问请求等。
21 在目前非常流行的 Service Mesh 项目 Istio 中,其数据面 Envoy
22 量网关还是作为内部微服务的边车代理,都需要处理大量的 mTLS 请求。TLS
23 为网络安全通信的基石,一次会话的处理过程总体上可分为握手阶段和数据传输阶段,
24 握手阶段最重要的任务是使用非对称加密技术协商出一个会话密钥,然后在数据传输阶
25 段,使用协商出的会话密钥对数据执行对称加密操作,再进行传输。
26 但同时,mTLS
27 密的操作,需要消耗大量的 CPU
28 基于英特尔®
29 ASM
30 解决方案
31 第三代英特尔®
32 可扩展处理器2解决方案 | 基于英特尔® 架构的阿里云服务网格 ASM
33 图 1. 服务网格的 TLS
34 图 2. 阿里云服务网格产品 ASM
35 TLS
36
37
38
39
40
41
42 Service
43 控制平面
44 服务查询&配置参数
45 流量管理规则、/
46 策略、可观测配置
47
48 Handshake
49 控制流
50 应用请求
51
52
53
54
55
56 Envoy
57 TLS
58
59
60
61 Handshake
62 服务网格 ASM 控制面 Identity
63 用户界面/被集成能力:Web 控制台 v2.0/Open
64 托管 ASM 控制面核心组件 — 标准/pro
65 托管核心组件
66 ASM
67 流量管理
68 协议增强 零信任安全 xDS 推送优化 多注册中心
69 弹性伸缩
70 网格诊断
71 智能分析
72 EnvoyFitler
73 扩展中心
74 为运行在异构计算基础设施上的服务提供统一的网格化治理能力
75 ASM 数据面 阿里云 VPC 其他公有云或
76 Pod
77 ASM
78 网关
79 Envoy
80 证书管理
81 协议增强
82 Pod
83
84
85 ACK K8s 集群 & ECI 虚拟节点 Serverless K8s 集群 ECS 虚拟机 边缘集群
86 混合部署
87 WA
88 外部集群
89
90 Proxy
91 ENS
92
93 Service
94
95 ECS
96
97 Service
98
99 ECI
100
36
0
收起右侧
展开右侧
基于英特尔®架构的阿里云服务网格ASM技术加速应用服务加密通
> 概述
<
上一章
下一章
>
读书笔记
我的笔记
暂无相关笔记,快来写一篇吧!
点击浏览下一章
>>