deploy: cloudnativeto/cloudnative.to@6222beb

Author: rootsongjc

404.html

@@ -742,6 +742,10 @@ <h1>找不到页面</h1>
   <h2>最新</h2>
   <ul>
 
+      <li><a href="/blog/jwts-authenticate-services-api-gateways/">JWT 在 API 网关中的角色：服务间认证的新视角</a></li>
+    
+      <li><a href="/blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/">IBM 提出多云世界的新范式：App-centric Connectivity</a></li>
+    
       <li><a href="/blog/matt-created-bitdrift/">Envoy 创始人 Matt Klein 领衔 Bitdrift 创业，推出创新移动可观测性产品并获得 1500 万美元 A 轮融资</a></li>
 
       <li><a href="/event/cloud-native-meetup-guangzhou-13/">云原生社区 meetup 第13期广州站</a></li>
@@ -758,10 +762,6 @@ <h2>最新</h2>
 
       <li><a href="/blog/secure-apps-with-istio/">使用相互 TLS 和 Istio 保护应用程序通信</a></li>
 
-      <li><a href="/blog/startup-playbook/">创业指南</a></li>
-    
-      <li><a href="/blog/gateway-api-ingress2gateway/">Kubernetes Gateway API 正式发布并引入 ingress2gateway 项目用于简化 Gateway API 升级</a></li>
-    
   </ul>
 
 

author/christian-posta/index.html

@@ -813,6 +813,10 @@ <h3>
       <h3>最新</h3>
       <ul>
 
+        <li>
+          <a href="/blog/jwts-authenticate-services-api-gateways/">JWT 在 API 网关中的角色：服务间认证的新视角</a>
+        </li>
+        
         <li>
           <a href="/blog/how-ciliums-mutual-authentication-can-compromise-security/">Ciilium 的相互认证如何危及安全</a>
         </li>

author/christian-posta/index.xml

@@ -21,7 +21,7 @@
 <p>摘要：一种通用方法，用于动态设置出口网关，可以将流量路由到一组受限制的目标远程主机，包括通配符域名。</p>
 <hr>
 <p>如果您正在使用 Istio 处理来自网格外部目标的应用程序发起的流量，那么您可能熟悉出口网关的概念。出口网关可用于监控并转发来自网格内应用程序的流量到网格外的位置。如果您的系统在受限环境中运行，并且希望控制从网格到公共互联网上可以访问什么，那么这是一个有用的功能。</p>
-<p>在<a href="https://archive.istio.io/v1.13/docs/tasks/traffic-management/egress/wildcard-egress-hosts/#wildcard-configuration-for-arbitrary-domains" target="_blank" rel="noopener">官方 Istio 文档</a>中，直到版本1.13，包括配置出口网关以处理任意通配符域名的用例，但随后被移除，因为文档中的解决方案没有得到官方支持或推荐，而且可能在将来的 Istio 版本中失效。尽管如此，旧的解决方案仍然可以在1.20之前的 Istio 版本中使用。然而，Istio 1.20 放弃了一些对该方法工作所需的 Envoy 功能。</p>
+<p>在<a href="https://archive.istio.io/v1.13/docs/tasks/traffic-management/egress/wildcard-egress-hosts/#wildcard-configuration-for-arbitrary-domains" target="_blank" rel="noopener">官方 Istio 文档</a>中，直到版本 1.13，包括配置出口网关以处理任意通配符域名的用例，但随后被移除，因为文档中的解决方案没有得到官方支持或推荐，而且可能在将来的 Istio 版本中失效。尽管如此，旧的解决方案仍然可以在 1.20 之前的 Istio 版本中使用。然而，Istio 1.20 放弃了一些对该方法工作所需的 Envoy 功能。</p>
 <p>本文试图描述我们如何解决了这个问题，并通过使用与 Istio 版本无关的组件和 Envoy 功能以及无需单独的 Nginx SNI 代理来填补这个空白。我们的方法允许旧解决方案的用户在系统面临 Istio 1.20 的重大变化之前无缝迁移配置。</p>
 <h2 id="需要解决的问题">需要解决的问题</h2>
 <p>当前文档记录的出口网关用例依赖于流量的目标（主机名）在 <code>VirtualService</code> 中静态配置，告诉出口网关 pod 中的 Envoy 在哪里 TCP 代理匹配的出站连接。您可以使用多个，甚至是通配符的 DNS 名称来匹配路由条件，但是您无法将流量路由到应用程序请求中指定的确切位置。例如，您可以匹配 <code>*.wikipedia.org</code> 的目标流量，但然后您需要将流量转发到单个最终目标，例如 <code>en.wikipedia.org</code>。如果有另一个服务，例如 <code>anyservice.wikipedia.org</code>，它不是由与 <code>en.wikipedia.org</code> 相同的服务器托管的，那么对该主机的流量将失败。这是因为尽管 HTTP 负载的 TLS 握手中的目标主机名包含 <code>anyservice.wikipedia.org</code>，但 <code>en.wikipedia.org</code> 服务器将无法为该请求提供服务。</p>
@@ -168,7 +168,7 @@
 </span></span><span class="line"><span class="cl"><span class="o">[</span>2023-11-24T13:21:52.798Z<span class="o">]</span> <span class="s2">"- - -"</span> <span class="m">0</span> - - - <span class="s2">"-"</span> <span class="m">1531</span> <span class="m">111950</span> <span class="m">55</span> - <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"envoy://sni_listener/"</span> sni_cluster envoy://internal_client_address/ 172.17.5.170:8443 172.17.34.35:55102 outbound_.443_.wildcard_.egressgateway.istio-egress.svc.cluster.local -
 </span></span><span class="line"><span class="cl"><span class="o">[</span>2023-11-24T13:21:53.000Z<span class="o">]</span> <span class="s2">"- - -"</span> <span class="m">0</span> - - - <span class="s2">"-"</span> <span class="m">821</span> <span class="m">92848</span> <span class="m">49</span> - <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"185.15.59.224:443"</span> dynamic_forward_proxy_cluster 172.17.5.170:48278 envoy://sni_listener/ envoy://internal_client_address/ de.wikipedia.org -
 </span></span><span class="line"><span class="cl"><span class="o">[</span>2023-11-24T13:21:53.000Z<span class="o">]</span> <span class="s2">"- - -"</span> <span class="m">0</span> - - - <span class="s2">"-"</span> <span class="m">1539</span> <span class="m">93646</span> <span class="m">50</span> - <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"-"</span> <span class="s2">"envoy://sni_listener/"</span> sni_cluster envoy://internal_client_address/ 172.17.5.170:8443 172.17.34.35:55108 outbound_.443_.wildcard_.egressgateway.istio-egress.svc.cluster.local -
-</span></span></code></pre></div><p>这里有四条日志条目，代表我们三个 curl 请求中的两个。每一对显示了单个请求如何通过 envoy 流量处理管道流动。它们以相反的顺序打印，但我们可以看到第2和第4行显示请求到达了网关服务，并通过内部的 <code>sni_cluster</code> 目标。第1和第3行显示最终目标是从内部 SNI 头中确定的，即应用程序设置的目标主机。请求将转发到 <code>dynamic_forward_proxy_cluster</code>，最终从 Envoy 发送到远程目标。</p>
+</span></span></code></pre></div><p>这里有四条日志条目，代表我们三个 curl 请求中的两个。每一对显示了单个请求如何通过 envoy 流量处理管道流动。它们以相反的顺序打印，但我们可以看到第 2 和第 4 行显示请求到达了网关服务，并通过内部的 <code>sni_cluster</code> 目标。第 1 和第 3 行显示最终目标是从内部 SNI 头中确定的，即应用程序设置的目标主机。请求将转发到 <code>dynamic_forward_proxy_cluster</code>，最终从 Envoy 发送到远程目标。</p>
 <p>很好，但是第三个请求到 IBM Cloud 在哪里？让我们检查 sidecar 的日志：</p>
 <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-shell" data-lang="shell"><span class="line"><span class="cl">$ kubectl logs <span class="nv">$SOURCE_POD</span> -c istio-proxy
 </span></span><span class="line"><span class="cl">

author/istio/index.xml

@@ -321,7 +321,7 @@
     <meta property="twitter:image" content="https://cloudnative.to/author/%E4%BA%91%E5%8E%9F%E7%94%9F%E7%A4%BE%E5%8C%BA/avatar_hu704adb3a88ed39769145f561e6113c42_6553_270x270_fill_lanczos_center_3.png" /><meta property="og:locale" content="zh" />
 
 
-      <meta property="og:updated_time" content="2023-12-05T16:13:00&#43;08:00" />
+      <meta property="og:updated_time" content="2023-12-08T10:13:00&#43;08:00" />
 
 
 
@@ -809,6 +809,10 @@ <h3>云原生社区责任编辑</h3>
       <h3>最新</h3>
       <ul>
 
+        <li>
+          <a href="/blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/">IBM 提出多云世界的新范式：App-centric Connectivity</a>
+        </li>
+        
         <li>
           <a href="/blog/matt-created-bitdrift/">Envoy 创始人 Matt Klein 领衔 Bitdrift 创业，推出创新移动可观测性产品并获得 1500 万美元 A 轮融资</a>
         </li>

author/云原生社区/index.html

@@ -5,13 +5,74 @@
     <link>https://cloudnative.to/author/%E4%BA%91%E5%8E%9F%E7%94%9F%E7%A4%BE%E5%8C%BA/</link>
       <atom:link href="https://cloudnative.to/author/%E4%BA%91%E5%8E%9F%E7%94%9F%E7%A4%BE%E5%8C%BA/index.xml" rel="self" type="application/rss+xml" />
     <description>云原生社区</description>
-    <generator>Wowchemy (https://wowchemy.com)</generator><language>zh</language><lastBuildDate>Tue, 05 Dec 2023 16:13:00 +0800</lastBuildDate>
+    <generator>Wowchemy (https://wowchemy.com)</generator><language>zh</language><lastBuildDate>Fri, 08 Dec 2023 10:13:00 +0800</lastBuildDate>
     <image>
       <url>https://cloudnative.to/author/%E4%BA%91%E5%8E%9F%E7%94%9F%E7%A4%BE%E5%8C%BA/avatar_hu704adb3a88ed39769145f561e6113c42_6553_270x270_fill_lanczos_center_3.png</url>
       <title>云原生社区</title>
       <link>https://cloudnative.to/author/%E4%BA%91%E5%8E%9F%E7%94%9F%E7%A4%BE%E5%8C%BA/</link>
     </image>
 
+    <item>
+      <title>IBM 提出多云世界的新范式：App-centric Connectivity</title>
+      <link>https://cloudnative.to/blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/</link>
+      <pubDate>Fri, 08 Dec 2023 10:13:00 +0800</pubDate>
+      <guid>https://cloudnative.to/blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/</guid>
+      <description>&lt;p&gt;云原生社区最新报道：近日 IBM 发布了名为「IBM 混合云 Mesh」的多云网络解决方案，旨在为企业提供简单、可扩展、安全的应用程序中心化连接。该解决方案可帮助 CloudOps 团队实现可见性和优化，同时也有助于 DevOps 团队实现业务敏捷性。混合云 Mesh 通过连通各种环境，为应用程序和服务提供了无缝的入口。它还与 IBM NS1 Connect 的 DNS 流量引导功能相结合，提供可预测的延迟、带宽和成本。解决方案的核心组件包括 Mesh Manager 和 Gateways，用于集中管理、策略制定和数据传输。这一新范式将提高应用程序性能和安全性，促进团队协作，助力企业在多云环境中实现创新。&lt;/p&gt;
+&lt;p&gt;在现代企业中，分布式软件应用程序需要始终可用、安全、响应迅速且全球优化的访问。为了为内部和外部用户提供这种应用体验，一个安全的混合云战略至关重要。我们对混合云的愿景非常清晰：帮助客户通过随时随地构建、部署和管理应用程序和服务，加速实现积极的业务成果。&lt;/p&gt;
+&lt;p&gt;传统的 CloudOps 和 DevOps 模型涉及手动工作流程，可能无法提供所需的应用程序体验。IBM 坚信，现在是采取新方法的时候，这个方法是由应用程序本身驱动的。新的范式是通过安全、高性能的应用程序中心化网络来简化混合和多云应用程序交付，以帮助提高应用程序速度并改善 IT 团队之间的协作。&lt;/p&gt;
+&lt;p&gt;就像云可以提供虚拟平台来使用底层资源，比如计算和存储，应用程序中心化连接提供了一个新的网络叠加层，专注于应用程序和服务端点的连接。它与提供物理连接的底层网络完全抽象，因此非常简化。&lt;/p&gt;
+&lt;p&gt;应用程序中心化连接如何帮助 IT 团队？对于 CloudOps 团队，这种方法有助于实现可见性和优化。对于 DevOps 团队，它有助于实现业务敏捷性。两个团队都可以从更好的团队协作中受益，拥有共同的用户体验（UX），自定义拓扑视图以及管理和查看 SLO 和资源状态的能力。&lt;/p&gt;
+&lt;p&gt;&lt;strong&gt;全新网络范式的实际应用：IBM 混合云 Mesh&lt;/strong&gt;&lt;/p&gt;
+&lt;p&gt;&lt;a href=&#34;https://www.ibm.com/products/hybrid-cloud-mesh&#34; target=&#34;_blank&#34; rel=&#34;noopener&#34;&gt;IBM 混合云 Mesh&lt;/a&gt;，这是今年早些时候宣布的一款多云网络解决方案，现已推出。这款新的 SaaS 产品旨在允许组织建立简单、可扩展的安全应用程序中心化连接。该产品还被设计成可预测的，关于延迟、带宽和成本。它专为 CloudOps 和 DevOps 团队设计，以无缝地管理和扩展网络应用程序，包括运行在 Red Hat OpenShift 上的云原生应用程序。&lt;/p&gt;
+&lt;p&gt;您将发现一种无缝的入口，用于在异构的其他环境中提供应用程序和服务，例如，将混合云 Mesh 与&lt;a href=&#34;https://www.ibm.com/products/ns1-connect&#34; target=&#34;_blank&#34; rel=&#34;noopener&#34;&gt;IBM NS1 Connect&lt;/a&gt;的 DNS 流量引导功能结合使用，这是一款用于向数百万用户交付内容、服务和应用程序的 SaaS 解决方案。&lt;/p&gt;
+&lt;p&gt;&lt;strong&gt;IBM 混合云 Mesh 的架构：&lt;/strong&gt;&lt;/p&gt;
+&lt;p&gt;
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+&lt;figure  id=&#34;figure-ibm-hybrid-cloud-mesh-架构&#34;&gt;
+  &lt;div class=&#34;d-flex justify-content-center&#34;&gt;
+    &lt;div class=&#34;w-100&#34; &gt;&lt;img alt=&#34;IBM Hybrid Cloud Mesh 架构&#34; srcset=&#34;
+               /blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/image-20231208122302863_hu9344f1c723e57b4ec3c83c77593cca8e_326583_f0784df6bc61e8f1beef0dd3dc9d975f.webp 400w,
+               /blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/image-20231208122302863_hu9344f1c723e57b4ec3c83c77593cca8e_326583_5bee523ce57baf75095d9ca02d7e7856.webp 760w,
+               /blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/image-20231208122302863_hu9344f1c723e57b4ec3c83c77593cca8e_326583_1200x1200_fit_q75_h2_lanczos_3.webp 1200w&#34;
+               src=&#34;https://cloudnative.to/blog/app-centric-connectivity-a-new-paradigm-for-a-multicloud-world/image-20231208122302863_hu9344f1c723e57b4ec3c83c77593cca8e_326583_f0784df6bc61e8f1beef0dd3dc9d975f.webp&#34;
+               width=&#34;760&#34;
+               height=&#34;388&#34;
+               loading=&#34;lazy&#34; data-zoomable /&gt;&lt;/div&gt;
+  &lt;/div&gt;&lt;figcaption&gt;
+      IBM Hybrid Cloud Mesh 架构
+    &lt;/figcaption&gt;&lt;/figure&gt;
+&lt;/p&gt;
+&lt;p&gt;该产品设计的关键是两个主要的架构组件：&lt;/p&gt;
+&lt;ul&gt;
+&lt;li&gt;Mesh Manager 提供了集中的管理和策略平面，具有可观察性。&lt;/li&gt;
+&lt;li&gt;Gateways 实施混合云 Mesh 的数据平面，并充当虚拟路由器和连接器。这些网关通过 Mesh Manager 进行集中管理，部署在云上和客户端上。有两种类型的网关：1) 边缘网关，部署在工作负载附近，用于转发、安全执行、负载平衡和遥测数据收集；2) Waypoint，在靠近互联网交换和共同机房点的出口点部署，用于路径、成本和拓扑优化。&lt;/li&gt;
+&lt;/ul&gt;
+&lt;p&gt;&lt;strong&gt;IBM 混合云 Mesh 的主要特点：&lt;/strong&gt;&lt;/p&gt;
+&lt;ul&gt;
+&lt;li&gt;&lt;strong&gt;持续的基础设施和应用程序发现：&lt;/strong&gt; Mesh Manager 持续发现并更新多云部署基础设施，使部署的应用程序和服务的发现成为自动化体验。持续发现使 Mesh Manager 保持对云资产变化的感知。&lt;/li&gt;
+&lt;li&gt;&lt;strong&gt;无缝连接：&lt;/strong&gt; DevOps 或 CloudOps 可以通过 UI 或 CLI 表达其连接意图，Mesh 将连接指定的工作负载，无论它们的位置如何。&lt;/li&gt;
+&lt;li&gt;&lt;strong&gt;安全性：&lt;/strong&gt; 基于零信任原则，Mesh 只允许基于用户意图的通信。所有网关都经过签名，威胁表面得到解决，因为它们只能通过 Mesh Manager 进行配置。&lt;/li&gt;
+&lt;li&gt;&lt;strong&gt;可观察性：&lt;/strong&gt; Mesh 通过 Mesh Manager的day0/day1 UI 提供全面的监视，提供有关部署环境、网关、服务和连接指标的详细信息。&lt;/li&gt;
+&lt;li&gt;&lt;strong&gt;流量工程能力：&lt;/strong&gt; 利用 Waypoint，混合云 Mesh 被设计成可优化成本、延迟和带宽的路径，以增强应用程序性能和安全性。&lt;/li&gt;
+&lt;li&gt;&lt;strong&gt;集成工作流程：&lt;/strong&gt; DevOps、NetOps、SecOps 和 FinOps 工作流程在协作的交响曲中汇聚，通过单一和和谐的玻璃窗口提供端到端的应用程序连接。&lt;/li&gt;
+&lt;/ul&gt;
+</description>
+    </item>
+    
     <item>
       <title>Envoy 创始人 Matt Klein 领衔 Bitdrift 创业，推出创新移动可观测性产品并获得 1500 万美元 A 轮融资</title>
       <link>https://cloudnative.to/blog/matt-created-bitdrift/</link>

author/云原生社区/index.xml

@@ -1826,7 +1826,7 @@
 <p>具体到 istio 的场景中：</p>
 <ul>
 <li>在单 k8s 集群的 istio mesh 中，Galley 默认实现了<code>ResourceSource</code> service, Pilot 和 Mixer 会作为该 service 的 client 主动连接 Galley 进行配置订阅。</li>
-<li>Galley 可以配置去主动连接远程的其他 sink, 比如说在多 k8s 集群的 mesh 中，主集群中的 Galley 可以为多个集群的 Pilot/Mixer 提供配置管理，跨集群的Pilot/Mixer无法主动连接主集群Galley, 这时候 Galley 就可以作为 gRPC 的 client 主动发起连接，跨集群的 Pilot/Mixer 作为 gRPC server 实现<code>ResourceSink</code>服务，</li>
+<li>Galley 可以配置去主动连接远程的其他 sink, 比如说在多 k8s 集群的 mesh 中，主集群中的 Galley 可以为多个集群的 Pilot/Mixer 提供配置管理，跨集群的 Pilot/Mixer 无法主动连接主集群 Galley, 这时候 Galley 就可以作为 gRPC 的 client 主动发起连接，跨集群的 Pilot/Mixer 作为 gRPC server 实现<code>ResourceSink</code>服务，</li>
 </ul>
 <p>两种模式的示意图如下：</p>
 <p>