在kubernetes中下线或更新一个应用pod是一个需要仔细处理的事情，否则会容易导致应用的服务水平（SLA）下降。这是因为相对于传统的虚机或静态服务器部署的应用，k8s中应用pod极易发生删除、重建、重新部署等活动。在传统环境下短暂连接或请求的中断是可以被接受的，因为此类变化往往发生在特定的有限变更窗口，不会明显损害服务水平。然而，在k8s动态环境下，这类变化可能会发生在任何时刻，频率也会更高，这会放大短暂中断带来的影响，不断累加的结果就是服务水平的明显下降。 因此在k8s中，需要仔细分析和处理pod下线的行为…

Description Gateway API is an open source project managed by the SIG-NETWORK community. It is a collection of resources that model service networking in Kubernetes. These resources - GatewayClass,Gateway, HTTPRoute, TCPRoute, Service, etc - aim to evolve Kuber…

https://cis-c.f5se.io/ F5 CIS-C（Container Ingress Service for China Market, 镜像名称：k8s-bigip-ctlr-c）是一款将Kubernetes集群内服务通过F5 BIG-IP进行自动化发布的控制器软件。帮助用户打通Kubernetes集群与外部入口，将BIG-IP应用交付能力集成到kubernetes技术栈的云环境中。它实现了多团队合作，客户可以灵活的、自动化的创建、变更应用或者服务入口策略，可有效促进企业云原生架构转型。

在上一篇文章中，我们分析了为什么需要对k8s出向流量进行安全管控。并分析了6大类解决方案的特点。可以清晰的看出，将外部安全设施与k8s融合是有效实现出向流量精细化管控的方案。无论是安全管控的技术实现，还是让多团队协作来落地纵深防御的思想，方案都具备了良好的支持和覆盖。 在本篇文章中，我们将具体阐述F5 Container Egress Traffic（CES）方案的一些细节与使用场景。 CES可以理解为一种解决方案，它包含一个运行在k8s内的控制器，以及运行于k8s外部的F5 AFM（虚拟或硬件F5）: CES控制…

伴随基础架构的发展，商用成品服务器（Commercial Off-The-Shelf ，COTS）中的CPU正在花费越来越多的时间用于非业务负载，越来越大的网络速率意味着CPU需要花费更多的开销在网络处理方面。全面SSL加密部署需要更多的CPU算力用于加解密。SDN的发展需要CPU处理越来越多的数据封装与解封装。云原生的发展进一步加剧了代理类中间件对CPU的消耗。 网络接口从2010年的1GbE到2012年的10GbE普及，从2016的40GbE到如今的100GbE的广泛应用，数据中心网络流量正在不断增大。这需要更…

[crayon-651645a872798283500721/] CES是一种解决方案。用于帮助用户更好的管理k8s内容器出向策略。它以k8s原生方式解决了高动态IP场景下出向流量策略控制的挑战，提供丰富的出向控制策略。并通过层次化的设计解决了企业安全、网络、平台、应用运维部门之间多角色配合问题。 方案架构 组件构成 CES方案包含以下组件： CES控制：运行于k8s内的容器。该组件为控制面组件，负责将k8s内部署的出向策略转化为外部数据面组件上的配置。 F5 BIG-IP AFM: 运行于k8s外部的数据面组件。…

在Istio体系下，为了保证策略协调与体验的统一性，用户会考虑使用Istio自身的Ingressgateway作为南北流量的入口， ingressgateway一般是通过deployment方式部署多个pods，分散在集群的多个node上，取决于具体的暴露type，特别是在on-prem部署下，仍然需要在k8s集群外部部署相关负载均衡器来对这些ingressgateway进行负载均衡，一方面可以避免多个入口带来的访问困难与运维难度，另一方面通过高性能高可靠的F5 BIGIP可为k8s集群入口流量提供更多功能控制和安…

前面两篇（1 ，2），我们讲述了NGINX在authorization code模式下的能力，可以简单总结为NGINX既可以作为第三方应用（client）的验证代理，也可以作为Resource server角色对token进行验证或使用。在implicit模式下，NGINX能做什么呢？首先来看implicit模式的工作机制（最近太惨了，前两篇文章的画图ppt给不小心删除了，还清空了垃圾箱。。一般不没什么习惯清空垃圾箱的。。。就不重新画了，google一张图吧。。。） 在这个图里，把user想象你为，把client想…

场景 LTM给NGINX做LB是一种较为典型的双层负载均衡，也就是典型的L4.L7分离的双层负载均衡方案。 在这样的架构下，如果多个NGINX背后所负载的server是一致的话，并不会出现不同的NGINX所面对的server可用数量不同情况。 但是，如果LTM的pool member中的NGINX是位于不同的可用区或者不同的DC，此时LTM如仅做应用层负载均衡或仅monitor nginx本身，那么LTM是无法感知到 NGINX 背后（upstream）到底有多少可用的业务服务器。如果某个 NGINX 的upstr…

[crayon-651645a874416058682307/]

GET nginx-repo.crt and nginx-repo.key， put them into the root of kubernetets-ingress/ Docker login your docker hub with： docker login . or using private repo. follow https://github.com/nginxinc/kubernetes-ingress/blob/master/build/README.md, and build the dock…

对于k8s，openshift等PaaS平台，F5通过Container Ingress Services（CIS，以前叫Container Connector）解决方案实现通过F5 BIGIP将上述PaaS平台中需要对外暴露的服务发布到BIGIP上，从而借助BIGIP更多的应用服务交付能力，并解决原生平台在服务对外暴露上的一些问题。 在CIS解决方案中，通过运行一个bigip controller 容器（以下简称cc），实现对平台中发布的service等资源进行监听并将其转化为BIGIP上的配置。 在cc V1.…

CSDN简版 ： https://mp.weixin.qq.com/s/GA6Y_uaS1hD5I4Nk0N2ghA 什么是ADC. 4 面向的读者... 4 云原生是什么... 5 云原生的定义... 5 云原生的特点... 6 云原生的意义... 8 云原生关键技术... 8 金融行业与云原生... 10 互联网金融... 10 银行金融科技... 10 F5与云原生... 12 拥抱Devops. 12 统一TMOS. 12 自动化Onboarding. 13 自动化License. 13 接口与自动化工具链…

Under Construction

Calico是k8s诸多网络解决方案中比较优秀的一种，使用起来比较容易，且性能也很优秀，支持IPIP的隧道模式，也支持基于路由的全三层方案，特别是三层方案由于不需要额外的隧道开销，使其性能优秀，路由方案只支持BGP路由，这可能多少限制了一些其使用场景，特别是如果企业现有路由方案不是BGP的话，涉及到比较复杂的路由设计与分发考虑，但是由于k8s平台大部分情况下会是独立建设，因此对于数据中心运维人员来说，单纯的路由问题将会是比较熟悉的领域，因此建设难度并不会过于复杂。 F5是应用交付领域的领导者，凭借其优秀的3-7层控…

环境 : flannel vxlan，K8S 1.10， BIGIP V13 前提：将bigip作为node节点加入k8s中。 BIGIP上提前配置好vxlan tunnel和tunnel self ip （这两个资源都在/Common下） 步骤1： 在NS1下创建第一个cc，只监听这个ns内资源: 创建完毕后，F5将在/Common下创建相关FDB条目 步骤2： 在相关ns下发布对应的configmap F5资源 步骤3：在另一个ns里部署一个新的cc 在新的ns里发布相关configmap F5资源即可 最后F…

环境背景： flannel vxlan CNI 网络模型， F5 CC容器对接方案。 目标： 实现在F5上利用route domain对不同NS的流量隔离，类似如下： -- | -- | -- | -- | -- | -- Ns1 | Cc1 | Svc1 | cm1 | Partition 1 | Route domain1 -- | -- | -- | -- | -- | -- Ns2 | Cc2 | Svc2 | cm2 | Partition2 | Route domain2 过程分析： 要想实现不同cc监…