Linkerd 2.3正式公佈：為Kubernetes提供零接觸、零信任網路-知識星球

今天，我們很高興能夠正式推出Linkerd 2.3。這套畢業版本的釋出，標志著mTLS已經由實驗環境正式成長為一項全面支援功能，同時帶來一系列重要的安全基元。最重要的是，Linkerd 2.3在預設設定下即可在網格服務之間提供經過身份驗證的保密通訊能力。

這也意味著在一年多之前剛剛著手解決這項挑戰時，我們所面臨的問題獲得了理想的答案：我們能否為Kubernetes提供易用性甚至高於非安全通訊機制的安全通訊能力？

這不僅僅是一個理論層面的問題。在目前這個大多數網路瀏覽器與網路站點都自帶加密與身份驗證，而使用者則完全無需為安全憂心的世界當中，Kubernetes服務一直以無身份驗證以及明文方式進行通訊才是最奇怪、或者說無法接受的情況。為什麼相較於在Reddit上隨意亂逛，在安全性方面反而高於我們探索自己的應用程式內部架構？這不合常理，也無法接受。

保護各Kubernetes服務之間的通訊內容，是實現零信任網路體系的重要一步。在零信任方法當中，我們不再對資料中心安全邊界做出種種不切實際的假設，而是將與身份驗證、授權以及機密性相關的要求“落地”至各個單元。在Kubernetes術語當中，這意味著上述要求將執行在各叢集內以驗證、授權並加密對應通訊內容。

然而，會給使用者帶來負擔的安全保障機制（特別是複雜的設定與配置要求）絕不可能是良好的安全方案。如果零信任真的會成為Kubernetes未來網路安全的基礎，那麼零信任原則的採用成本也必須盡可能接近於零。在Linkerd 2.3當中，我們決定直面這一挑戰：

控制平面中附帶證書頒發機制（簡稱為「身份」）。
資料平面各代理從身份服務處接收TLS證書，該證書與代理所歸屬的Kubernetes服務賬戶系結，且每24小時進行一次輪換。
資料平面各代理會自動對網格服務間的通訊進行升級，從而利用證書實現TLS連線的驗證與加密。
由於控制平面同樣執行在資料平面之上，因此控制平面各元件之間的通訊也將以同樣的方式得到保護。

以上提到的一切都將預設啟用，不需要額外配置。換言之，從2.3版本開始，Linkerd將為您的全部網格服務之間提供經過加密以及身份驗證的通訊通道，而使用者則可直接享受一切“勝利果實”。雖然單憑這一次升級還無法實現Kubernetes中建立零信任網路的全部要求，但這仍然是一次重要的開端與嘗試。

此版本代表著Linkerd安全路線圖的重大進步。在即將釋出的博文當中，Linkerd締造者Oliver Gould將詳盡介紹這種方法在設計過程中的權衡，同時講解Linkerd即將逐步實施的證書鏈、TLS實現、服務賬戶外身份與授權等發展路線圖。再有，我們還計劃於2019年4月24日星期三上午10點（太平洋時間）召開Linkerd線上社群會議[1]，這些主題（以及2.3版本帶來的其它有趣功能）當然也將成為會上的討論熱點。

準備好進行體驗了嗎？如果您一直在透過我們的每週邊緣發行版[2]關註2.x分支釋出，那麼可能已經對這些功能的實際應用體驗非常熟悉。即使沒有，您也可以透過執行以下命令下載我們的2.3穩定版本：

curl https://run.linkerd.io/install | sh

最後，還要向大家再做個彙報：2.3版本中採用的安全方法已經得到Smallstep、Cloudflare、Let’s Encrypt以及Mozilla等社群合作伙伴的應用，並幫助他們更好地實現網際網路整體安全提升這一宏大願景。

Linkerd是一個社群專案，由雲原生計算基金會負責託管。如果您有任何功能要求、問題或者評論，我們誠摯邀請您加入我們蓬勃發展的年輕社群！Linkerd在GitHub[3]擁有託管庫，並透過Slack[4]、Twitter[5]以及郵件串列[6]與世界各地的社群參與者積極溝通。快來加入吧！

相關連結：

https://www.meetup.com/Linkerd-Online-Community-Meetup/events/260356731/
https://linkerd.io/2/edge
https://github.com/linkerd/
https://slack.linkerd.io/#_ga=2.124954634.1421619741.1555474241-444554766.1553843109
https://twitter.com/linkerd
https://linkerd.io/2/get-involved/

原文連結：https://linkerd.io/2019/04/16/announcing-linkerd-2.3/

釋出到看一看

</div><br />
<p><span class=”like_comment_msg” id=”js_b_like_comment_msg” style=”visibility: hidden;”>最多200字，當前共<span id=”js_b_like_current_cnt”/>字</span><br />
</div><br />
</div><br />
<div class=”like_comment_primary_mask” id=”js_mask_2″/><br />
</div><br />
<div id=”js_loading” style=” display: none;”><br />
<div class=”weui-mask_transparent”/><br />
<div class=”weui-toast”><br />
<i class=”weui-loading weui-icon_toast”/></p><br />
<p class=”weui-toast__content”>傳送中</p><br />
</div><br />
</div><br />
<div id=”js_fail” style=”display:none”><br />
<div class=”weui-mask”/><br />
<div class=”weui-dialog”><br />
<div class=”weui-dialog__bd”><br />
        網路異常，請稍後重試    </div><br />
<div class=”weui-dialog__ft”><br />
<a class=”weui-dialog__btn weui-dialog__btn_primary” href=”javascript:;” id=”js_fail_inform”>知道了</a><br />
</div><br />
</div><br />
</div><br />
<div class=”weui-desktop-popover weui-desktop-popover_pos-up-center weui-desktop-popover_img-text” id=”js_pc_weapp_code” style=”display: none;”><br />
<div class=”weui-desktop-popover__content”><br />
<div class=”weui-desktop-popover__desc”><br />
<img id=”js_pc_weapp_code_img”/><br /><br />
            微信掃一掃<br/>使用小程式<span id=”js_pc_weapp_code_des”/> </div><br />
</div><br />
</div><br />
<div id=”js_minipro_dialog” style=”display:none;”><br />
<div class=”weui-mask”/><br />
<div class=”weui-dialog”><br />
<div class=”weui-dialog__bd”>即將開啟”<span id=”js_minipro_dialog_name”/>”小程式</div><br />
<div class=”weui-dialog__ft”><br />
<a class=”weui-dialog__btn weui-dialog__btn_default” href=”javascript:void(0);” id=”js_minipro_dialog_cancel”>取消</a><br /><br />
<a class=”weui-dialog__btn weui-dialog__btn_primary” href=”javascript:void(0);” id=”js_minipro_dialog_ok”>開啟</a><br />
</div><br />
</div><br />
</div><br />
</div><br />

Linkerd 2.3正式公佈：為Kubernetes提供零接觸、零信任網路

朋友會在“發現-看一看”看到你“在看”的內容

朋友將在看一看看到

釋出到看一看

相關推薦

熱門標籤

熱門文章

分享創造快樂