Jetzt Tickets sichern!
DAS DEVOPS SERVICE MESH CAMP
Das Intensivtraining für Service Mesh mit Istio mit Michael Hofmann
20. – 22. November 2023 | Online
Der Frühbucherrabatt endet in:
Nutzen Sie die Gelegenheit Profi in Istio zu werden – dem Game Changer in der Service Mesh Technologie
Istio verfolgt folgenden Ansatz: Jede Anwendung verfügt über ein Proxy Envoy, über den die Kommunikation erfolgt. In Umgebungen wie beispielsweise Kubernetes wird es in einem eigenen Container im selben Pod wie die Anwendung ausgeführt. Klingt interessant? Dann ist dieses Camp genau das richtige für Sie!
3 Tage lang lernen Sie im Service Mesh Camp Intensiv-Training
den Umgang mit Istio. Beginnend mit der Installation von Istio
im lokalen Kubernetes-Cluster und einer Einführung in das
Thema Service Mesh, werden Schritt für Schritt verschiedene Features von Istio vorgestellt.
Im Laufe des gesamten Trainings wird immer wieder auf Best Practices und Security Best Practices eingegangen. Anhand konkreter Code-Beispiele wird das Zusammenwirken mit den notwendigen Istio-Regeln verdeutlicht. Freuen Sie sich auf Hands-On Übungen mit denen Sie ihr Wissen erproben und damit auch vertiefen können.
Themenüberblick
TAG 1: EINFÜHRUNG
- Grundlagen
- Istio in Verbindung mit MicroProfile und SpringBoot
- Aufbau des Service Mesh
- Service Konfiguration und Deployment in Kubernetes
- Istio’s Sidecar
- Istio’s Basis Regeln zum Traffic Management
- Visualisierungsmöglichkeiten des Service Mesh
- Zusätzliche Funktionen
- Request-Tracing inkl. Limitierung der Trace-Datenmenge
und Tracing on Demand - Metrics mit Prometheus und Grafana
- Darstellung eigener Application Metrics
- Alternative Möglichkeiten der Resilienz
- Testen der Resilienz im Service Mesh
- Request-Tracing inkl. Limitierung der Trace-Datenmenge
- Service Mesh Evolution und
Betriebsführung- A/B Testing mit Traffic Shifting und Traffic Mirroring
- Canary Releasing
- EFK Logging Stack: Logging mit Elasticsearch, FLuentd
und Kibana - Istio’s Best Practices
TAG 2: AUTHENTICATIONS
- Ingress Gateway
- Ingress Gateway mit TLS und mTLS
- Sicherheitsaspekte eines Gateway
- Fehlersuche Ingress Gateway
- Peer Authentication
- Istio’s Zertifikat Management
- Aktivierung mTLS für das gesamte Mesh
- Koexistenz verschiedener Workloads
- Fehlersuche mTLS
- Request Authentication
- End-User Authentifizierung
- Integration von JWT und JWKS
- JWT claim basiertes Routing
- Authorization
- AuthorizationPolicy
- Aktivierung default deny-all Regel
- Explizites Ablehnen eines Requests
- Test neuer Policies mit dry run
- Security Best Practices
TAG 3: INSTALLATION
- Request Authorization
- JWT claim basierte Authorization
- JWT claim basiertes Routing
- Egress Gateway
- Kontrollierter Zugriff auf externe Services
- Fehlersuche Egress Gateway
- Installation
- Installations-Arten und Installation von Istio
- Canary Upgrade von Istio selbst
Zeitlicher Ablauf vor Ort und Online
Tag 1:
- Check-In ab 8:30 Uhr
- Trainingszeiten: 9:30 – 17:30 Uhr
- Lunch von 13:00 – 14:00 Uhr
- Get-together mit Getränken und Snacks ab 17:30 Uhr
Tag 2-3:
- Trainingszeiten von 9:00 – 17:00 Uhr
- Lunch von 12:30 – 13:30 Uhr
Tag 1-3 (online):
- Dial-In ab 8:45 Uhr
- Trainingszeiten: 9:00 – 17:00 Uhr
- 2×15-minütige Kaffeepausen am Vormittag: 10:00 – 10:15 Uhr & 11:30 – 11:45 Uhr sowie eine am Nachmittag: 15:15 – 15:30 Uhr
- Lunch von 13:00 – 14:00 Uhr
Zielgruppe und Voraussetzungen
Entwickler, Architekten und Security Engineers, die die Möglichkeiten eines Service Mesh Tools kennenlernen wollen oder die hohe Sicherheitsanforderungen für ihre Microservices in der Cloud umsetzen müssen.
Teilnehmeranzahl:
mindestens 5 und maximal 15 Teilnehmende
Technische Voraussetzungen:
Leistungsfähiges und stabiles Internet mit einem aktuellen Browser
Ein Headset sowie eine Webcam
Fragen & Antworten
Was sind die spezifischen Vorteile von Istio im Vergleich zu anderen Service Mesh Tools?
Istio verfügt im Vergleich zu den Mitbewerbern den vollständigsten Funktionsumfang, den ein Service Mesh Tool bieten sollte. Istio existiert schon seit 2017 und setzte schon damals auf produktiv erprobte Komponenten, wie zum Beispiel den Envoy Proxy. Dadurch kann Istio heute einen reibungslosen und stabilen Betrieb gewährleisten. Mittlerweile ist Istio sogar im CNCF Graduated Status aufgenommen worden, was eine gewisse strategische Stabilität verdeutlicht.
Wie kann Istio bei der Vereinfachung der Service-to-Service Kommunikation helfen?
Die Kommunikations-Beziehungen in einem Geflecht von Microservices können ohne ein passendes Werkzeug nicht mehr vernünftig gesteuert oder kontrolliert werden. Istio stellt hierfür die umfangreichste Sammlung an Funktionalitäten zur Verfügung. Angefangen bei Blue-Green-Deployment oder Canary-Releasing bis hin zu Resilienz und der Manipulation von HTTP-Requests. Aber auch für verschiedene Test-Szenarien bietet Istio passende Regeln an. Damit die Kommunikations-Beziehungen dann noch überblickbar bleiben, werden alle Requests mit Tracedaten versehen und den Observability-Systemen zur Verfügung gestellt.
Wie lange braucht es, um Istio in der Company zu implementieren damit es nutzbar ist?
Die Integration von Istio in ein Unternehmen kann, bis zur produktiven Nutzbarkeit, in wenigen Wochen erfolgen. Wichtig dabei ist ein gutes Zusammenspiel der verschiedenen beteiligten Teams (Kubernetes, Observability, Architektur, Security). Die verwendeten Features von Istio sollten dabei Schritt für Schritt eingeführt werden.
Welche Gründe gibt es für die Firma Istio einzuführen?
Sicherheit wird auch in Zukunft immer wichtiger werden. Das zeigen allein schon die ganzen Berichte über irgendwelche Hacker-Angriffe, die täglich stattfinden. Istio bietet hierfür neben einer mTLS Verschlüsselung auch noch umfangreiche Berechtigungsprüfungen an. Diese können sehr fein granular regeln, welcher Zugriff erlaubt wird oder eben nicht. Durch den Graduated Status von Istio im CNCF ist die strategische Entscheidung zum Einsatz von Istio bestmöglich abgesichert.
Welche Vorteile bietet Service Mesh/Istio in Bezug auf Sicherheit und Observability?
Die Erhöhung der Sicherheit, wie beispielsweise eine Ende-zu-Ende Verschlüsselung, funktioniert nicht ohne eine erhöhten Ressourcen-Bedarf. Im Falle von Istio liegt die verursachte Latenz unter 3ms. Um dies dauerhaft Sicherzustellen, für die Istio Commnity regelmäßig Performance- und Lasttests durch. Aktuell wurde Istio Ambient neu eingeführt, was den Ressourcen-Verbrauch von Istio noch weiter reduziert, indem zum Teil auf Sidecars verzichtet wird.
Ihr Trainer
Michael Hofmann ist als freiberuflicher Berater, Coach, Referent und Autor tätig. Seine langjährigen Projekterfahrungen in den Bereichen Softwarearchitektur, Java Enterprise, DevOps und Cloud hat er sowohl im deutschen, als auch im internationalen Umfeld gesammelt.