[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"question-setevaya-bezopasnost-chto-takoe-service-mesh-i-kak-on-obespechivaet-bezopasnost":3},{"id":4,"slug":5,"topicId":6,"topicSlug":7,"topicName":8,"topicEmoji":9,"question":10,"answer":11,"codeLang":12,"codeSrc":12,"important":12,"commonMistakes":12,"modernUsage":12,"difficulty":13,"tags":14,"related":16,"progress":17,"seo":18},1201,"chto-takoe-service-mesh-i-kak-on-obespechivaet-bezopasnost",24,"setevaya-bezopasnost","Сетевая безопасность","🔒","Что такое Service Mesh и как он обеспечивает безопасность?","Service Mesh — инфраструктурный слой, управляющий межсервисным взаимодействием в микросервисной архитектуре через sidecar-прокси (Envoy), которые внедряются в каждый под и перехватывают весь сетевой трафик.\n\n### Основные реализации\n\n| Решение | Описание |\n|---------|----------|\n| Istio | Наиболее функциональный, использует Envoy, поддержка Google |\n| Linkerd | Легковесный, написан на Rust (прокси), проще в эксплуатации |\n| Consul Connect | От HashiCorp, интегрируется с Consul для service discovery |\n\n### Архитектура Service Mesh (Istio)\n\n```\n┌──────────────── Control Plane (istiod) ─────────────────┐\n│  Pilot (конфигурация маршрутов)                          │\n│  Citadel (управление сертификатами, mTLS)                │\n│  Galley (валидация конфигурации)                         │\n└─────────────────────────────────────────────────────────┘\n         │                              │\n    ┌────▼─────────────┐     ┌──────────▼──────────┐\n    │  Pod              │     │  Pod                 │\n    │ ┌───────────────┐ │     │ ┌──────────────────┐ │\n    │ │ payment-svc   │ │     │ │ account-svc      │ │\n    │ └───────┬───────┘ │     │ └───────┬──────────┘ │\n    │ ┌───────▼───────┐ │     │ ┌───────▼──────────┐ │\n    │ │ Envoy sidecar │◄────►│ │ Envoy sidecar    │ │\n    │ └───────────────┘ │     │ └──────────────────┘ │\n    └───────────────────┘     └──────────────────────┘\n          mTLS-соединение\n```\n\n### Автоматический mTLS между сервисами\n\n```yaml\n# Istio PeerAuthentication: включение mTLS для всего mesh\napiVersion: security.istio.io\u002Fv1beta1\nkind: PeerAuthentication\nmetadata:\n  name: default\n  namespace: istio-system\nspec:\n  mtls:\n    mode: STRICT\n```\n\n```yaml\n# Разрешить трафик только от конкретных сервисов\napiVersion: security.istio.io\u002Fv1beta1\nkind: AuthorizationPolicy\nmetadata:\n  name: payment-policy\n  namespace: payment\nspec:\n  selector:\n    matchLabels:\n      app: payment-service\n  action: ALLOW\n  rules:\n    - from:\n        - source:\n            principals:\n              - \"cluster.local\u002Fns\u002Fgateway\u002Fsa\u002Fapi-gateway\"\n      to:\n        - operation:\n            methods: [\"POST\"]\n            paths: [\"\u002Fapi\u002Ftransfers\u002F*\"]\n```\n\n### Возможности Service Mesh для безопасности\n\n1. Автоматический mTLS — шифрование и аутентификация всех межсервисных соединений без изменения кода\n2. Авторизация на уровне сервисов (AuthorizationPolicy) — какой сервис может вызывать какой\n3. Наблюдаемость — метрики, логи, трассировки для всего трафика\n4. Rate Limiting — ограничение запросов между сервисами\n5. Ротация сертификатов — автоматическая, без простоя\n\n### Linkerd (более простая альтернатива)\n\n```bash\n# Установка\ncurl -sL https:\u002F\u002Frun.linkerd.io\u002Finstall | sh\nlinkerd install | kubectl apply -f -\n\n# Добавление sidecar к деплойменту\nkubectl get deploy payment-service -o yaml | linkerd inject - | kubectl apply -f -\n\n# Проверка mTLS\nlinkerd viz edges deployment -n payment\n```\n\nService Mesh решает ключевую задачу — обеспечивает шифрование и аутентификацию трафика между микросервисами автоматически, без необходимости настраивать TLS в каждом сервисе вручную.\n\n> **На собеседовании:** интервьюер хочет услышать про sidecar-паттерн, автоматический mTLS и AuthorizationPolicy. Частая ошибка — описывать Service Mesh только как «маршрутизатор» и не упомянуть его роль в обеспечении безопасности (mTLS, авторизация, ротация сертификатов).","","senior",[15],"network-security",[],null,{"title":19,"description":20,"ogTitle":19,"ogDescription":21,"keywords":22,"schemaAnswer":23,"featuredSnippetReady":24},"Что такое Service Mesh и как он обеспечивает безопасность? — Gymterview","Service Mesh — инфраструктурный слой, управляющий межсервисным взаимодействием в микросервисной архитектуре через sidecar-прокси (Envoy), которые внедряются в к","Service Mesh — инфраструктурный слой, управляющий межсервисным взаимодействием в микросервисной архитектуре через sideca",[15,13],"Service Mesh — инфраструктурный слой, управляющий межсервисным взаимодействием в микросервисной архитектуре через sidecar-прокси (Envoy), которые внедряются в каждый под и перехватывают весь сетевой трафик.",true]