服务网格架构为控制和保障服务间的通信,提供了非常丰富的功能。对金融机构和其他在监管领域工作的行业,例如是 PCI、HIPAA 等,传输中加密就是一项相当重要的功能。

对于正在迁移到微服务架构的金融机构,为了适应瞬息万变的法规和行业标准,他们必须保持合规。 FICO 是一家数据分析公司,因提供消费者信用评级服务而闻名。 他们同时也为全球各地提供广为使用的高量分析工具和软件。

自 2019 年,FICO 开始使用 Istio ,并正式应用在它的数据管理平台。 它的内部虽然有专人负责迁移到 Kubernetes 工作负载,但却遇上了性能的问题,于是 FICO 人员联络了 Tetrate 的专家,希望能够解决在 PCI 合规上启用 Istio 的难题。

难题

FICO 开始从单体架构迁移至微服务,它需要确保新环境能够像其遗留基础设施一样符合 PCI 合规的标准。

PCI 合规标准规定了所有数据在传输中必须是经加密的,而且当「存放」在数据库时也必须是保持加密的。FICO 的工程团队对 Kubernetes 相当熟手,但当需要成功应用 Istio 的控制平面,以达到像是双向 TLS(mTLS)和认证管理、轮换等所需的数据加密要求时,他们则需要帮助。 FICO 在接触 Tetrate 之前,已经知悉 Istio 的威力,并已经实际地将之应用在它的环境之中。

FICO 的人员知道服务网格提供了一个易于使用、跨语言的方案, 能够确保所有流量在传输过程都是加密的; 但同时想获得 Tetrate 的知识和专业能力,以便他们跟上行业的最佳实践,并将 mTLS 成功投入整体业务运作。

解决方案

Tetrate 通过提供容器和Istio 安全性能力,以及合规方面的训练和咨询,让 FICO 更快速地迁移至微服务,并在生产时加以应用 Istio。 Tetrate 利用 mTLS 成功帮助 FICO 保障它的工作负载的安全性。另一方面,考虑到 FICO 的微服务应用和业务环境持续发展,Tetrate 决定进一步训练 FICO 的业务人员,确保他们深入了解 Istio,并能够独立地进行有关操作。

在初步咨询阶段时,Tetrate 首先摸清了 FICO 的环境, 并发现 FICO 的控制平面效能潜藏十分严重的问题。 原因是 FICO 的 PCI 合规设定并没有将资源效用最大化 ––而是长期依靠 160 个 Pod 来支持它的控制平面。

此外,FICO 和 Tetrate 亦架起了企业机构和开源社区之间的桥梁。双方专注在 FICO 已知的问题和程序错误,按优先级处理。

Tetrate 目前正与 FICO 继续合作,将它的 egress 从 Squid 迁移到 Envoy,用以改善效能、提升弹性,以及提供故障转移能力。

影响

和 Tetrate 建立伙伴关系后,为 FICO 带来了这些影响:

    • 成功应用 Istio,实现传输中加密能力 (PCI 合规)
    • 在开源社区中获得更快速的治理功能
    • 意外收获是在资源最大化利用方面大为改善
    • 为迁移应用到微服务的成功打好了基础
    • 运营效率和设施成本最优化
    • 由行业专家所带来的知识和领域熟悉度

多亏有 Tetrate 的帮助,通过升级 Istio 和更改 Envoy Sidecar 的负载上限,FICO 终于将 Pod 的数量大大减低了 90%。

FICO 和 Tetrate 的伙伴关系将对 FICO 的业务有深远的影响:

“FICO 工程部副总经理 Jeet Kaul 告诉我们 :”感谢 Tetrate 提供可马上付诸行动的建议,让我们能够针对那些需要加以改善的地方, 切实采用 Istio 被获得了如此显著的改善,这些地方包括: PCI 合规、资源运用和运营效率。 Tetrate 的团队具备很强的专业知识,有了他们的帮助,我们预期将服务网格延展到更多额外的场景上使用。

Tetrate 内容创作者 Eileen AJ Connelly、Tevah Platt、Sean O’Dell 和 Tia Louden 对此文章作出了贡献。

作者