Еще Maesh появился на Traefik. Без сайдкаров, чтоб таблицы маршрутизации не пухли
https://blog.containo.us/announcing-maesh-a-lightweight-and-simpler-service-mesh-made-by-the-traefik-team-cb866edc6f29

Миш, у вас все на gcp? Не нужен вам там точно никакой отдельный istio и прочие на начальном этапе. Вот будет сотня сервисов - посмотрите. А так YAGNI :)

В общем, чем более event-driven, тем меньше service discovery! :)

Сергей, как же ты классно сказал:)

и без mTLS

Спасибо!

На уровне фильтров на ближайшей точке входа. По классике если.
Если протокол на базе структур данных, пишется фильтр для ACL фаервола или DPI. Если на базе XML можно просто в DPI разрулить. Там уже года два назад была поддержка анализа схем и атрибутов.

Если сервис внутренний, то фильтр ставить на коннектор приложения или сокет.

Управление этой шарманкой можно разрулить политиками на уровне какого-то ldap даже.

Нет, у нас будет Azure

Нет, но у нас права доступа в данный момент формируются и проверяются вообще на внешних gateway. Если нужно что-то контролировать на внутренних сервисах - то через  JWT-токены (которые, впрочем, все равно на каком уровне можно разбирать и анализировать).
Вот погоняю нашу модель еще на нескольких разных сценариях и клиентах - и попробую статью написать, там все очень удобно пока получается (ну, кроме row-level security, но я вообще в нее не верю в "универсальном" виде, там всегда все заточено на конкретную предметную область и задачу)

подпишусь на почитать/послушать)

А как оно с tls? Или человек посередине во все поля?

Есть несколько стратегий.
1. Шифровать там, где есть значимые риски перехвата данных. Например при передаче по открытым сетям. Тогда на конечных точках от TLS можно отказаться.
2. Использовать единый корневой сертификат с выдачей удостоверений по политике PKI ну и соответственно MITM для расшифровки.
3. Шифровать критичные поля payload, при этом идентификаторы оставляя открытыми.

TLS хорош там, где передача данных идёт везде между клиентом и сервисом с риском перехвата и компрометации. Если строите внутреннюю инфраструктуру, то шифровать сообщения на шине - непонятно какой риск снимаете)

Есть же tinc -- или там "криптография не доказана"?

Вообще с шифрованием и защитой данных это прям глубокая и интересная тема. И простым TLS защищаться от всего подряд - это может быть знатным оверкилом по нагрузке и сложности инфраструктуры.

Блин, ну продумайте же сначала стратегию защиты данных, что у вас там критичного, как это можно использовать, и посчитайте тупо экономику сравнив затраты на разработку и сопровождение и стоимость устранения последствий наступления рисков. Вероятности же статистические в этой теме давно опубликованы.

А откуда оверкилл? Или там сотни гигабит трафика бегает?

Мне всегда казалось оптимальным в закрытых средах ставить TLS  на точках подключения к публичным сетям и ограничивать интерфейсы получения доступа.

Сопровождение у инфраструктуры PKI сложное достаточно.