Оптимизация производительности сетевого взаимодействия между сервисами в mesh-сети на основе Istio. Требовалось выявить и устранить узкие места, связанные с overhead Service Proxy (Envoy), настройкой mTLS и policy engine. Это включало анализ метрик Istio (продолжительность запросов, количество ошибок, задержки), трассировку распределенных запросов и тюнинг конфигурации Envoy.
Решение проблем с маршрутизацией трафика в динамически масштабируемых кластерах Kubernetes. При изменении масштаба сервисов возникали задержки в распространении EndpointSlices и некорректная балансировка нагрузки. Решилось настройкой более агрессивных тайм-аутов кеширования в kube-proxy и использованием более продвинутых алгоритмов балансировки на ingress-контроллере (например, least_request).
Реализация безопасного взаимодействия между контейнерами в разных подсетях с строгими правилами сетевых политик (Network Policies). Необходимо было настроить политики таким образом, чтобы разрешить только необходимый трафик между специфическими парами подов или неймспейсов, одновременно блокируя весь остальной. Это требовало глубокого понимания селекторов Network Policies и механизмов их применения сторонними CNI плагинами (например, Calico).
Отладка проблем с разрешением имен (DNS) внутри контейнеров, особенно в средах с несколькими DNS-серверами или сложными правилами перенаправления. Приходилось анализировать трафик на уровне подов с помощью tcpdump и проверять конфигурацию /etc/resolv.conf в контейнерах, а также конфигурацию CoreDNS в кластере Kubernetes.
bashyamlРешение сложностей, связанных с использованием нестандартных протоколов, которые не поддерживаются "из коробки" на уровне Service Mesh или CNI, и требовали кастомных настроек proxy или специализированных решений. Например, организация взаимодействия по протоколу, отличному от HTTP/1.1 или gRPC, внутри Istio, что могло потребовать написания собственных фильтров Envoy.