PD
Но мы свой меш тоже на го сделали. Но не из-за горутин, конечно.
Size: a a a
2020 February 20
PD
чому стрёмно? типа новая необкатанная технология и риски? ну на какой-нибудь пилот некритичный тогда его завезти попробовать... логи например гнать или телеметрию, для не прод.конутра или еще что-то типа того
Так его интересно не для логов, а для процессинга. А там поддержки платной нет, комьюнити нет и т.п.
AK
Так его интересно не для логов, а для процессинга. А там поддержки платной нет, комьюнити нет и т.п.
ты под процессингом имеешь в виду обработку стримов реал-тайм и pulsar functions?
PD
А для логов и прочего уже есть Кафка. Мне от пульсара нужно то - много мелких топиков, с этим Кафка не очень. (Много - это десятки миллионов).
PD
ты под процессингом имеешь в виду обработку стримов реал-тайм и pulsar functions?
Не, процессинг платежных транзакций
PD
Pulsar functions и стримы нафиг не нужны (мне).
PD
Вообще надстройки над очередями скорее усложняют дело, нежели упрощают - гарантии определять сложно
AK
А для логов и прочего уже есть Кафка. Мне от пульсара нужно то - много мелких топиков, с этим Кафка не очень. (Много - это десятки миллионов).
уххх. мне там интересным очень показался распределённый sql по логам ещё, кафку как холодное хранилище тяжко использовать, а вот пульсар бы мог это сочетать и стрим персистетный и если что - достать что-то оттуда, а не переливать в касандры всякие.
(но хз насколько хорошо оно работает и рабоает ли, никаких отзывов или докладов)
(но хз насколько хорошо оно работает и рабоает ли, никаких отзывов или докладов)
I
Кстати. раз вопрос про API зашел. Что вы используете для authentication/authorization во внутренних API? Понятно что для внешних эндпоинтов OAuth2/OpenId или что-то подобное вполне разумно, но что для внутренних, там где уровень доверия выше - API-Key достаточно?
RT
Кстати. раз вопрос про API зашел. Что вы используете для authentication/authorization во внутренних API? Понятно что для внешних эндпоинтов OAuth2/OpenId или что-то подобное вполне разумно, но что для внутренних, там где уровень доверия выше - API-Key достаточно?
У нас TLS/SSL аутенфикация по сертификату клиента. Правда вообще все завимодействия по TLS, такие требования.
RT
API -key будет тривиально скопирован, нужен хотя бы HMAC
PD
уххх. мне там интересным очень показался распределённый sql по логам ещё, кафку как холодное хранилище тяжко использовать, а вот пульсар бы мог это сочетать и стрим персистетный и если что - достать что-то оттуда, а не переливать в касандры всякие.
(но хз насколько хорошо оно работает и рабоает ли, никаких отзывов или докладов)
(но хз насколько хорошо оно работает и рабоает ли, никаких отзывов или докладов)
Всё-таки как холодное хранилище у меня куча разных баз под разные нужды.
I
У нас TLS/SSL аутенфикация по сертификату клиента. Правда вообще все завимодействия по TLS, такие требования.
Та у нас тоже TLS. И дополнительно к это иногда надо передать данные о конечном пользователе, а их можно сразу получить из JWT. У вас кроме сертификатов внутри ничего нет? И вы их кстати рефрешите переодически?
RT
Та у нас тоже TLS. И дополнительно к это иногда надо передать данные о конечном пользователе, а их можно сразу получить из JWT. У вас кроме сертификатов внутри ничего нет? И вы их кстати рефрешите переодически?
Естественно сертификаты регулярно меняем. Реализовано самодельными скриптами на основе ansible. В целом, тоже ищем альтернативы. TLS это stateful протокол, не очень удобный для облака.
I
API -key будет тривиально скопирован, нужен хотя бы HMAC
Та да, ключ не сильно лучше basic а по-сути тоже самое. Чем токены хороши что в них можно запихнуть и информацию необходимую для авторизации, например роли
I
Естественно сертификаты регулярно меняем. Реализовано самодельными скриптами на основе ansible. В целом, тоже ищем альтернативы. TLS это stateful протокол, не очень удобный для облака.
Особенно стремно когда надо получить запрос из Internet с OpenID токеном, потом пропустить его во внутренний легаси кусок, который ничего кроме basic не может, при этом сохранив информацию о конечном пользователе из JWT
RT
Та у нас тоже TLS. И дополнительно к это иногда надо передать данные о конечном пользователе, а их можно сразу получить из JWT. У вас кроме сертификатов внутри ничего нет? И вы их кстати рефрешите переодически?
JWT как идея хорош, но пригоден лишь для передачи мета-информации о клиенте. А если хочется аутентифицировать полный документа запроса, то можно использовать JWS. А если нужна защита транфика то еще JWE)
RT
JWT можно “подложить” в поле login для Basic авторизации
I
JWT как идея хорош, но пригоден лишь для передачи мета-информации о клиенте. А если хочется аутентифицировать полный документа запроса, то можно использовать JWS. А если нужна защита транфика то еще JWE)
Ну мы в основном OpenID Connect используем. Там много чено понапихано :)
PD
У нас TLS/SSL аутенфикация по сертификату клиента. Правда вообще все завимодействия по TLS, такие требования.
Угу. Ещё и с зашифрованными ключницами.