المهارات service-mesh-expert
📦

service-mesh-expert

آمن

تصميم معماريات شبكة الخدمات مع Istio وLinkerd

تحتاج الخدمات المصغرة إلى اتصال آمن وقابل للمراقبة دون تعقيد. توفر هذه المهارة إرشادات خبيرة حول نشر Istio وLinkerd مع شبكات عدم الثقة وإدارة حركة المرور.

يدعم: Claude Codex Code(CC)
📊 70 كافٍ
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "service-mesh-expert". طلب تكوين mTLS

النتيجة المتوقعة:

تكوينات PeerAuthentication وDestinationRule خطوة بخطوة لفرض mTLS صارم على مستوى العنقود، بدءاً من مسار هجرة الوضع المتسامح وأوامر التحقق لتأكيد التشفير.

استخدام "service-mesh-expert". تصحيح مشكلة اتصال الخدمة

النتيجة المتوقعة:

قائمة تحقق منهجية لاستكشاف الأخطاء تشمل التحقق من حقن Sidecar وتحليل توجيه VirtualService وتضاربات سياسة التفويض وأوامر تصحيح istioctl مع المخرجات المتوقعة.

التدقيق الأمني

آمن
v1 • 2/25/2026

Static analysis flagged 4 patterns that are all false positives. Line 22 uses Markdown backticks for documentation reference, not shell execution. Lines 3, 46, and 60 contain no cryptographic code - they reference mTLS conceptually in documentation. This is a markdown-only skill with no executable code, external commands, or security risks.

1
الملفات التي تم فحصها
61
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
25
المجتمع
100
الأمان
91
الامتثال للمواصفات

ماذا يمكنك بناءه

مهندس منصة Kubernetes

نشر شبكة خدمات Istio مع فرض mTLS وسياسات حركة المرور لمنصة خدمات مصغرة إنتاجية تتعامل مع متطلبات التوفر العالي.

قائد فريق DevOps

تنفيذ نشر Canary مع تقسيم حركة المرور والتراجع التلقائي باستخدام تكوينات Istio VirtualService وDestinationRule.

مهندس أمان معماري

تصميم معمارية شبكة عدم الثقة مع مصادقة خدمة-إلى-خدمة باستخدام mTLS وفرض AuthorizationPolicy عبر جميع مساحات الأسماء.

جرّب هذه الموجهات

إعداد شبكة الخدمات الأساسية 
ساعدني في إعداد شبكة خدمات Istio على عنقود Kubernetes الخاص بي. لدي 3 مساحات أسماء (dev, staging, prod) وأحتاج إلى mTLS أساسي بين الخدمات. ما هي خطوات التثبيت والتكوين الأولي؟
تكوين توجيه حركة المرور 
أحتاج إلى توجيه 90% من حركة المرور إلى version-1 و10% إلى version-2 من خدمة الدفع الخاصة بي. أنشئ تكوينات YAML لـ Istio VirtualService وDestinationRule مع الشرح.
تنفيذ قاطع الدائرة 
صمم تكوين قاطع دائرة لخدمة الطلبات الخاصة بي يتعامل مع فشل المصب بنجاح. قم بتضمين إعدادات مجمع الاتصالات واكتشاف الحالات الشاذة وسياسات إعادة المحاولة مع Istio.
اتحاد متعدد العناقيد 
خطط لشبكة Istio متعددة العناقيد عبر AWS EKS وGCP GKE. قم بتضمين متطلبات اكتشاف الخدمات عبر العناقيد وإدارة الشهادات واتحاد حركة المرور بين الشبكتين.

أفضل الممارسات

  • ابدأ بوضع mTLS المتسامح PERMISSIVE وهاجر تدريجياً إلى STRICT بعد التحقق من تواصل جميع الخدمات بشكل صحيح
  • نفذ قواطع الدائرة وسياسات إعادة المحاولة قبل نشر الإنتاج وليس بعد حدوث الأعطال
  • استخدم عزل السياسات على مستوى مساحة الأسماء لتطبيق قواعد أمان وحركة مرور مختلفة لكل بيئة

تجنب

  • تمكين mTLS الصارم على مستوى العنقود دون اختبار في الوضع المتسامح أولاً - يسبب اضطرابات فورية في الخدمة
  • تخطي تكوين قاطع الدائرة بافتراض أن الخدمات موثوقة - ستحدث إخفاقات متتالية تحت الحمل
  • تخصيص موارد sidecar بشكل مفرط دون مراقبة استخدام CPU والذاكرة الفعلي - يزيد التكاليف دون داعٍ

الأسئلة المتكررة

ما الفرق بين Istio وLinkerd لحالتي الاستخدامية؟
يوفر Istio إدارة حركة مرور وأمان ومراقبة شاملة مع المزيد من خيارات التكوين ولكن بتعقيد أعلى. يوفر Linkerd mTLS أبسط ومراقبة أساسية مع عبء موارد أقل. اختر Istio لاحتياجات التوجيه المعقدة وLinkerd لـ mTLS مباشر مع عبء تشغيلي أدنى.
هل تضيف شبكة الخدمات زمن انتقال كبير لخدماتي؟
عبء وكيل sidecar النموذجي هو 3-10ms لكل طلب لـ mTLS والتوجيه. عادةً ما يكون لدى Linkerd عبء أقل (2-5ms) من Istio (5-10ms). فوائد الأمان والمراقبة عادةً ما تفوق تكلفة زمن الانتقال، لكن قم بقياس حمل عملك المحدد قبل نشر الإنتاج.
هل يمكنني استخدام شبكة الخدمات مع أحمال عمل خارج Kubernetes؟
يدعم Istio الأجهزة الافتراضية من خلال تكامل istio-vm مما يسمح بالنشر الهجين. يتطلب Linkerd Kubernetes. للبيئات المختلطة Istio هو الخيار الأفضل مع تكوين وكيل sidecar VM مناسب.
كيف أتعامل مع اتصالات قاعدة البيانات من خلال شبكة الخدمات؟
عادةً ما تتجاوز حركة مرور قاعدة البيانات الشبكة باستخدام قواعد استبعاد حركة المرور. قم بتكوين استبعادات اعتراض sidecar لمنافذ قاعدة البيانات أو استخدم بوابات egress للوصول الخارجي المتحكم به مع TLS مناسب.
ما المراقبة التي يجب إعدادها لشبكة الخدمات؟
راقب CPU وذاكرة وكيل sidecar ونسب مئوية لزمن انتظار الطلبات (p50, p95, p99) ومعدلات الخطأ وحالة اتصال mTLS وصحة مزامنة التكوين. قم بالدمج مع Prometheus وGrafana باستخدام لوحات معلومات Istio أو Linkerd المدمجة.
كيف أقوم بالتراجع عن تكوين شبكة إشكالي؟
احتفظ بتكوينات Istio ذات الإصدار في Git. استخدم kubectl apply مع إصدارات المظهير السابقة للتراجع الفوري. للمشكلات الحرجة عطل حقن sidecar على مستوى مساحة الأسماء وأعد نشر pods لتجاوز الشبكة مؤقتاً.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/service-mesh-expert

مرجع

main

بنية الملفات

📄 SKILL.md