ref: https://engineering.hellofresh.com/ambassador-the-evolution-of-ingress-gateway-at-hellofresh-3889232cab6f

本篇文章是 HelloFresh 這個美國生鮮食材訂購服務想要分享其團隊中 Ingress gateway 的演化史。該團隊過往使用 VM 作為其底層基礎架構來部署應用程式，後來遷移到
kubernetes 改用容器來部署，然而其內部的其他元件並沒有隨者 kubernetes 轉移而一併更新，譬如文章要探討的 Ingress gateway。
因此文章後將探討原先的 Ingress gateway 架構以及相關問題，最後如何將其與 kubernetes 進行整合來解決前述問題。

再使用 kubernetes 之前，團隊使用兩種不同的方式來處理，分別是內部 API Gateway Janus 以及網頁處理的 Entry (基於 Nginx 的 Reverse-Proxy)
團隊遷移到 kubernetes 之後，這兩個服務都想要透過 kubernetes Nginx Ingress 來處理，不過處理的過程中卻遇到一些問題。

1. 一致性: 每個微服務一開始都透過 Ingress 讓外界存取，然而當團隊開始使用 istio 後有些服務就改使用 Istio Ingress-Gateway 來處理，其他想要使用 TCP 的服務則會改使用 AWS ELB 來處理。
2. 延遲性: 因為 API Gateway 的存取節點都是基於 FQDN 的方式來存取，所以每個封包都要經過更多的節點來到達最終目的，這會增加整個封包傳輸時間。

最大的困惱還是第一個一致性的問題，k8s中有太多的方式讓外界可以存取期服務，每個都有自己獨特的設定，監控以及警示。
為了針對這些問題去解決，團隊內部先期構思一下到底什麼是團隊中理想的 Ingress Gateway

1. Reverse Proxy (HTTP) for websites
2. Mixture of an API Gateway
3. Kubernetes native
4. Advanced routing : (headers, methods, path)-based
5. JWT scope validation
6. Reliability features: Rate-limiting, Retries, Circuit breaking
7. Traffic shadowing
8. Interface for extensions
9. Integration with service mesh

後續文章包含了一些內容，如
1. 作者接者談談為什麼不使用 Service Mesh 所提供的 Ingress gateway
2. 到底要自行開發還是購買解決方案?(最後選擇了 Ambassador Edge Stack)
3. 如何透過 Ambassador Edge Stack 來解決團隊問題
4. 透過 Ambassador Edge Stack 後帶來的好處

有興趣的別忘了參閱全文

關鍵字: Weave Scope, public AWS ELB
影響: 安全漏洞，系統被挖礦

結論: 作者團隊(JW Player) 的 dev/stage 團隊被發現種植了惡意挖礦程式，因此撰寫了這篇文章來跟大家分享他們的經過，並且期許大家都可以強化自家的 Kubernetes 叢集，避免被各種惡意程式攻破。

1. 一開始是透過監控軟體發現 stage 中有過高的 CPU 使用量，然而系統服務本身就會造成這些過高的使用量，因此團隊沒有第一時間懷疑有問題。隔天於 dev 中也有相關報告，團隊也沒有特別處理，直到這些逐漸提高的 CPU 持續過久，團隊才覺得有問題，開始介入調查。
2. 發現一個名為 gcc 的應用程式是透過 docker 運行的，然而團隊中沒有任何使用 gcc 為 entrypoint 的容器，輾轉發現這個容器的 parent process 則是 weave scope.
3. Weave scope 是一個用來監控 kubernetes 的應用程式，完全沒有理由去運行 gcc，與此同時觀察到這個 gcc 是一個挖礦軟體
4. 最後發現 Weave scope 這個應用程式對應的 Load Balancer 是完全對外公開的，同時也沒有任何認證登入機制
5. Weave scope 本身提供了一個功能可以讓使用者於網頁上去跟容器互動，這邊最後就導致了惡意攻擊，被注入了挖礦程式

文章內有更多的細節關於惡意程式的探討與回顧，有興趣的別忘記點擊原文看看

https://medium.com/jw-player-engineering/how-a-cryptocurrency-miner-made-its-way-onto-our-internal-kubernetes-clusters-9b09c4704205

AI評鑑鮪魚等級 手機一拍就清楚？

2021年1月5日·
陳是祈

【台灣醒報記者陳是祈綜合報導】手機拍下鮪魚橫切面，AI軟體立刻進行評鑑，尋找上等魚貨好簡單？日本的魚產廣受世界高檔餐廳的歡迎，但如何在廣大的市場中挑出上等的鮪魚，過去依靠買手豐富的經驗，然而去年有日本業者開發出手機AI軟體，只要拍下鮪魚橫切面的照片，就能立即取得該條魚的評價等級，漁業界已也開始研究這些輔助裝備，提升工作效率。

手機拍照魚貨評級

The Verge報導，購買鮪魚除了依靠買手的五感和經驗，還要考量其他因素，如漁貨來源是野生或者養殖，是在哪一處水域捕撈，這些因素都會讓鮪魚產生數億日幣到百萬日幣的差別。但去年6月，有日本軟體業者開發了名為Tuna Scope的手機應用程式，用以評估鮪魚的等級。

開發總監志村宏和表示，自己相當喜歡鮪魚，但即使是同一家店購買的鮪魚也容易品質不一，而他發現魚貨買手通常會從尾部橫截面判斷漁獲新鮮度，因此開發手機程式，只要拍下橫截面的照片就可以獲得魚隻的新鮮度和脂肪含量等資訊，而開發AI的過程建立在導入大量鮪魚魚尾橫切面的照片以及經驗豐富的買手的評價數據，讓AI進行學習，並能即時為鮪魚的品質分級。

該App上市後，即使是經驗較少的買手也開始參與到買賣中，更有店家開始使用用AI挑選的魚貨，甚至有連鎖壽司店打出「AI級鮪魚」的招牌吸引消費者。

買鮪魚像賭博

然而App的做法也引來老鳥買手的質疑。Nippon報導，日本最著名的魚市場之一，東京豐洲批發市場，每天清晨都有來自各大高級餐廳和中盤商的買手穿梭，買手們會仔細檢查新鮮上岸的鮪魚等，並從魚尾的橫切面、魚的胃腔來判斷魚隻的新鮮程度和品質，依靠著經驗才能在廣大魚市場中找出價值最高的魚貨。

經營鮪魚中盤商50多年的大山田和仁表示，要挑到品質最好的鮪魚並不容易，「最上等的鮪魚脂肪高、肉質鮮紅，但通常鮪魚上岸後會冷凍處理，所以要解凍3到5分鐘後才能判斷出肉的光滑感，尾巴橫截面也要幾個小時後才能分辨出肉色。」他形容，購買鮪魚像一場賭博，並且對依賴AI判斷魚貨品質的做法感到不以為然，「人類都做不到，AI有可能做到嗎？」

附圖：以往判斷鮪魚品質需要依賴老經驗的買手，然而AI興起後，挑選鮪魚的任務是否會被AI所取代？（Photo from網路截圖）

資料來源：https://tw.news.yahoo.com/ai%E8%A9%95%E9%91%91%E9%AE%AA%E9%AD%9A%E7%AD%89%E7%B4%9A-%E6%89%8B%E6%A9%9F-%E6%8B%8D%E5%B0%B1%E6%B8%85%E6%A5%9A-080101471.html