- Discuss Istio - Istio discussion forum.
- Istio / Ambient Mesh 简介
- Istio / Istio Ambient Mesh 入门
- Istio / “为 Istio 环境服务网格引入基于 Rust 的 Ztunnel"
- Istio / Istio Ambient Waypoint Proxy 让一切变得简单
- Traffic in ambient mesh: Istio CNI and node configuration (solo.io)
- Traffic in ambient mesh: Redirection using iptables and GENEVE tunnels (solo.io)
- Traffic in ambient mesh: Ztunnel, eBPF configuration, and waypoint proxies (solo.io)
- RFC 8926: Geneve: Generic Network Virtualization Encapsulation (rfc-editor.org)
- 9 张图带你搞懂 Istio-腾讯云开发者社区-腾讯云 (tencent.com)
Ambient Mesh 让用户无需使用 Sidecar 代理,就能将网格数据平面集成到其基础设施中,同时还能保持 Istio 的零信任安全、遥测和流量治理等核心特性。
1、Istio Ambient 服务网格在实验性分支中于 2022 年 9 月推出, 引入了一种新的数据平面模式,可以在没有 Sidecar 的情况下使用 Istio。 通过与包括 Google、Solo.io、Microsoft、Intel、Aviatrix、华为、IBM 等在内的 Istio 社区的合作, 我们很高兴地宣布 Istio Ambient 服务网格已从实验性分支毕业,并合并到 Istio 的主分支! 这是 Ambient 网格的重要里程碑,为 Istio 1.18 发布 Ambient 网格以及在 Istio 的未来版本中默认安装 Ambient 网格铺平了道路。
2、Ambient 目前处于 Alpha 状态,Istio 1.18 发布 Ambient 网格,不低于 1.21 版本的 Kubernetes 集群(Istio 1.20 测试过的 Kubernetes 发行版包括: 1.25, 1.26, 1.27, 1.28。)。
3、新的基于 Rust 的 Ztunnel 比之前基于 Envoy 的 Ztunnel 大大简化, 更加轻巧,性能更强。通过为基于 Rust 的 Ztunnel 特意设计的工作负载 xDS,不仅能更容易地理解 xDS 的配置,而且还能大幅减少 Istiod 控制平面和 Ztunnel 之间的网络流量和成本。
4、与 Sidecar 类似,Waypoint Proxy 也是基于 Envoy 的,由 Istio 动态配置以服务于您的应用程序配置。
5、在 Istio Ambient 模式中,运行在每个 Kubernetes 工作节点上的 istio-cni 组件负责将应用程序流量重定向到该节点上的零信任隧道代理(ztunnel)。 默认情况下,这依赖于 iptables 和 Generic Network Virtualization Encapsulation (Geneve) 隧道来实现这种重定向。另增加了基于 eBPF 的流量重定向方法的支持(使用 eBPF 程序替代 iptables 模式消除了对于 Geneve 的封包/解包的需求,利用内核中的额外上下文来绕过繁杂的路由,并快速简单地将数据包发送到最终目的地; eBPF 需要一个较新的内核版本:4.20 或更高版本)。