istio入门

　　服务网格以基础设施的方式提供无侵入连接控制、安全、可监测性、灰度发布等治理能力

　　云原生：面向弹性、微服务化、去中心化业务场景

　　应用层：以应用为中心，关注应用的分布监控、恢复

　　网络：关注应用组件之间的接口、流量、数据、访问安全

　　istio与k8s紧密结合，补齐了k8s的治理能力，提供了端到端的服务运行治理平台

istio

　　逻辑划分：

　　　　数据平面：以sidecar方式部署envoy代理

　　　　控制平面：管理并配置代理进行流量路由

　　核心组件：

　　　　pilot：为envoy代理提供服务发现，流量管理以及弹性功能

　　　　citadel：内置的身份与证书管理功能，支持强大的服务到服务及最终用户的身份验证

　　　　galley：配置验证、提取、处理和分发

　　核心理念：

　　　　非侵入式sidecar注入：通过initcontainer注入数据平面组件，劫持应用流量，应用无感知

　　　　北向api基于k8s crd实现（网络设备或系统向上层应用或服务提供的接口或接入点）

　　　　数据平面与控制平面使用xds grpc协议通信，支持订阅模式

　　　　　　xDS 是 Envoy 代理所使用的一组 API，用于动态配置和管理代理的行为。xDS API 旨在实现服务网格和边缘代理的动态配置需求。它由一组 gRPC API 组成

　　　　　　　　CDS (Cluster Discovery Service)：用于发现集群配置的 API。

　　　　　　　　EDS (Endpoint Discovery Service)：用于发现终端配置的 API。

　　　　　　　　LDS (Listener Discovery Service)：用于发现监听器配置的 API。

　　　　　　　　RDS (Route Discovery Service)：用于发现路由配置的 API。

　　　　　　　　SDS (Secret Discovery Service)：用于发现安全凭证配置的 API。

　　核心特性：

　　　　服务、流量治理：熔断、负载均衡、限流、健康检查、灰度发布、蓝绿部署

　　　　流量访问可视化：应用级别监控、分布式调用链、访问日志

　　　　安全连接：mtls、认证、鉴权

　　　　　　mTLS 是双向的安全传输层 (TLS) 连接，它要求双方进行身份验证，并在建立连接时进行双向的证书验证。

灰度发布

　　引导实际流量测试新版本应用：基于权重（流量比例）、基于内容（请求内容转发：cookie，header，os，browser）

　　配置destinationRule与virtualService