欢迎阅读 OSCHINA 编辑部出品的开源日报，每天更新一期。 # 2024.5.28 今日要点 Istio 七周岁 Istio 是一个由谷歌、IBM 和 Lyft 的团队于 2016 年开始合作开发的开源项目，在 2017 年正式推出；它是一个大型微服务系统管理工具，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式；基于 Lyft 的 Envoy 项目构建。 国产开源Sora上新：全面

Istio 发文庆祝七岁生日，并总结了自项目诞生以来所取得的一些成果。 Istio 是一个由谷歌、IBM 和 Lyft 的团队于 2016 年开始合作开发的开源项目，在 2017 年正式推出；它是一个大型微服务系统管理工具，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式；基于 Lyft 的 Envoy 项目构建。 2022 年 4 月，谷歌和 Istio 指导委员会宣布将 Istio 项

Istio 使用 Envoy 代理作为 Pod sidecar，应用程序将网络责任（例如入站和出站流量）委托给它，但有一个责任仍然属于应用程序容器：标头传播。 Envoy 代理无法将其发送到应用程序的请求与应用程序响应的请求关联起来，因此 Istio 无法自动传播标头。 图 1：如果应用程序容器不转发回标头，Sidecar 无法将请求与响应关联起来。 在大多数情况下，基于标头的路由需要应用程序开发

本文译自：Scaling the Sidecar。 本文讨论我们如何在工作负载中扩展 Istio Sidecar，以及如何考虑 Sidecar 资源与应用程序紧密耦合的关系。 目前有很多关于 Istio 新的 Ambient Mesh 的讨论。这种部署服务网格的新方法放弃了 Sidecar，而采用了两个新组件，ztunnel，一个用于处理核心 L4 网络问题的每节点组件，以及（如果需要）waypo

我们知道在服务网格集群中的每个工作负载实例上都会透明地注入一个 Istio sidecar 代理，这个代理拦截负载的出入流量，并根据配置完成相应的流量管理，包括流量、安全、可观测性等等。为了更加细粒度的控制代理的行为，从 1.1 版本开始 Istio 便引入了和服务网格数据面 Sidecar 同名的 Sidecar CRD 资源对象，控制负载上的出入流量以及课访问的目标服务等。 Sidecar 对

本文分享自华为云社区《istio资源介绍以及和kubernetes资源扭转关系》，作者：可以交个朋友。 一、istio原理 Istio的原理是拦截 Kubernetes 中创建 Pod 的事件，然后向 Pod 中注入一个包含 Envoy 的容器，进出 Pod 的流量会被 “劫持” 到 Envoy 进行处理。由于流量被 “劫持” 了，所以 Istio 可以对流量进行分析例如收集请求信息，以及一系列的

本文译自：https://istio.io/latest/blog/2023/egress-sni/ 摘要：一种通用方法，用于动态设置出口网关，可以将流量路由到一组受限制的目标远程主机，包括通配符域名。 如果您正在使用 Istio 处理来自网格外部目标的应用程序发起的流量，那么您可能熟悉出口网关的概念。出口网关可用于监控并转发来自网格内应用程序的流量到网格外的位置。如果您的系统在受限环境中运行，并

自问世以来，Istio因其使用Sidecar（可编程代理与应用容器一同部署）而备受认可。这种架构选择使Istio用户能够享受其好处，而无需对其应用进行 drast 改变。这些可编程代理，与应用容器紧密部署在一起，因其能够引入Istio的诸多好处而备受赞誉，同时又无需对应用进行重大更改。但总有改进的空间，现在Istio引入了环境化Mesh，这是其架构的重大演进。 Sidecar模型：优势和限制 传统

本文译自：https://istio.io/latest/blog/2023/istio-at-kubecon-na/ 摘要：本文介绍了 Istio 在 KubeCon North America 2023 的活动安排，包括 Istio Day、主题演讲、维护者跟踪和赞助商信息。 快速回顾一下 2023 年 KubeCon 北美大会在芝加哥 McCormick Place 举行的情况。 开源和云原

前面我们了解了 Gateway 和 VirtualService 资源对象的作用，以及它们是如何影响 Envoy 的配置的，那么这些资源对象又是如何影响流量的呢？通过 Istio 如何实现流量管理的呢？ 流量管理概述 Istio 的流量路由规则可以很容易的控制服务之间的流量和 API 调用。Istio 简化了服务级别属性的配置，比如熔断器、超时和重试，并且能轻松的设置重要的任务，如 A/B 测试、

本文译自：https://istio.io/latest/blog/2023/secure-apps-with-istio/ 摘要：本文讨论了使用相互 TLS (mTLS) 和 Istio 保护应用程序通信的重要性。mTLS 提供了端到端的安全性，只有源和目标可以解密数据，从而防止中间人攻击。然而，如果源或目标的身份没有加密，可能会出现问题。Istio 中的 mTLS 可以简单地启用，并为每个应用

引言 在前面的讲解中，我们已经提及了微服务的一些弊端，并介绍了Istio这样的解决方案。那么，对于我们开发人员来说，Istio究竟会带来哪些变革呢？今天我们就来简要探讨一下！ Kubernetes简单介绍 Kubernetes，俗称K8s，仅仅是因为L与s之间有8个字母所以叫的K8s，是一种用于管理和编排Docker集群的工具。它被广泛使用且备受推崇，因此在讲解Istio技术时，我们选择与Kube

本文译自：https://medium.com/@shrishs/understanding-grpc-load-balancing-in-kubernetes-with-istio-c6e71634724c 摘要：本文介绍了在 Kubernetes 和 Istio 中使用 gRPC 负载均衡的行为。首先，通过创建命名空间、部署资源和配置文件来准备环境。然后，介绍了没有 Istio 的情况下，gR

序 本文主要演示一下如何在mac m2安装istio，及基于header的流量路由。 安装istio 下载https://github.com/istio/istio/releases/download/1.18.2/istio-1.18.2-osx-arm64.tar.gz解压，并将istio-1.18.2/bin添加到PATH中。 istioctl install --set profile=

File: istio/tools/docker-builder/crane.go 在Istio项目中，crane.go文件位于istio/tools/docker-builder/目录下。该文件是用于构建Docker镜像的工具，主要使用了crane工具（github.com/google/go-c… 该文件中的RunCrane函数是用于运行crane工具的函数。在该函数中，首先根据给定的参数创建

File: istio/security/pkg/server/ca/authenticate/oidc.go 文件描述： oidc.go文件是istio/security/pkg/server/ca/authenticate路径下的文件。该文件实现了基于OIDC验证的身份验证器功能。 _变量作用： _变量是一个空标识符，用于丢弃不需要的返回值。在该文件中，它可以忽略某些没有使用的返回值。 结构体

File: istio/pkg/config/analysis/msg/messages.gen.go 在Istio项目中，istio/pkg/config/analysis/msg/messages.gen.go文件是自动生成的消息定义文件。该文件定义了一系列的常量和函数，用于生成和管理Istio配置分析的错误和警告消息。 以下是这些常量的作用： InternalError：表示内部错误。 De

File: istio/pkg/security/mock.go 在Istio项目中，istio/pkg/security/mock.go文件用于提供用于测试目的的模拟实现。此文件定义了一些结构体和函数，用于模拟认证、授权和密钥管理相关的操作。 下面是对文件中的各个部分的详细介绍： _（下划线）是一个空白标识符，用于表示一个没有名称的变量。在该文件中，使用_表示不关心某个变量的具体值，只关心函数调

File: istio/pkg/test/framework/components/echo/config/param/wellknown.go 在Istio项目中，istio/pkg/test/framework/components/echo/config/param/wellknown.go文件的作用是定义了一些常用的网络目标配置。 WellKnown和WellKnownList这两个结构体

File: istio/pkg/kube/inject/inject.go 在Istio项目中，inject.go文件的作用是对Kubernetes资源进行注入Istio sidecar代理。它是Istio注入功能的核心实现。 以下是相关变量和结构体的详细介绍： KnownImageTypes：这是一个包含已知镜像类型的映射表，用于确定需要注入的容器类型，如sidecar、init或proxy_i