背景 在生产环境使用 Istio 的时候，可能最需要考虑的问题一个是安全问题一个是性能问题，在这里和大家一起探讨下一个安全问题，如何在 Istio 网格中访问外部服务。Istio 提供了两种模式来配置对外部请求的访问策略，并通过配置项 outboundTrafficPolicy.mode 来指定。 默认的模式是 ALLOW_ANY，也就是允许在网格内请求所有外部的未知服务；另外一个模式是 REGI

我们要祝贺 Kubernetes SIG Network 社区发布了 Gateway API 规范的 beta 版本。除了这个里程碑，我们很高兴地宣布，对在 Istio ingress 中使用 Gateway API 的支持正在升级为 Beta，并且我们打算让 Gateway API 成为未来所有 Istio 流量管理的默认 API。我们也很高兴地欢迎来自服务网格接口 （SMI）社区的朋友，他们将

摘要：本文译自 OSM 官方博客。开放服务网格（OSM）宣布停止更新，将与 Istio 社区更加紧密地合作，以加速实现下一代服务网格技术的发展。服务网格社区的发展，如 Kubernetes Gateway API 和 GAMMA，进一步凸显了服务网格在当今云原生栈中的关键重要性和成熟度。OSM 团队将与 Istio 社区合作，包括利用 Kubernetes 的 ClusterTrustBundle

Istio授权功能是基于角色的访问控制（RBAC），支持在Istio Mesh中，为服务提供名称空间级别，服务级别和方法级别的访问控制。它具有以下特点： 基于角色的语义，简单易用。 支持服务到服务，以及终端用户到服务授权。 灵活性的自定义属性支持，例如角色和角色绑定中的条件。 高性能，Istio授权在Envoy上本地执行。 高兼容性，本地支持HTTP，HTTPS和HTTP2，以及任何普通的TCP协

2.Knative Knative还在不断变化中，一些设计文档也并没有对外开放，读起来就相对k8s难一些，但整体代码量相比较也少了一些，在后续的文章里面我们还是先管中窥豹，逐个组件进行代码阅读，但因为没有相关的Proposal, 主要是参考冬岛大神的相关文章来进行代码的阅读，只是个人理解，如有不对，欢迎指教，接下来我们看看knative是如何完成上面提到的功能与实现按需分配关键组件, 我们从流量入

此处的Istio在Kubernetes环境下进行安装部署，部署时采用Helm工具进行，Helm客户端部署在Windows操作中。 1. 前置要求 在部署Istio之前，需要具备下面的条件： 已有Kubernetes集群环境，此处的Kubernetes的版本为15.4； 以在Kubernetes集群环境中部署和提供了kubectl和helm工具。 2. 添加istio到Helm仓库 通过执行下面的命

作者 | 田晓旭、Christian Posta 2017 年，Istio 发布了 0.1 release 版本之后，其优雅的架构设计就获得了大家的认可。随着版本迭代，有开发者吐槽 Istio 太复杂。于是，Istio 1.5 版本推翻了之前的架构设计，提出了“回归单体”的架构设计，1.6 版本的 Release note 更是在开篇就表明了要将极简主义进行到底。 Istio 1.5 和 1.6

编者的话 本文译自 Istio 官方博客 Security Best Practices。 Istio 的安全功能提供了强大的身份、策略、透明的 TLS 加密以及认证、授权和审计（AAA）工具来保护你的服务和数据。然而，为了充分安全地利用这些功能，必须注意遵循最佳实践。建议在继续阅读之前，先回顾一下安全概述。 双向 TLS Istio 将尽可能使用双向 TLS 对流量进行自动加密。然而，代理在默认

编者的话 本文译自 Istio 官方博客，博客原标题 gRPC Proxyless Service Mesh，其实是 Istio 1.11 版本中支持的实验特性，可以直接将 gRPC 服务添加到 Istio 中，而不需要再向 Pod 中注入 Envoy 代理。本文中还给出了一个 Demo 性能测试数据，这种做法可以极大的提升应用性能，降低网络延迟。 Istio 使用一组发现 API（统称为 xDS

前言 Istio 1.12 中新的 WebAssembly 基础设施使其能够轻松地将额外的功能注入网格部署中。 经过三年的努力，Istio 现在有了一个强大的扩展机制，可以将自定义和第三方 Wasm 模块添加到网格中的 sidecar。Tetrate 工程师米田武（Takeshi Yoneda）和周礼赞（Lizan Zhou）在实现这一目标方面发挥了重要作用。这篇文章将介绍 Istio 中 Was

什么是 Wasm 插件？ 你可以使用 Wasm 插件在数据路径上添加自定义代码，轻松地扩展服务网格的功能。可以用你选择的语言编写插件。目前，有 AssemblyScript（TypeScript-ish）、C++、Rust、Zig 和 Go 语言的 Proxy-Wasm SDK。 在这篇博文中，我们描述了如何使用 Wasm 插件来验证一个请求的有效载荷。这是 Wasm 与 Istio 的一个重要用

编者的话 Istio 1.14 版本增加了对 SPIRE 集成的支持，这篇文章将指导你如何在 Istio 中集成 SPIRE。 SPIRE 是 SPIFFE 规范的一个生产就绪的实现，它可以执行节点和工作负载证明，以便安全地将加密身份发给在异构环境中运行的工作负载。通过与 Envoy 的 SDS API 集成，SPIRE 可以被配置为 Istio 工作负载的加密身份来源。Istio 可以检测到一个

今天，我们很高兴地介绍 Ambient Mesh（译者注：笔者更倾向于将其称为 Ambient Mode，即外围模式），这是一种新的 Istio 数据平面模式，旨在简化操作、扩大应用兼容性并降低基础设施成本。用户可以选择将 Ambient Mesh 集成到其基础设施的网格数据平面，放弃 sidecar 代理，同时保持 Istio 的零信任安全、遥测和流量管理等核心功能。我们正在与 Istio 社区

我们最近发布了 Istio Ambient Mesh（译者注：笔者更倾向于将其称为 Ambient Mode，即外围模式，但译文中仍然保留了 Ambient Mesh 的叫法），它是 Istio 的无 sidecar 数据平面。如公告博客中所述，我们使用 Ambient Mesh 解决的首要问题是简化操作、更广泛的应用程序兼容性、降低基础设施成本和提高性能。在设计 ambient 数据平面时，我们

Istio最近宣布了“Ambient Mesh” —— 一种用于 Istio 的实验性“无 sidecar”部署模型。我们最近在从服务网格中获得最大性能和弹性的背景下写了关于 sidecar 与 sidecar-less 的文章。在本文中，我们将特别介绍我们对 Ambient Mesh 的看法。 如果你想立即开始使用可用于生产的 Istio 发行版，请尝试Tetrate Istio Distro

当我们与想要使用 Istio 的客户或用户交流时，这一个问题时长会出现——Istio 中的证书信任如何工作的？Istio 有自己的证书颁发机构，而我们也有自己的证书颁发机构，如何确保它们相互信任？ 简而言之，通过中间签名证书将 Istio 纳入到您现有的信任链中。 如果您使用 Istio 作为演示或开箱即用，它将拥有自己的自签名证书 —— 它是自己的根证书。对于在多个集群中运行 Istio 的用户

Istio 的核心功能之一是通过管理网格中服务的身份来促进零信任网络架构。为了在网格中检索用于 mTLS 通信的有效证书，各个工作负载向 istiod 发出证书签名请求 (CSR)。Istiod 反过来验证请求并使用证书颁发机构（CA）签署 CSR 以生成证书。默认情况下，Istio 为此目的使用自己的自签名 CA，但最佳实践是通过为每个 Istio 部署创建一个中间 CA，将 Istio 集成到

这是 服务网格最佳实践系列文章 中的第三篇，摘自 Tetrate 创始工程师 Zack Butcher 即将出版的新书 Istio in Production。 Istio 就像一组乐高积木：它具有许多功能，可以按照您想要的任何方式进行组装。出现的结构取决于您如何组装零件。在 上一篇中，我们描述了一种运行时拓扑结构，用于构建健壮、有弹性且可靠的基础架构。在本文中，我们将描述一组网格配置，以帮助在运

译者注：这篇文章介绍了 Istio 的 Rust-Based Ztunnel，它是一种基于 Rust 语言的轻量级代理，用于 Istio 的 ambient mesh。在文章中，作者解释了为什么需要一种新的代理，以及 Rust 语言是如何成为最佳选择的。文章还讨论了如何使用 workload xDS 配置来管理工作负载，以及如何查看 ztunnel 日志和 L4 指标。作者表示，Rust-Base

译者注：本文介绍了 Istio 的新的目的地导向的 waypoint 代理，它可以简化和扩展 Istio 的功能。文章介绍了 waypoint 代理的架构，部署方式，以及如何将源代理的配置转移到目的地代理，从而提高可扩展性，可调试性，一致性和安全性。文章还展示了如何使用 Istio 的策略和遥测来管理和监控 waypoint 代理。文章的来源是 Istio 官方博客。 Ambient 将 Isti