Alauda Service Mesh v2 Docs
  • Русский

    • Istio ambient mode

    Istio ambient mode представляет архитектуру mesh без sidecar для Alauda Service Mesh. Она использует прокси уровня 4 (L4) на уровне узла вместе с опциональными прокси уровня 7 (L7), что снижает как операционную сложность, так и потребление ресурсов на под.

    Содержание

    О режиме Istio ambient mode

    О режиме Istio ambient mode

    Архитектура ambient mode включает следующие ключевые компоненты:

    • ZTunnel proxy — прокси на каждый узел, отвечающий за установление защищённых, прозрачных TCP-соединений от имени всех рабочих нагрузок, запущенных на этом узле. Работая на уровне 4, он обрабатывает завершение взаимной TLS-аутентификации (mTLS) и применение политик уровня 4 вне подов приложений.
    • Waypoint proxy — опциональный прокси на каждый service account или namespace, который обеспечивает расширенные возможности уровня 7, включая управление трафиком, точечное применение политик и глубокую наблюдаемость. Функции L7 могут быть активированы выборочно, что позволяет избежать накладных расходов на развертывание sidecar для каждого сервиса.
    • Istio CNI plugin — перехватывает и перенаправляет трафик на ZTunnel proxy на каждом узле, обеспечивая прозрачный захват трафика без изменения подов приложений.

    Ambient mode предоставляет следующие преимущества:

    • Упрощённые операции — устраняет необходимость управления инъекцией sidecar, снижая порог для внедрения mesh и повседневного обслуживания.

    • Меньшее потребление ресурсов — общий прокси ZTunnel на узел обеспечивает основные функции mesh уровня 4, а опциональные waypoint proxy минимизируют накладные расходы на под.

    • Пошаговое внедрение — рабочие нагрузки могут изначально подключаться к mesh с возможностями L4, такими как mTLS и базовые политики. Waypoint proxy можно добавить позже для активации функций L7, например, управления HTTP-трафиком при необходимости.

      NOTE

      Активация функций L7 требует развертывания waypoint proxy, что добавляет минимальные накладные расходы только для целевых сервисов.

    • Повышенная безопасность — создаёт безопасную сеть с нулевым доверием, где mTLS включён по умолчанию для всех mesh-рабочих нагрузок, обеспечивая шифрование и аутентификацию коммуникаций внутри mesh.

    NOTE

    Ambient mode — это новая архитектура, которая может требовать иных операционных подходов по сравнению с традиционной моделью sidecar.

    Хотя чётко определённые селекторы обнаружения позволяют mesh в ambient mode сосуществовать с mesh в sidecar mode, этот сценарий ещё не полностью проверен. Чтобы избежать возможных конфликтов, развертывайте Istio ambient mode только на кластерах без существующей установки Alauda Service Mesh. Ambient mode остаётся функцией Technology Preview.