Введение
Управление конфигурацией Sidecar
Sidecar Configuration обеспечивает детальный контроль над поведением Envoy proxy в service mesh Istio. Эта функциональность:
- Определяет политики входящего/исходящего трафика
- Оптимизирует использование ресурсов proxy
- Реализует контроль доступа в пределах namespace
- Повышает производительность mesh в целом
Основная ценность: точное управление трафиком на границах микросервисов
Преимущества
- Оптимизация производительности: снижает накладные расходы на ресурсы proxy
- Детальный контроль: ограничения на уровне port/protocol
- Иерархические политики: конфигурации на уровне namespace и cluster
- Система приоритетов: пользовательские настройки переопределяют конфигурации по умолчанию
Сценарии
-
Управление несколькими Namespace Ограничение доступа к payment service для назначенных namespace
-
Базовые настройки для всего cluster Задание базовых политик для всех services
-
Изоляция безопасности Ограничение экспозиции чувствительных services
-
Настройка производительности Снижение объема обработки proxy для services с высокой пропускной способностью
Ограничения
-
Привязка к Namespace:
- Пользовательские конфигурации влияют только на назначенный namespace
- Конфигурация по умолчанию требует namespace
istio-system
-
Сопоставление по шаблону:
- Поддерживает wildcard (*) в левом компоненте DNS
prod/*.svc.cluster.localсоответствует всем prod services
-
Распространение обновлений:
- Для применения изменений требуется 60 с
- Требуется версия Istiod ≥1.9