#介绍

#Sidecar 配置管理

Sidecar 配置允许对 Istio 服务网格中的 Envoy 代理行为进行细粒度的控制。此功能：

• 定义入站/出站流量策略
• 优化代理资源利用
• 实施命名空间范围的访问控制
• 增强网格的整体性能

核心价值：跨微服务边界的精确流量管理

#优势

• 性能优化：减少代理资源开销
• 细粒度控制：端口/协议级别的限制
• 分层策略：命名空间和集群级别的配置
• 优先级系统：自定义覆盖默认配置

#场景

• 多命名空间管理 限制支付服务访问指定命名空间

• 集群范围默认设置 为所有服务设置基础策略

• 安全隔离 限制敏感服务的暴露

• 性能调优 减少高吞吐服务的代理处理

#限制

1. 命名空间绑定：

   • 自定义配置仅影响指定命名空间
   • 默认配置需要 istio-system 命名空间

2. 模式匹配：

   • 支持左侧 DNS 组件中的通配符（*）
   • prod/*.svc.cluster.local 匹配所有生产服务

3. 更新传播：

   • 更改需要 60 秒才能生效
   • 需要 Istiod 版本 ≥1.9