アンビエントとIstioコントロールプレーン

すべてのIstio Envoyプロキシを使用して、メッシュサービスが送受信するすべてのトラフィックを仲介および制御します。

アンビエント モードでは、Istioのデータプレーンは、DaemonSetとして展開されたノードレベルのztunnelプロキシを使用して、メッシュサービスが送受信するすべてのトラフィックを仲介および制御します。

">データプレーンモードでは、アンビエントはIstio コントロールプレーンを使用します。アンビエントでは、コントロールプレーンは各Kubernetesノード上のztunnelプロキシと通信します。

図は、コントロールプレーン関連のコンポーネントと、ztunnelプロキシとistiodコントロールプレーン間のフローの概要を示しています。

Ztunnel architecture
Ztunnelアーキテクチャ

ztunnelプロキシは、xDS APIを使用してIstioコントロールプレーン(istiod)と通信します。これにより、最新の分散システムに必要な高速で動的な構成更新が可能になります。ztunnelプロキシは、xDSを使用して、そのKubernetesノードにスケジュールされているすべてのPodのサービスアカウントのmTLS証明書も取得します。単一のztunnelプロキシは、関連する構成と証明書を効率的に取得する必要がある、ノードを共有する任意のPodに代わって、L4データプレーン機能を実装できます。このマルチテナントアーキテクチャは、各アプリケーションPodが独自のプロキシを持つサイドカーモデルとは大きく対照的です。

アンビエントモードでは、ztunnelプロキシの構成にxDS APIで簡素化されたリソースセットが使用されることも注目に値します。これにより、(istiodからztunnelプロキシに送信される情報のセットを大幅に削減することで)パフォーマンスが向上し、トラブルシューティングが容易になります。

この情報は役に立ちましたか?
改善のための提案はありますか?

ご意見ありがとうございます!