Ambient та панель управліня Istio

Як і всі режими панелі даних в Istio, ambient використовує панель управління Istio. В ambient панель управління спілкується з проксі ztunnel на кожному вузлі Kubernetes.

На малюнку показано загальний вигляд компонентів панелі управління та потоків між проксі ztunnel і панеллю управління istiod.

Проксі ztunnel використовує xDS API для спілкування з панеллю управління Istio (istiod). Це дозволяє швидко та динамічно оновлювати конфігурації, необхідні в сучасних розподілених системах. Проксі ztunnel також отримує mTLS сертифікати для облікових записів сервісів усіх podʼів, які розміщені на його вузлі Kubernetes, використовуючи xDS. Один проксі ztunnel може реалізовувати функціональність L4 панелі даних від імені будь-якого podʼа, який ділить з ним вузол, що вимагає ефективного отримання відповідної конфігурації та сертифікатів. Ця архітектура з багатьма орендарями різко контрастує з моделлю sidecar, де кожен застосунок має свій власний проксі.

Також варто зазначити, що в режимі ambient використовується спрощений набір ресурсів в xDS API для конфігурації проксі ztunnel. Це призводить до покращення продуктивності (оскільки потрібно передавати та обробляти набагато менший набір інформації, що надсилається від istiod до проксі ztunnel) та покращення усунення несправностей.