Огляд

В режимі ambient Istio реалізує свої функції за допомогою проксі на рівні 4 (L4) для кожного вузла та, за потреби, проксі на рівні 7 (L7) для кожного простору імен.

Такий багатошаровий підхід дозволяє поступово впроваджувати Istio, плавно переходячи від відсутності мережі до захищеного рівня L4, а потім до повної обробки та політики L7 — на основі простору імен. Крім того, навантаження, що працюють у різних режимах панелі даних, взаємодіють без проблем, що дозволяє користувачам змішувати та поєднувати можливості залежно від їхніх конкретних потреб, які можуть змінюватися з часом.

Оскільки podʼи більше не потребують проксі, що працюють у sidecar контейнерах, для участі в мережі, режим оточення часто неформально називають “мережею без sidecar контейнерів”.

Як це працює

Режим оточення розділяє функціональність Istio на два окремих шари. На базовому рівні ztunnel забезпечує безпечний шар для маршрутизації та нульової довіри до трафіку. Поверх нього, за потреби, користувачі можуть активувати L7 waypoint-проксі для доступу до всього спектру функцій Istio. Waypoint-проксі, хоча і важчі, ніж просто шар ztunnel, все ще працюють як компонент оточення інфраструктури, не вимагаючи змін до podʼів застосунків.

Для деталей дизайну режиму оточення та його взаємодії з панеллю управління, дивіться документацію панелі даних та панелі управління.

ztunnel

Компонент ztunnel (Zero Trust tunnel) є спеціалізованим проксі на рівні вузла, який забезпечує режим оточення панелі даних Istio.

Ztunnel відповідає за безпечне зʼєднання та автентифікацію навантажень у межах мережі. Проксі ztunnel написаний на Rust і спеціально призначений для обробки функцій L3 та L4, таких як mTLS, автентифікація, авторизація L4 та телеметрія. Ztunnel не термінує HTTP-трафік навантаження та не аналізує HTTP-заголовки навантаження. Ztunnel забезпечує ефективне та безпечне транспортування L3 та L4 трафіку безпосередньо до навантажень, інших проксі ztunnel або до проксі-інтерфейсів.

Термін “secure overlay” використовується для загального опису набору функцій мережі L4, реалізованих в сервісній мережі з режимом оточення через проксі ztunnel. На транспортному рівні це реалізовано через протокол тунелювання трафіку на основі HTTP CONNECT, відомий як HBONE.

Waypoint-проксі

Waypoint-проксі є реалізацією проксі Envoy, того ж рушія, який Istio використовує для свого режиму sidecar для панелі даних.

Waypoint-проксі працюють поза podʼами застосунків. Вони встановлюються, оновлюються і масштабується незалежно від застосунків.

Деякі випадки використання Istio в режимі оточення можуть бути вирішені виключно за допомогою функцій secure overlay L4 і не вимагатимуть функцій L7, отже не вимагатимуть розгортання waypoint-проксі. Випадки використання, які потребують розширеного управління трафіком і функцій мережі L7, вимагатимуть розгортання waypoint-проксі.