关于
服务网格
解决方案
案例学习
生态系统
部署
FAQ
博客
新闻
加入我们
文档
概述
Istio 是什么?
为什么选择 Istio?
Sidecar 还是 Ambient?
概念
流量管理
安全
可观测性
扩展性
Sidecar 模式
入门
平台安装
阿里云
Amazon EKS
Azure
Docker Desktop
使用 Google Kubernetes Engine 快速开始
华为云
IBM Cloud 快速开始
k3d
kind
Kops
Kubernetes Gardener 快速开始
KubeSphere Container Platform
MicroK8s
minikube
OpenShift
Oracle Cloud 基础架构
腾讯云
安装
使用 Istioctl 安装
使用 Helm 安装
多集群安装
准备工作
多主架构的安装
主从架构的安装
跨网络多主架构的安装
跨网络安装主从集群
验证安装结果
在单集群中安装多个 Istio 控制面
虚拟机安装
使用外部控制平面安装 Istio
升级
金丝雀升级
原地升级
使用 Helm 升级
更多指南
下载 Istio 发行版
安装配置文件
兼容版本
安装 Gateway
安装 Sidecar
定制安装配置
高级 Helm chart 自定义
安装 Istio CNI 节点代理
通过 Pod 安全准入安装 Istio
在双栈模式中安装 Istio
无需 Gateway API 开始使用
Ambient 模式
概述
入门
部署应用程序
保护和可视化应用程序
执行鉴权政策
管理流量
清理
安装指南
平台特定的前提条件
通过 Helm 安装
使用 istioctl 进行安装
升级指南
使用 Helm 升级 *
用户指南
将工作负载添加到网格中
验证双向 TLS 已启用
Ambient 和 Kubernetes NetworkPolicy
使用四层安全策略
配置 waypoint 代理
使用七层功能
使用 WebAssembly 插件扩展 waypoint *
ztunnel 的连接问题排查
waypoint 问题故障排除
架构
Ambient 和 Istio 控制平面
Ambient 数据平面
HBONE
ztunnel 流量重定向
任务
流量管理
配置请求路由
故障注入
流量转移
TCP 流量转移
设置请求超时
熔断
镜像
地域负载均衡
开始之前
地域故障转移
地域权重分布
清理
Ingress
入口网关
安全网关
Ingress Sidecar TLS 终止
无 TLS 终止的 Ingress Gateway
Kubernetes Ingress
Kubernetes Gateway API
Egress
访问外部服务
Egress TLS 源
Egress 网关
Egress 网关的 TLS 发起过程
Wildcard 主机的 Egress
Kubernetes 出口流量服务
使用外部 HTTPS 代理
安全
认证
基于 JWT 声明的路由 *
认证策略
复制 JWT 声明到 HTTP 头 *
双向 TLS 迁移
证书管理
插入 CA 证书
使用 Kubernetes CSR 自定义 CA 集成 *
授权
HTTP 流量
TCP 流量
JWT 令牌
外部授权
明确拒绝
Ingress 网关
信任域迁移
模拟运行 *
TLS 配置
Istio 工作负载的最低 TLS 版本配置
策略执行
使用 Envoy 启用速率限制
可观测性
Telemetry API
指标
使用 Telemetry API 自定义 Istio 监控指标
收集 TCP 服务指标
自定义 Istio 指标
根据请求或响应对指标进行分类
通过 Prometheus 查询度量指标
使用 Grafana 可视化指标
日志
OpenTelemetry
获取 Envoy 访问日志
使用 Telemetry API 配置访问日志
分布式追踪
概述
使用 Telemetry API 配置链路追踪
Apache SkyWalking
Jaeger
OpenTelemetry
Zipkin
链路采样
Lightstep
使用 MeshConfig 和 Pod 注解配置链路追踪
网格可视化
远程访问遥测插件
可扩展性
WebAssembly 模块分发 *
示例
Bookinfo 应用
在虚拟机上部署 Bookinfo 应用程序
使用 Kubernetes 和 Istio 学习微服务
前提条件
设置 Kubernetes 集群
设置本地计算机
本地运行微服务
在 Docker 中运行 ratings 服务
使用 Kubernetes 运行 Bookinfo
生产测试
添加一个新版本的 reviews
在 productpage 启用 Istio
在所有微服务上启用 Istio
配置 Istio Ingress Gateway
监控 Istio
运维
部署
平台要求
安全模型
架构
部署模型
虚拟机架构
性能和可扩展性
应用程序要求
配置
网格配置
动态准入 Webhook 概述
Istio 服务的健康检查
配置范围
流量管理
协议选择
TLS 配置
Traffic Routing
管理网格内证书
DNS
DNS 代理
配置 Gateway 网络拓扑 *
多集群流量管理
安全
安全策略示例
加固 Docker 容器镜像
可观测性
Envoy 的统计信息
使用 Prometheus 监控 Istio 多集群
可扩展性
WebAssembly 模块的拉取策略 *
最佳实践
Deployment 最佳实践
流量管理最佳实践
安全最佳实践
镜像签名和验证
可观测性最佳实践
常见问题
流量管理问题
安全问题
可观测性问题
Sidecar 自动注入问题
配置验证的问题
升级问题
诊断工具
使用 Istioctl 命令行工具
调试 Envoy 和 Istiod
通过 istioctl describe 检查您的网格
使用 istioctl analyze 诊断配置
使用 istioctl check-inject 验证 Istio Sidecar 注入
组件自检
组件日志记录
虚拟机调试
Istio CNI 插件故障排除
多集群下的故障排除
集成
cert-manager
Grafana
Jaeger
Kiali
Prometheus
SPIRE
Zipkin
Apache SkyWalking
第三方负载均衡器
发布
功能状态
报告错误
安全漏洞
版本支持
贡献文档
使用 GitHub 参与社区活动
添加新文档
删除已停用的文档
本地构建和运行本网站
文章头部
文档审阅流程
添加代码块
使用 Shortcode
格式标准
风格指南
术语标准
创建图表指南
网站内容更改
参考
配置
状态字段配置
代理扩展
流量管理
Security
授权策略
授权策略规范化
Istio 标准指标
常见类型
配置分析消息
AlphaAnnotation
Analyzer Message Format
ConflictingMeshGatewayVirtualServiceHosts
ConflictingSidecarWorkloadSelectors
ConflictingTelemetryWorkloadSelectors
DeploymentAssociatedToMultipleServices
DeploymentConflictingPorts
Deprecated
DeprecatedAnnotation
EnvoyFilterUsesAddOperationIncorrectly
EnvoyFilterUsesRelativeOperation
EnvoyFilterUsesRelativeOperationWithProxyVersion
EnvoyFilterUsesRemoveOperationIncorrectly
EnvoyFilterUsesReplaceOperationIncorrectly
ExternalControlPlaneAddressIsNotAHostname
ExternalNameServiceTypeInvalidPortName
GatewayPortNotDefinedOnService
IneffectivePolicy
IneffectiveSelector
InternalError
InvalidAnnotation
InvalidApplicationUID
InvalidExternalControlPlaneConfig
InvalidGatewayCredential
InvalidTelemetryProvider
LocalhostListener
MisplacedAnnotation
MultipleSidecarsWithoutWorkloadSelectors
MultipleTelemetriesWithoutWorkloadSelectors
NamespaceMultipleInjectionLabels
NamespaceNotInjected
NoMatchingWorkloadsFound
NoServerCertificateVerificationDestinationLevel
NoServerCertificateVerificationPortLevel
PodMissingProxy
PodsIstioProxyImageMismatchInNamespace
PortNameIsNotUnderNamingConvention
ReferencedResourceNotFound
SchemaValidationError
ServiceEntryAddressesRequired
UnknownAnnotation
VirtualServiceDestinationPortSelectorRequired
VirtualServiceHostNotFoundInGateway
VirtualServiceIneffectiveMatch
VirtualServiceUnreachableRule
命令
install-cni
istioctl
pilot-agent
pilot-discovery
术语表
目录
文档
运维
配置
安全
安全
帮助您管理正在运行的网格的安全性方面。
安全策略示例
展示使用 Istio 安全策略的通用示例。
加固 Docker 容器镜像
使用加固的容器镜像来减小 Istio 的攻击面。
链接