深度剖析Istio共享代理新模式Ambient Mesh

🚀 优质资源分享 🚀

学习路线指引（点击解锁）	知识定位	人群定位
🧡 Python实战微信订餐小程序 🧡	进阶级	本课程是python flask+微信小程序的完美结合，从项目搭建到腾讯云部署上线，打造一个全栈订餐系统。
💛Python量化交易实战💛	入门级	手把手带你打造一个易扩展、更安全、效率更高的量化交易系统

**摘要：**今年9月份，Istio社区宣布Ambient Mesh开源，由此引发国内外众多开发者的热烈讨论。

本文分享自华为云社区《深度剖析！Istio共享代理新模式Ambient Mesh》，作者：华为云云原生团队。

今年9月份，Istio社区宣布Ambient Mesh开源，由此引发国内外众多开发者的热烈讨论。实际上，通过与Istio TOC成员linsun（https://github.com/linsun）的交流，我们得知早在2021年，http://Solo.io已经开始共享代理的研究和设计，同样也是在2021年Google内部也在探索共享代理模式。因此，两家公司一拍即合，今年4~5月份开始以协作开发的方式，加速共享代理模式的发展。

目前Ambient Mesh已经发布预览版本，感兴趣的读者可以按需体验。由于篇幅限制，本文主要针对Ambient Mesh架构及四层流量治理的流程进行深度剖析，关于七层流量治理的详解，请关注后续文章。

1.Ambient Mesh 是什么

简单来讲，Ambient Mesh是Istio服务网格的一种共享代理的新模式。它是由 Google 和 http://Solo.io 联合开发的一种新的数据面模式，旨在简化操作、提升应用兼容性并降低基础设施成本。Ambient模式可在放弃引入 Sidecar 的情况下，保持 Istio 的零信任安全、流量管理和遥测等核心功能。

2.Ambient Mesh架构分析

开始Ambient的架构之前，我们先简单回顾一下Istio 的架构。其主要由两部分组成，分别是控制面和数据面。控制面Istiod进行基本的配置生成和推送，管理着所有的数据面；数据面引入 Sidecar 代理，接管应用的入口和出口流量。

图1 Istio架构

相比Sidecar，Ambient Mesh提供一种侵入性更低，升级管理更简单的选择。Ambient 将 Istio 的功能分成两个不同的层次，安全覆盖层（四层治理）和 七层 处理层（七层治理）：

图2 Ambient mesh分a层

**• 安全覆盖层：处理TCP路由、监控指标、访问日志，mTLS 隧道，简单的授权• 七层处理层：**除安全覆盖层的功能外，提供HTTP协议的路由、监控、访问日志、调用链、负载均衡、熔断、限流、重试等流量管理功能以及丰富的七层授权策略

Ambient Mesh下的负载可与 Sidecar 模式下的负载无缝互通，允许用户根据自己的需要来混合