服务网格架构

从高层来看，包括 Istio 在内的服务网格架构通常包括两个平面：控制平面和数据平面，而第三个（管理）平面可能位于现有/基础设施系统中。 Istio 的架构遵循了这一范式。图 3-1展示了按平面划分的关注点。

有关服务网格部署模型和演进架构方法的更全面解释，请参阅《企业服务网格架构之路》。

图 3-1. Istio 和其他服务网格由两个平面组成。通常会部署第三个平面，以便在异构环境中实现额外的 Network+ 智能并方便管理。

平面

Istio 的数据平面拦截请求中的每个数据包，并负责健康检查、路由选择、负载平衡、身份验证、授权和生成可观测信号。 在条带中运行时，服务代理是透明插入的，当应用程序进行服务对服务调用时，应用程序并不知道数据平面的存在。数据平面负责集群内通信以及入站（entress）和出站（entress）集群 网络流量。无论流量是进入还是离开网格，应用服务流量都会首先被引导到服务代理进行处理。有了 Istio，流量会被 iptables 规则透明拦截并重定向到服务代理。Istio 数据平面涉及系统中的每个数据包/请求，负责服务发现、健康检查、路由选择、负载平衡、身份验证、授权和可观察性。

Istio 中的控制平面为服务代理提供单点管理，，这些服务代理需要编程配置才能得到有效管理，并在整个环境（如容器集群）中重新安排服务时实时更新配置。控制平面为网状结构中的服务提供策略和配置，将一组孤立、无状态的代理转变为服务网状结构。它们不直接接触网状结构中的任何网络数据包；控制平面在条带外运行。控制平面通常有 CLI 和用户界面 (UI)，每个界面都提供了访问集中式 API 的权限，以便全面控制代理行为。 您可以通过其 API 自动更改控制平面配置（例如，通过 CI/CD 管道），在实践中，配置最常见的是版本控制和更新。

Istio 控制平面具有以下功能：

• 通过 API 为网格中的服务提供策略和配置，以便运营商指定所需的路由/弹性行为

• 将一组孤立的无状态侧车代理组合成服务网格：

  • 数据平面消费本地化配置的 API

  • 数据平面的服务发现抽象

• 使用 API 通过配额和使用限制指定使用策略

• 通过证书签发和轮换提供安全性

• 分配工作负载身份

• 处理路由配置：

  • 不接触系统中的任何数据包/请求

  • 指定网络边界和访问方式

  • 统一遥测收集