pilot-agent LDS RDS CDS EDS tls证书 管理 SDS CSR创建证书 stat tracing 支持采集或 主动上报 监控系统 过滤器 过滤器 连接 连接 xDS 描述 模式 请求路径 LDS 监听器配置 POST /envoy.service.listener.v3.ListenerDiscoveryService/StreamListeners RDS 路由配置 ConnectionHandler 匹配 监听器 • Envoy启动时创建的Listener与工作线程绑定并启动监听 （向libevent注册Read回调onSocketEvent），并进入阻 塞运行状态，直到进程退出。 • 当新连接到达时，内核网络协议栈调用回调并创建新连接 的Socket。 • 通过ConnectionHandler调用监听过滤器获得真实访问目 标地址 • 根据目标地址匹配得到业务监听器后创建Connection连接 Envoy过滤器架构-常用过滤器 插件名称 工作模式 功能介绍 envoy.listener.tls_inspector 监听过滤器 检测下游连接是否为TLS加密，并且获取ALPN（应用层 协商协议），用于网络层过滤器匹配判断。 envoy.listener.http_inspector 监听过滤器 检测应用层协议是否HTTP，并判断具体类型为HTTP/1.x 或HTTP/2，用于网络过滤器匹配判断 envoy.listener

这里实现的例子mymock会完全拒绝所有 被匹配到的流量，右图是mymock Handler的基本原理 • mymock handler 是 mymock adapter的初始化配置 • 完成初始化后rule将checknothing配置 与handler关联起来，其实就是做了流 量的匹配，满足一定条件的流量上应用 mymock handler • mymock adapter直接拒绝被匹配的请 求 扩展Mixer接入授权

MetaProtocol：流量管理示例（Canary + Header Mutation） ● 路由规则协议无关：七层协议名是路由规则中的字段值，而不是字段名称 ● 采用通用的 key:value 键值对来配置路由匹配条件 #IstioCon Aeraki 后续开源计划 ● Istio 增强工具集 ○ 协议扩展：Dubbo、Thrift、Redis、 MetaProtocol ○ 性能优化：LazyXDS

iptables 入向流量规则拦截，处理后重定向到本地的 15006 端口。 10.Envoy 在 15006 端口上监听的 VirtualInbound listener 收到了该请求。 11.根据匹配条件，请求被 VirtualInbound listener 内部配置的 Http connection manager filter 处理，该 filter 设置的路由配置为将其发送给 inbo

上述的过程中，Envoy所做的数据收集、上传是自动完成的，而Mixer生成模版实例则 可以通过配置来完成。因此，所谓的Mixer插件实际上就是Adapter，开发Mixer插件 也就是开发Adapter。两种开发模式 几种开发模式，以及写一下两种方式的区别 Compiled In Adapter Out Of Process Adapter • Adapter与mixer代码需要一起打包编译，最终生成 一个可执行文件。

让虚拟机和集群享受同样的服务治理 ü 让虚拟机和集群具备相互容灾的能力 ü 快速，零成本接入 SolarMesh对虚拟机的支持 Copyright © 2021 Cloud To Go 1. Istio的直连模式，在sidecar故障时提供秒级的直连流量切换 2. 多集群统一纳管，为流量运维提供上帝视角 3. 可视化、规范化Istio操作，告别terminal 4. 反应集群真实情况，流量可视化监控

ü 使用hey压力工具 ü 相同压力 ü 先用hey进行预热 ü 从10份数据中取中位数解决方案 ü方案一 • 业务性能和日志之间的选择，出现阻塞，丢弃日志保性能 ü方案二 • 使用主题订阅模式，减少阻塞问题Istio_Ca——安全证书管理（ICA） u证书生成 u证书挂载 u证书过期证书生成 ü生成root-cert.pem ü生成cert-chain.pem ü生成key.pem证书挂载