ConnectionHandler 匹配 监听器 • Envoy启动时创建的Listener与工作线程绑定并启动监听 （向libevent注册Read回调onSocketEvent），并进入阻 塞运行状态，直到进程退出。 • 当新连接到达时，内核网络协议栈调用回调并创建新连接 的Socket。 • 通过ConnectionHandler调用监听过滤器获得真实访问目 标地址 • 根据目标地址匹配得到业务监听器后创建Connection连接 tls_inspector 监听过滤器 检测下游连接是否为TLS加密，并且获取ALPN（应用层 协商协议），用于网络层过滤器匹配判断。 envoy.listener.http_inspector 监听过滤器 检测应用层协议是否HTTP，并判断具体类型为HTTP/1.x 或HTTP/2，用于网络过滤器匹配判断 envoy.listener.original_dst 监听过滤器 根据Socket上属性SO_ORIGINAL_DST获取iptables 拦截进入Envoy 15001端口 • 15001上监听器通过ORIGINAL_DST获取原始目标地址（服务的clusterIp），匹配业务监听器（不真正监听网络）地址并传递新建下游连接。 • 下游连接过滤器判断TLS，ALPN（应用协议名），HTTP版本后匹配到L4层http_connection_manager网络过滤器。 • http_connection_manager使用http

这里实现的例子mymock会完全拒绝所有 被匹配到的流量，右图是mymock Handler的基本原理 • mymock handler 是 mymock adapter的初始化配置 • 完成初始化后rule将checknothing配置 与handler关联起来，其实就是做了流 量的匹配，满足一定条件的流量上应用 mymock handler • mymock adapter直接拒绝被匹配的请 求 扩展Mixer接入授权

MetaProtocol：流量管理示例（Canary + Header Mutation） ● 路由规则协议无关：七层协议名是路由规则中的字段值，而不是字段名称 ● 采用通用的 key:value 键值对来配置路由匹配条件 #IstioCon Aeraki 后续开源计划 ● Istio 增强工具集 ○ 协议扩展：Dubbo、Thrift、Redis、 MetaProtocol ○ 性能优化：LazyXDS

iptables 入向流量规则拦截，处理后重定向到本地的 15006 端口。 10.Envoy 在 15006 端口上监听的 VirtualInbound listener 收到了该请求。 11.根据匹配条件，请求被 VirtualInbound listener 内部配置的 Http connection manager filter 处理，该 filter 设置的路由配置为将其发送给 inbo