(Service) POD Workload (Service) VM Workload (Service) VM Workload (Service) VM API Gateway Ingress & Egress Mesh can include VMs ● Multi tenancy ● Traffic shaping and canary controls, across clusters ● High availability reporting ● Service discovery across multiple clusters ● Fine-grained ingress & egress controls ● API GW is part of the mesh ● Workflows for collaborative agility More About Multi (Service) POD Workload (Service) VM Workload (Service) VM Workload (Service) VM API Gateway Ingress & Egress Mesh include VMs Before using service mesh: 100+ Kubernetes cluster ● VM integration ● On-prem,

Ingress、集群出口网关 Egress 以及核心 控制面 Istiod。各个组件的功能如下：  代理服务 Proxy 采用的 Lyft 公司开源的高性能 C++ 网络代理 Envoy，拦截业务的所有出入流 量。  入口网关 Ingress，作为集群的访问入口，控制着集群内部服务如何安全的暴露出去，并对所有 入口流量进行统⼀控制和观测。  出口网关 Egress，作为集群的访问出口，控 Egress，作为集群的访问出口，控制着集群内部服务如何安全的访问外部服务。  核心控制面 Istio 负责对所有数据面的代理服务 （包括 Ingress、Egress 网关）下发服务发现 信息，流量治理配置，以及用于服务之间进行双向认证的 TLS 证书。 可以看出 Istiod 是微服务领域的集大成者，覆盖了服务发现、服务治理、认证鉴权和可观测，以无 侵入的方式为微服务体系架构的业务提出了云原生时代下新的解决方案。 Nacos

控制面下发流量规则： Pilot • 数据面标准协议：xDS • 集群内Pod流量出入： Sidecar Proxy • 集群外部流量入口：Ingress Gateway • 集群外部流量出口：Egress Gateway（可选,在一个集中点对外部访问进行控制） • Service discovery • Load balancing • Time out • Retries • Circuit