container Istio Sidecar Proxy Istio Ingress Gateway Istio Egress Gateway @rytswd DestinationRule ServiceEntry Gateway VirtualService Some service outside of cluster Version 1 Version 2 #IstioCon Brush container Istio Sidecar Proxy Istio Ingress Gateway Istio Egress Gateway @rytswd DestinationRule ServiceEntry Gateway VirtualService Some service outside of cluster Version 1 Version 2 Extended Mesh container Istio Sidecar Proxy Istio Ingress Gateway Istio Egress Gateway @rytswd DestinationRule ServiceEntry Gateway VirtualService Some service outside of cluster Version 1 Version 2 Manage inbound

for internal traffic ○ ExternalName ■ Service <-> DNS name ○ External IPs #IstioCon V1.1 ServiceEntry #IstioCon V1.6-1.8 Better VM Workload Abstraction A K8s Service and Pods Two separate object Component Deployment WorkloadGroup Service registry and discovery Service ServiceEntry K8s Pods labels: app: foo class: pod ServiceEntry selector: app: foo Istio Workload Entries labels: app: foo class: Workload Entry ○ single non-Kubernetes workload ○ mTLS using service account ○ work with an Istio ServiceEntry ● Workload Group ○ a collection of non-K8s workloads ○ metadata and identity for bootstrap

How it looks after TLS origination How to do Redis TLS origination with the sidecar? 1. Create ServiceEntry for external service such that Istio knows about Redis 2. Create DestinationRule to configure redis-client with a sidecar, however no ServiceEntry and no DestinationRule Expectation: Should fail when trying to connect over plain TCP 2. Create DestinationRule and ServiceEntry Expectation: Ability to connect

OpenShift Service Mesh 2.0 中的一些功能与之前的版本不同。 网关上的就绪度端口已从 15020 移到 15021。 目标主机可见性包括 VirtualService 以及 ServiceEntry 资源。它包括所有通过 Sidecar 资源实施 的限制。 默认启用自动 mutual TLS。代理到代理通信会自动配置为使用 mTLS，而不管是否有全局的验证 策略。 当代理与 Service gateways: openshiftRoute: enabled: false apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: svc-entry spec: hosts: OpenShift Container Platform 4.8 Service Mesh 96 ServiceMeshExtension 资源 自定义资源 1.20.5. 应用 3scale 外部 ServiceEntry 对象 要让 threescale-wasm-auth 模块授权针对 3scale 的请求，该模块必须有权访问 3scale 服务。您可以通 过应用外部 ServiceEntry 对象和用于 TLS 配置的对应的 DestinationRule 对象来在 Red Hat OpenShift

deployment service virtualservice autoscaler networkpolicy servicerole servicerolebinding serviceentry apiVersion: "nais.io/v1alpha1" kind: "Application" metadata: name: app labels: team: deployment service virtualservice autoscaler networkpolicy servicerole servicerolebinding serviceentry apiVersion: "nais.io/v1alpha1" kind: "Application" metadata: name: app labels: team:

自定义流量规则（如何将请求路由到这些服务？） v 通过CRD定义的流量规则 服务数据 流量规则 3 Istio 流量管理 – 控制面 – 服务发现 • K8s Service ： Pilot 直接支持 • ServiceEntry： 手动添加 Service 到 Pilot 内部注册表中 • WorkloadEntry：单独添加 Workload，对于虚机支持更友好 • MCP 适配器： 将第三方注册表中的服务加入到 External Service 统一网格出口 • 出口地址（Gateway Workload） • 出口端口 Virtual Service CLB 对外请求 对外请求（Passthrough/ServiceEntry） 缺省路由 （服务名） 5 Istio 流量管理 – 数据面 – Envoy配置模型和xDS协议 ADS Server LDS RDS CDS EDS Envoy 配置模型的主要概念：

PodDisruptionBudget ● ConfigMap ● ServiceAccount ● VirtualService ● DestinationRule ● ServiceEntry #IstioCon Helm Starters for Istio 2.6. It is easier to move a problem around … than it is

连接多个集群 • 根据服务的信息结合配置信息下发对应的集群的资源22/23 多点Service Mesh改造架构图23/23 Demo 演示 说明 • 由于没有真正的注册，所以使用手动添加 ServiceEntry 的方式代替 Adapter 功能 • Listener 和 Routers 配置信息目前是固定的 • Provider 只注册到本地 zk • Sidecar 注入到方式使用的是多个

... serviceEntries: - apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry spec: ... workloadEntries: - apiVersion: networking.istio.io/v1beta1

来保护到 ext-svc.example.com 外 部服务的连接。它被配置为使用服务项： apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: svc-entry spec: hosts: - ext-svc.example.com ports: - number: 443