背景 Istio 作为当前最活跃的 service mesh 项目，提供着众多的能力，流量管理，安全性，可观察性，每一项能力都是服务治理，运维所必需的。Istio 丰富的能力同时也带来一定性的复杂系统运维的挑战，但是相对于能力以及未来的扩展性，Istio 能力给服务治理带来了无限的想象，机遇同时充满着挑战。 当前涂鸦智能前端业务 Istio 控制面版本为 1.5.0，接入 Istio 控制面 70

Istio 是云原生世界中最受欢迎、发展最迅速的开源项目之一；虽然这种增长充分说明了用户从 Istio 中获得的价值，但其快速的发布节奏对于用户来说也是一种挑战，因为他们可能要同时管理多个不同版本的 Istio 集群，并为云平台手动配置 CA 证书。 概述 我们今天推出了一个名为 GetIstio 的新开源项目，为用户提供了安装和升级 Istio 的最简单方法。GetIstio 提供了一个经过审核

前言 2021 年伊始，如果你想要在生产环境中落地 Service Mesh，那 Istio 一定已经在你的考虑范围之内。 Istio 作为目前最流行的 Service Mesh 技术之一，拥有活跃的社区和众多的落地案例。但如果你真的想在你的生产环境大规模落地 Isito，这看似壮观美好的冰山下，却是暗流涌动，潜藏着无数凶险。 本文是笔者深度参与百亿量级流量生产环境研发和落地 Istio 两年来的

背景 要想深入学习 istio，还得学习下数据面的实现，istio 的数据面使用了 envoy，在 istio group 下有个叫 proxy 的仓库，包含了一些 istio 用到的一些 envoy 扩展，编译时将 envoy 代码作为库来引用，最终使用 bazel 编译出 istio 版本的 Envoy。 代码量非常庞大，如果没有智能的代码跳转、查找引用与实现，阅读和开发起来简直低效的要命。如

本文根据腾讯云赵化冰和知乎唐阳在 IstioCon 2021 中的演讲 “How to Manage Any Layer-7 Traffic in an Istio Service Mesh?” 整理而成。 大家好，今天我们想和大家分享的主题是如何扩展 Istio 以支持任何七层协议？作为云原生领域中一个人气非常高的开源项目， Istio 目前已经基本成为了 Service Mesh 的事实标准。

本文译自 Using Traefik Ingress Controller with Istio Service Mesh。 Istio 服务网格自带 ingress，但我们经常看到有要求使用非 Istio ingress 的客户。此前，我们已经介绍过将 NGINX 与 Istio 集成的情况。最近，我们一直在与使用 Traefik ingress 的客户合作。通过对我们之前建议的方法进行一些轻微

本文译自 Istio 官方文档，有部分修改。 北京时间 5 月 19 日，我们很高兴地宣布 Istio 1.10 的发布！我们要特别感谢我们的发布经理 Sam Naser 和 张之晗，以及整个测试和发布工作组在 1.10 中的工作。 这是我们 2021 年的第二个版本，和过去几个版本一样，我们继续为 Istio 用户改善 Day 2 操作。 该版本的亮点如下。 发现选择器 在以前的 Istio 版

Istio 是由 Tetrate 创始人 Varun Talwar 和谷歌首席工程师 Louis Ryan 命名并在 2017 年 5 月 24 日开源。今天是 Istio 开源四周年，让我们一起来回顾一下 Istio 四年来的发展并展望一下它的未来。 Istio 的开源历史 2017 年是 Kubernetes 结束容器编排之战的一年，Google 为了巩固在云原生领域的优势，并弥补 Kuber

本文译自 Istio 官网。 当用户将他们的服务转移到Istio服务网格中运行时，他们通常会惊讶地发现，控制平面默认会观察和处理集群中所有命名空间中的所有Kubernetes资源。这对于拥有大量命名空间和部署的大型集群，甚至对于拥有快速流动资源（例如Spark作业）的中等规模的集群来说，都可能是一个问题。 我们需要一种方法来动态地限制作为网格一部分的命名空间集，以便Istio控制平面只处理这些命名

本文译自 Istio 社区官方博客 Announcing the results of Istio’s first security assessment。 Istio 服务网格已在各行各业获得广泛的生产应用。该项目的成功，以及其在基础设施中执行关键安全策略的重要用途，都需要对与该项目相关的安全风险进行公开和中立的评估。 为了实现这一目标，Istio 社区去年与 NCC 集团签约，对该项目进行第三

本文译自 Istio 官方博客。 这是 Istio 在 2021 年发布的第三个版本，我们要感谢整个 Istio 社区，特别是来自红帽的发布经理 John Wendell、来自 Solo.io 的 Ryan King 和来自英特尔的 Steve Zhang，感谢他们帮助 Istio 1.11.0 发布。该版本正式支持 Kubernetes 1.18.0 到 1.22.x。下面是该版本的一些亮点。

本文分析 Istio 安全认证体系与加密通信的源码，介绍 Istio 是如何构建集群内部 PKI 证书基础设施和实施安全通信的。 分析过程的代码注释在我的 Github 仓库 mayocream/istio 的 citadel-review 分支。 1. 身份模型 零信任架构下，需要严格区分工作负载的识别和信任，而签发 X.509 证书是推荐的一种认证方式1。在 Kubernetes 集群中，服务

背景 随着云原生概念的普及，服务网格技术的流行以及 Istio 的成熟，使用Istio 进行服务治理的实践也越来越多，正成为服务治理的趋势。 在这样的背景下，我们也加入到 Istio 的研究中，希望初期通过 Istio 实现公司产品迭代版本的灰度发布，后续基于 Istio 为业务产品提供更多的流量管理及观测追踪能力。 一开始设计 Istio 部署方案时，基于当时对公司产品部署方式的了解，每款产品独

本文译自 Istio 官方博客。这是 Istio 在 2021 年发布的最后一个版本，也是本年度发布的第四个版本，Istio 依然在按照它既定的发布节奏发展。 WebAssembly API WebAssembly 是一个重要的项目，开发了 3 年多，为 Istio 带来了先进的可扩展性，允许用户在运行时动态加载自定义构建的扩展。然而，直到现在，配置 WebAssembly 插件一直是实验性的，而

最近我在研究 Istio 生态中的开源项目，Slime 这个项目开源与 2021 年初，是由网易数帆微服务团队开源的一款基于 Istio 的智能网格管理器。Slime 基于 Kubernetes Operator 实现，可作为 Istio 的 CRD 管理器，无须对 Istio 做任何定制化改造，就可以定义动态的服务治理策略，从而达到自动便捷使用 Istio 和 Envoy 高阶功能的目的。 Sl

WasmPlugin API 最近被添加到 Istio 项目中，作为一种新改进的可扩展性机制。在 Tetrate，我们最近成功举办了一个名为 Istio Wasm workshop 的研讨会。点击这里观看研讨会的录音，并加入 Slack 上的对话。 我们谈论了 WebAssembly 及其在 Istio 和 Envoy 项目中的重要性，并通过使用 Proxy-Wasm Go SDK 和 func-

前言 本文将和大家一起探讨下 Istio 的路由管理，介绍使用 Istio 灰度发布的过程中，有哪些需要注意的地方。 流量治理用于控制服务之间的流量和接口调用。Istio 可以通过服务级别的配置，实现蓝绿发布、灰度发布以及百分比流量策略发布等，Istio 还可以实现诸如故障注入、熔断限流、超时重试等流量治理功能。 那么 Istio 如何具有如此强大的功能，它的路由管理是如何实现的，生产中使用 Is

背景 我们团队对 Istio 进行相关研究与探索，并在生产环境进行了相应的应用，初期我们使用 Istio 主要做产品的灰度发布，同时我们团队也有相关研发人员基于 Istio，进行生产环境业务流量管理及可观测性追踪的研究。在做 Istio 灰度发布的实践中，遇到的第一个问题就是怎么在已经大规模部署产品的 Kubernetes 集群里，选择性的注入 Sidecar。下面详细的介绍下我们遇到的问题以及解

端午节前夕，Istio 1.14 发布。 这是 2022 年的第二个 Istio 版本。我们要感谢整个 Istio 社区对 Istio 1.14.0 发布的帮助。特别感谢发布经理 Lei Tang（谷歌）和 Greg Hanson（Solo.io），以及测试和发布工作组负责人 Eric Van Norman（IBM）的持续帮助和指导。 Istio 1.14.0 正式支持 Kubernetes 1.

前言 在浅析 Istio系列的上篇文章中，我们介绍了Istio的流量路由管理相关内容，并基于此实践了灰度发布相关技术。本篇文章，我们继续扩展探讨Istio服务治理的相关技术和原理。 服务治理概念 应用从单体架构向微服务架构演进的过程中，由于细粒度的微服务应用数量大幅增长，微服务之间的服务发现、负载均衡、熔断限流等服务治理需求显著提高。 在微服务场景下，每个服务有多个服务实例，需要一种机制将请求的服