Istio控制平面组件原理解析

《Istio控制平面组件原理解析》是朱经惠在Service Mesh Meetup #3深圳站的分享，主要介绍了Istio控制平面的核心组件及其工作原理。 1. **核心组件** - **Galley**：提供配置管理服务。 - **Mixer**：作为Istio对基础设施后端的抽象层。 - **Pilot-Agent**：负责Envoy的生命周期管理，包括启动、热重启、监控和优雅关闭。 - **Istio CA**：用于证书生成和管理。 - **Sidecar-Injector**：通过Kubernetes webhook实现Istoy边车的自动注入。 - **Pilot-Discovery**：Istio Pilot服务，负责服务发现和路由。 2. **配置管理** - 使用小型非持久性Key/Value数据库缓存Istio和Kubernetes配置信息，包括路由规则、虚拟服务、网关等。 - 通过轮询和推送机制（如SDS/CDS/RDS/LDS）实现配置的实时生效。 3. **证书管理** - 自动生成根证书（root-cert.pem）、证书链（cert-chain.pem）和私钥（key.pem）。 - 通过Kubernetes Secret将证书挂载到服务容器的`/etc/certs`目录。 - 证书过期后会自动重新生成并触发Envoy的热重启。 4. **配置生效方式** - 支持事件触发和定时触发两种方式，通过GRPC双向流主动推送配置给Envoy。 总结：Istio控制平面通过组件化设计实现了服务网格的配置管理、流量控制和安全通信，其高效的配置推送机制和自动化证书管理是核心亮点。