istiod拦截pod创建请求，识别为指定namepsace则根据configmap配置生成带有Envoy两个容器的创建POD请求，修改过的创建请求被 kubelet接收，并在节点创建POD。 • istio-init容器添加用于配置容器网络内iptables规则 • istio-proxy容器启动pilot-agent进程，使用UID=1337 GID=1337创建Envoy启动命令行与配置文件 • 可以通过自定义 Huawei Technologies Co., Ltd. All rights reserved. Page 13 Envoy网络及线程模型-集群信息更新 • 1. Envoy需要在运行中支持添加集群并监控每个集群内目标主机列表变化 • 2. 监控到目标主机健康状态变化时，需要通知到工作线程内主机可用状态。 • 3. 当收到节点变化EDS消息时，需要通知到工作线程内新上线、下线主机。 • 过滤器中可以获取连接对象并直接发送响应数据，同时可以返回StopIteration结束过滤器迭代。 • 实际使用过滤器根据Envoy静态及动态配置注册，并可以在运行中通过EnvoyFilter动态添加或删除。 Copyright © Huawei Technologies Co., Ltd. All rights reserved. Page 16 Envoy过滤器架构-常用过滤器 插件名称

流量规则 3 Istio 流量管理 – 控制面 – 服务发现 • K8s Service ： Pilot 直接支持 • ServiceEntry： 手动添加 Service 到 Pilot 内部注册表中 • WorkloadEntry：单独添加 Workload，对于虚机支持更友好 • MCP 适配器： 将第三方注册表中的服务加入到 Pilot 中 Consul MCP Adapter https://github

• 连接多个集群 • 根据服务的信息结合配置信息下发对应的集群的资源22/23 多点Service Mesh改造架构图23/23 Demo 演示 说明 • 由于没有真正的注册，所以使用手动添加 ServiceEntry 的方式代替 Adapter 功能 • Listener 和 Routers 配置信息目前是固定的 • Provider 只注册到本地 zk • Sidecar 注入到方式使用的是多个

实现现有能力整合。（Mesh作为基础层，完全有能力整合内部Trace系统、压测平台等） l 积极拥抱社区。（积极贡献Istio社区） l 探索新应用。 （机房扩建，流量染色分级等） #IstioCon Thanks 添加讲师微信

Sidecar没有k8s自动注入的secret，也无法通过容器内环境变量自 动建立master连接，需要管理额外的kubeconfig • Sidecar内的服务流量默认是不被劫持的，如果需要劫持需要添加额 外的annotation 扩展Mixer接入授权 • 右图为Mixer的基本原理，Template 是对Proxy上报的Attribute的特定处 理机制的框架，支持四类： • Preprocess:

http.router envoy.filters.ht tp.wasm/envo y.wasm.stats envoy.filters.ht tp.wasm/xxx- wasmfilter 5 添加新Filter的方式 ● Built-in Filter & Community Provided: ○ https://www.envoyproxy.io/docs/envoy/latest/

● 基于 MetaProtocol 框架扩展开发，只需要实现 encode、 decode 的少量接口即可在 Istio 中支持一个新的七层协议 ● 为七层协议如 Dubbo、Thrift 等等添加 RDS 能力 #IstioCon MetaProtocol：控制面 通过 Aeraki MetaProtocol Plugin 实现控制面的流量管理规则下发 ： 1. Aeraki 从 Istio