客户端请求进入容器网络，并被iptables规则拦截，经过DNAT后进入Envoy virtualOutbound监听器 • virtualOutbound经过监听过滤器恢复用于原始目标服务，并找到后端处理器处理新连接。 • 后端处理器在配置中指定处理协议，根据协议相关的网络过滤器处理读取到的数据。 • 如果为http协议，再经过请求过滤器处理http协议头部，如路由选择等功能并创建上游连接池 • 将修改及 抓包看到出现短时间内大量Retransmission 2. 超过cluster内建立与目标主机连接的最大重试次数（3次） 3. 原因为客户POD内部署两个对外服务端口，当客户端同时发起对不同服务的访问时，路由结果可能会落 到相同的POD内，第一个连接目标为9080，第二个连接目标为8080。由于目标服务端口不同，通过五元 组规则可知，src-ip:src-port可以相同。而由于目标POD内流量被自动DNAT拦截入15006端口，此时目标 接数增加快速恶化 端到端平均时延 降低23%左右 • Envoy: 4线程，4core，默认内存 • fortio –q 0 –c 2~1024连接，http1长 连接模式，每组测试三次，每次30s 测试结果 测试条件 Copyright © Huawei Technologies Co., Ltd. All rights reserved. Page 24 针对Envoy做的一些优化及效果 0

编译打包adapter，上传至docker仓库 • 编写k8s的deployment和service配置文件 • 部署应用基于Mixer的二次开发Hanlder Handlers 。为适配器提供配置。例如，到后端的 URL 、证书、缓存选项等等。基于Mixer的二次开发Instances Instances。属性映射。基于Mixer的二次开发Rules Rules。将数据交付给适配器。 定义了一个特定的

io/userVolumeMount: '[{"mountPath":"/var/local/lib/wasm-filters","name":"wasmfilters-dir"}]' 21 执行结果, wasm filter生效 22 Summary & Tips ● 开发阶段 22 使用Wasm sdk 生成Wasm二进制 使用oras cli OCI镜像仓库 ● 部署运行阶段

降低 Listener 数量和配置大小，减少资源占用 • 兼容 headless 和虚机服务，避免 Listener 配置频繁更新 • 采用七层 header 进行路由，请求原始目的 IP 不应影响路由结果 入向请求配置 出向请求配置 0.0.0.0_9080 0.0.0.0_15001 0.0.0.0_15006 Pilot (ADS Server) LDS RDS CDS EDS Services