#Istio ambient mode

Istio ambient mode 为 Alauda Service Mesh 引入了一种无 sidecar 的网格架构。它利用节点级别的第 4 层（L4）代理以及可选的第 7 层（L7）代理，降低了运维复杂度和每个 pod 的资源消耗。

#About Istio ambient mode

ambient mode 架构包含以下关键组件：

• ZTunnel proxy — 每个节点的代理，负责代表该节点上运行的每个工作负载建立安全、透明的 TCP 连接。它在第 4 层运行，处理相互 TLS（mTLS）终止和 L4 策略执行，且在应用 pod 之外运行。
• Waypoint proxy — 可选的、按服务账户或命名空间划分的代理，支持高级第 7 层功能，包括流量管理、细粒度策略执行和深度可观测性。L7 功能可选择性启用，避免为每个服务部署 sidecar 带来的开销。
• Istio CNI plugin — 拦截并重定向每个节点上的流量到 ZTunnel proxy，实现透明流量捕获，无需修改应用 pod。

ambient mode 提供以下优势：

• 简化运维 — 免去管理 sidecar 注入的需求，降低网格采用和日常维护的门槛。

• 降低资源消耗 — 共享的每节点 ZTunnel proxy 提供核心 L4 网格功能，而可选的 waypoint proxy 将每个 pod 的开销降至最低。

• 渐进式采用 — 工作负载可初始加入网格，享受如 mTLS 和基础策略等 L4 功能。需要时可后续添加 waypoint proxy 以解锁 HTTP 流量管理等 L7 功能。

  NOTE

  启用 L7 功能需要部署 waypoint proxy，且仅对目标服务带来极小的额外开销。

• 增强安全性 — 建立安全的零信任网络基础，默认为所有网格工作负载启用 mTLS，确保网格内通信加密且经过身份验证。

尽管定义明确的发现选择器允许 ambient mode 网格与 sidecar mode 网格共存，但该场景尚未完全验证。为避免潜在冲突，请仅在无现有 Alauda Service Mesh 安装的集群上部署 Istio ambient mode。ambient mode 仍为技术预览功能。