Alauda Service Mesh
  • 简体中文

    • Sidecar 配置管理

    目录

    介绍

    Sidecar 配置使得在 Istio 服务网格中能够精确控制 Envoy 代理的行为。该功能:

    • 定义流量策略的执行范围
    • 优化代理资源利用率
    • 实现命名空间级别的访问控制
    • 支持分层配置策略

    核心价值:通过细粒度的流量管理平衡服务网格的性能与安全

    特性

    • 默认的集群范围配置
    • 命名空间特定的自定义规则
    • 通配符模式匹配
    • 优先级覆盖机制

    优势

    性能优化:减少代理处理开销
    安全控制:限制服务暴露范围
    灵活性:多种命名空间匹配模式
    兼容性:全面支持 Istio API

    默认配置管理

    配置参数

    参数格式示例
    Egress Hostsnamespace/dnsNameistio-system/*

    更新流程

    1. 进入:Service Mesh > Meshes
    2. 选择目标 mesh > Sidecar Config 标签页
    3. 找到集群 > 点击编辑图标
    4. 配置出口主机:
      • 从下拉菜单选择命名空间
      • 选择匹配模式:
        • */* 集群范围
        • ./* 当前命名空间
        • 自定义命名空间
    5. 点击 确认

    限制条件

    • 必须位于 istio-system 命名空间
    • 影响所有未自定义配置的命名空间

    自定义配置设置

    配置模板

    apiVersion: networking.istio.io/v1beta1
kind: Sidecar
metadata:
  name: ns-custom
  namespace: target-ns
spec:
  egress:
  - hosts:
    - "dev/*"
    - "prod/db-service"

    实施步骤

    1. 访问 mesh 详情页面
    2. 进入 Sidecar Config 标签页
    3. 点击 创建 Sidecar 配置
    4. 选择目标命名空间
    5. 配置出口主机模式:
      • 使用 * 通配符进行广泛匹配
      • . 表示当前命名空间
    6. 验证优先级覆盖

    配置示例

    示例 1:命名空间隔离

    apiVersion: networking.istio.io/v1beta1
kind: Sidecar
metadata:
  name: ns-prod
  namespace: prod
spec:
  egress:
  - hosts:
    - "prod/*"  # 当前命名空间
    - "monitoring/*"  # 指定命名空间

    示例 2:全集群访问

    apiVersion: networking.istio.io/v1beta1
kind: Sidecar
metadata:
  name: default
  namespace: istio-system
spec:
  egress:
  - hosts:
    - "*/*"  # 所有命名空间

    参数说明

    参数必填类型描述
    namespaceString默认配置必须为 istio-system 命名空间
    egressArray包含出口主机模式数组
    hostsArraynamespace/dnsName 格式,支持通配符匹配

    操作限制

    1. 命名空间绑定

      • 自定义配置仅影响指定命名空间
      • 默认配置需位于 istio-system 命名空间

    2. 模式规则

      • 通配符(*)仅允许出现在最左侧的 DNS 组件
      • 例如 prod/*.svc.cluster.local 匹配 prod 命名空间的服务

    3. 更新延迟

      • 配置变更在 60 秒内生效
      • 需使用 Istio 1.9 及以上控制平面