#介绍

#Sidecar 配置管理

Sidecar Configuration 可在 Istio service mesh 中对 Envoy 代理行为进行细粒度控制。此功能：

• 定义入站/出站流量策略
• 优化代理资源利用率
• 实现按命名空间范围的访问控制
• 提升整个 mesh 的性能

核心价值：跨微服务边界实现精确的流量管理

#优势

• 性能优化：降低代理资源开销
• 细粒度控制：按端口/协议级别限制
• 分层策略：命名空间和集群级配置
• 优先级系统：自定义覆盖默认配置

#场景

• 多命名空间管理 将支付服务访问限制为指定的命名空间

• 集群范围默认值 为所有服务设置基线策略

• 安全隔离 限制敏感服务的暴露范围

• 性能调优 降低高吞吐量服务的代理处理开销

#限制

1. 命名空间绑定：

   • 自定义配置仅影响指定的命名空间
   • 默认配置要求 istio-system 命名空间

2. 模式匹配：

   • 支持左侧 DNS 组件中的通配符 (*)
   • prod/*.svc.cluster.local 匹配所有 prod 服务

3. 更新传播：

   • 更改需要 60s 才会生效
   • 需要 Istiod 版本 ≥1.9