泽兴芝士网

一、为什么选择 IstioAmbientMesh？

二、架构概览

┌──────────────────┐ ┌──────────────┐

│ Workload A (Pod) │──── │ zTunnel │ ────┐

└──────────────────┘ mTLS └──────────────┘ │

▼

L4 透传

│

┌──────────────────┐ ┌──────────────┐ │

│ Workload B (Pod) │──── │ Waypoint Envoy│───┘

└──────────────────┘ └──────────────┘

└───── L7 细粒度策略 / 观测 ─────┘

三、环境准备

• Kubernetes 1.28+
• Istio 1.22（实验性 Ambient 支持）
• Helm 3.10+
• 至少两台 2C4G 节点用于验证

四、实战落地 7 步

步骤1：下载并安装 Istio CLI

curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.22.0 sh -

cd istio-1.22.0

export PATH=$PWD/bin:$PATH

步骤2：以 Ambient 模式安装 Istio 控制面

istioctl install --set profile=ambient -y

步骤3：启用 Ambient 模式的命名空间

kubectl label namespace default \

istio.io/dataplane-mode=ambient \

istio.io/rev=default-ambient --overwrite

不再执行 istio-injection=enabled，Sidecar 将不会注入。

步骤4：部署示例微服务

kubectl apply -f samples/helloworld/helloworld.yaml

kubectl apply -f samples/helloworld/helloworld-gateway.yaml

步骤5：验证 zTunnel mTLS 连通性

kubectl get pods -n istio-system -l app=ztunnel

kubectl exec deploy/helloworld-v1 -- \

curl -sS helloworld-v2:5000/hello

• 抓包或查看 zTunnel 日志，可见 mTLS 握手记录，无 Sidecar。

步骤6：创建 Waypoint 提供细粒度流量策略

istioctl x waypoint apply --ns default --service-account default

编写 L7 Policy：

apiVersion: security.istio.io/v1

kind: AuthorizationPolicy

metadata:

name: allow-get

namespace: default

spec:

action: ALLOW

rules:

- to:

- operation:

methods: ["GET"]

步骤7：可观测与调试

• Metrics：Prometheus Target 自动抓取 zTunnel / Waypoint 指标
• Tracing：WayPoint Envoy 自动上报 Zipkin 或 OTLP
• 日志：kubectl logs -l app=waypoint-proxy -n istio-system

五、性能对比测试

实测命令 wrk -t4 -c200 -d30s http://<LB>/hello，节点规格 2C4G。

六、生产落地注意事项

七、总结

Istio Ambient Mesh 让 Service Mesh 迈入 真正轻量化 时代：安装更快、运维更友好、资源更节省。跟着本文 7步，你即可在现有 K8s 集群中体验无Sidecar的微服务新形态，抢先享受性能与成本双赢的红利！