术语表

∑∑

A|C|D|E|I|M|O|P|R|S|T|V|W|目

A

• Adapters
• Adapters are plug-ins to Mixer, Istio’s policy and telemetry component, which enable it to interfacewith an open-ended set of infrastructure backends that deliver core functionality, such as logging,monitoring, quotas, ACL checking, and more.The exact set of adapters used at runtime is determined through configuration and can easily beextended to target new or custom infrastructure backends.

Learn more about adapters.

• Attribute
• 属性控制着网格中服务运行时的行为，是一堆有名字的、有类型的元数据，它们描述了 ingress 和 egress 流量，以及这些流量所在的环境。一个 Istio 属性包含了一段特定的信息，例如 API 请求的错误代码、API 请求的延迟或 TCP 请求的原始 IP 地址。例如：

request.path: xyz/abc
request.size: 234
request.time: 12:34:56.789 04/17/2017
source.ip: 192.168.0.1
destination.workload.name: example

属性被 Istio 的 策略和遥测 功能所使用。

C

• Cluster

• 集群是运行容器化应用程序的一组计算节点。通常，组成集群的计算节点彼此可以直接连接。集群通过规则或策略限制外部访问。

• Control Plane

• 控制平面是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。单个网格中控制平面的所有实例共享相同的配置资源。

• CRDs

• 自定义资源定义 (CRD)是默认的 Kubernetes API 扩展。Istio 使用 Kubernetes CRD API 来配置，即使是非 Kubernetes 环境下部署的 Istio。

D

• Data Plane
• 数据平面是网格的一部分，直接控制工作负载实例之间的通信。Istio 的数据平面使用智能 Envoy 代理部署成 sidecar 去调节和控制服务网格中发送和接受的流量。

E

• Envoy
• Envoy 是在 Istio 里使用的高性能代理，用于为所有服务网格里的服务调度进出的流量。了解更多关于 Envoy。

I

• Identity
• 身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。在服务之间的通信开始时，双方使用身份信息交换证书来实现相互认证的目的。

客户端根据其安全的命名信息检查服务器的身份，以便确定服务器是否被授权运行服务。

服务器检查客户端的身份，以确定客户端可以访问的信息。服务器基于客户端的身份，来确定配置的策略。

通过使用身份，服务器可以审核访问信息的时间和特定客户端访问的信息内容。还可以根据客户使用的服务向他们收费，并拒绝任何未付款的客户访问服务。

Istio 身份模型非常灵活，粒度足以代表单个用户、单个服务，或者一组服务。在没有第一阶级服务身份的平台，Istio 可以使用其他的身份为服务实例进行分组，例如服务名称。

Istio 在不同的平台上支持以下服务身份：

• Kubernetes: Kubernetes 服务账户

• GKE/GCE: GCP 服务账户

• GCP: GCP 服务账户

• AWS: AWS IAM 用户/角色 账户

• 本地 （非 Kubernetes）：用户账户、客户服务账户、服务名称、Istio 服务账户，或者 GCP 服务账户。客户服务账户指现有的服务账户，就像客户身份目录中管理的身份。

通常，信任域 指定身份所属的网格。

M

• Managed Control Plane

• 托管控制平面是一个为客户提供管理的 控制平面。托管控制平面降低了用户部署的复杂性，并通常保证一定水平的性能和可用性。

• Mesh Federation

• 网格联邦是在网格之间公开服务的一种行为，并且能跨越网格边界进行通信。每一个网格或许会公开其一部分的服务，使一个或多个其他网格使用此公开的服务。您可以使用网格联邦来启用网格之间的通信，可参阅 多个网格部署。

• Micro-Segmentation

• Micro-segmentation 是一种安全技术，可在云部署中创建安全区域，使组织能够将工作负载彼此隔离，并分别保证它们的安全。

• Mixer

• Mixer 是 Istio 里的一个组件，它负责增强服务网格里的访问控制和使用策略。它还负责收集来自 envoy 和其他服务的遥测数据。了解更多关于 Mixer。

• Mixer Handler

• Handler 相当于配置完备的 Mixer 适配器。一个适配器二进制文件可以被不同配置使用，这些配置也可以称为 handler。在 Mixer 运行时，Mixer 将 instances 路由到一个或多个 handlers。

• Mixer Instance

• Mixer Instance 表示通过检查一组请求属性 ，并结合使用者提供的配置而生成的数据块。Mixer Instance 在随请求到达各种基础后端设施的途中，会被传递给各个处理程序

• Multi-Mesh

• Multi-mesh is a deployment model that consists of two or more service meshes.Each mesh has independent administration for naming and identities but you canexpose services between meshes through mesh federation.The resulting deployment is a multi-mesh deployment.

• Multicluster

• Multicluster 是一种部署模型， 由具有多个 集群 的 网格 组成。

• Mutual TLS Authentication

• 双向 TLS 通过内置身份和凭证管理，提供强大的服务到服务身份验证。了解更多关于双向 TLS 身份验证。

O

• Operator
• Operator 是打包，部署和管理 Kubernetes 应用程序的一种方法。有关更多信息，请参见 Operator pattern。

P

• Pilot

• Pilot 是 Istio 里的一个组件，它控制 Envoy 代理，负责服务发现、负载均衡和路由分发。

• Pod

• Pod 中包含了一个或多个共享存储和网络的容器 （例如 Docker 容器），以及如何运行容器的规范。Pod 是 Istio 的 Kubernetes 部署中的一个 工作负载实例。

R

• Routing Rules
• 您在 虚拟服务 中配置的路由规则，遵循服务网格定义了请求的路径。使用路由规则，您可以定义将寻址到 虚拟服务 主机的流量路由到指定目标的工作负载。路由规则帮您建立了复杂的 流量路由 场景。

S

• Secure Naming

• Secure Naming 提供一个 service name 到 workload instance principals 的映射，这个工作负载实例被授权运行一个 workload instances，实现一个 service。

• Service

• 使用 服务名称标识一组具有关联行为的服务 服务网格，并使用这些名称应用 Istio 策略（例如负载均衡和路由）。服务通常由一个或多个 服务 Endpoint实现，并且或许包含多个服务版本。

• Service Consumer

• 服务消费者是使用 service 的代理。

• Service Endpoint

• The network-reachable manifestation of a service.Workload instances expose service endpoints but not allservices have service endpoints.

• Service Mesh

• A service mesh or simply mesh is an infrastructure layer that enablesmanaged, observable and secure communication betweenworkload instances.

Service names combined with a namespace are unique within a mesh.In a multicluster mesh, for example,the bar service in the foo namespace in cluster-1 is considered the sameservice as the bar service in the foo namespace in cluster-2.

Since identities are shared within the servicemesh, workload instances can authenticate communication with any other workloadinstance within the same service mesh.

• Service Name

• A name that uniquely identifies a service within the service mesh.A service may not be renamed while maintaining its identity.A service may have multiple versions, but a service name is version-independent.

• Service Operator

• Service Operator 是在 service mesh 里管理 service 的代理，它们通过操纵配置状态并通过各种仪表板监视服务的运行状况来管理这些服务。

• Service Producer

• The agent that creates a service.

• Service Registry

• Istio maintains an internal service registry containing the set of services,and their corresponding service endpoints, running in a service mesh.Istio uses the service registry to generate Envoy configuration.

Istio does not provide service discovery,although most services are automatically added to the registry by Pilotadapters that reflect the discovered services of the underlying platform (Kubernetes, Consul, plain DNS).Additional services can also be registered manually using aServiceEntry configuration.

• Service Version

• Distinct variants of a service, typically backed by different versions of a workload binary.Common scenarios where multiple service versions may be used include A/B testing and canary rollouts.

• Source

• Source 是 Envoy 代理的下游客户端。在服务网格里，source 通常是一个工作负载，但是入口流量的 source 有可能包含其他客户端，例如浏览器，或者一个移动应用。

T

• TLS Origination

• TLS 源（TLS Origination）发生于一个被配置为接收内部未加密 HTTP 连接的 Istio 代理（sidecar 或 egress gateway）加密请求并使用简单或双向 TLS 将其转发至安全的 HTTPS 服务器时。这与 TLS 终止相反，后者发生于一个接受 TLS 连接的 ingress 代理解密 TLS 并将未加密的请求传递到网格内部的服务时。

• Trust Domain

• 信任域是 Istio 用于在网格中创建所有 身份 的唯一名称。每个网格都有一个专用的信任域。

例如在 spiffe://mytrustdomain.com/ns/default/sa/myname 中标示网格的子字符串是：mytrustdomain.com。 此子字符串是此网格的信任域。

V

• Virtual Service
• A virtual service is a resource you can use to configure how Envoy proxies routerequests to a service within an Istio service mesh. The routing rules that youdefine in a virtual service let you set up complextraffic routingscenarios.

W

• Workload

• A binary deployed by operators to deliver some function in Istio. Workloads have names, namespaces, and unique ids. These properties are available in policy and telemetry configurationusing the following attributes:

  • source.workload.name, source.workload.namespace, source.workload.uid
  • destination.workload.name, destination.workload.namespace, destination.workload.uidIn Kubernetes, a workload typically corresponds to a Kubernetes deployment,while a workload instance corresponds to an individual pod managedby the deployment.

• Workload Instance

• A single instantiation of a workload’s binary.A workload instance can expose zero or more service endpoints,and can consume zero or more services.

Workload instances have a number of properties:

• Name and namespace
• Unique ID
• IP Address
• Labels
• PrincipalThese properties are available in policy and telemetry configurationusing the many source. and destination. attributes.

• Workload Instance Principal
• The verifiable authority under which a workload instance runs.Istio’s service-to-service authentication is used to produce the workload principal.By default workload principals are compliant with the SPIFFE ID format.

Workload instance principals are available in policy and telemetry configurationusing the source.principal and destination.principal attributes.

目

• 目标服务
• 目标服务 (destination) 是 envoy 代表一个源服务工作负载与之打交道的远程上游服务。这些上游服务可以有多个服务版本，envoy 根据路由选择对应的版本。