redefining-service-mesh-leveraging-ebpf-to-optimize-istio-ambient-architecture-and-performance-zhou-jie-daepzhi-ebpf-istiohou-rexia-yuxing-zeng-alibaba-cloud-1.pdf

1、Redefining Service MeshLeveraging eBPF to Optimize Istio Ambient Architecture andPerformanceTechnical Expert,Alibaba CloudIstio&Envoy member,has rich experiences in cloud native fields such as Kubernetes、Networking、Istio、Envoy、Nginx Ingress、CoreDNS,etc.Yuxing ZengSpeakerIstio Ambient 发展历程20172020202

2、2Istio 1.5,Simplified Istio(istiod)2023Istio 1.18,Ambientto AlphaIstio1.22,Ambientto Beta?2024Istio 数据面的演变过程 Sidecar-AmbientSidecar模式模式YAMLDev/Ops/SREControl planeistio-proxyistio-proxyapp Aapp BSidecarSidecarContainerContainerMachine/PodMachine/PodDataControl planeData planeApplicationPlaneRequestP

3、odConfigurationConfiguration流量管理安全可观测性Sidecar 模式的挑战PERFORMANCEOVERHEADCOSTOPERATIONALCOMPLEXITYAbout AmbientHBONE encapsulationIstio Ambient:一种新的数据平面模式7层高级处理：功能丰富流量管理：HTTP路由、负载均衡、熔断、限流、故障容错、重试、超时等安全：面向7层的精细化授权策略可观测：HTTP监控指标、访问日志、链路追踪4层基础处理：低资源高效率流量管理：TCP路由安全：面向4层的简单授权策略、双向TLS可观测：TCP监控指标及日志设计理念：将数据平面

4、分层，以此允许用户以更渐进增量的方式采用服务网格技术Istio 中业务应用程序和数据平面代理分离App AApp CApp AWaypoint Proxy节点App BApp C节点App CApp D节点ztunnelztunnelztunnelApp BWaypoint Proxy9K8sGatewayCRWaypoint ProxyControllerWaypoint代理L7 组件完全独立于应用程序运行，安全性更高；每个身份（Kubernetes 中的服务帐户）都有自己专用的 L7 代理，避免多租户 L7 代理模式引入的复杂度与不稳定性；通过K8s Gateway CRD定义触发启用；z

5、tunnel将 L4处理下沉到 CNI级别，来自工作负载的流量被重定向到 ztunnel，然后ztunnel识别工作负载并选择正确的证书来处理；与Sidecar模式兼容Sidecar模式仍然是网格的一等公民，可以与部署了 Sidecar 的工作负载进行本地通信；A-BC-DAmbient L4 ZtunnelAmbient Mesh 下的流量路径ztunnel提供L4流量代理能力 与其它节点的ztunnel通信时，使用HBONE协议，加密L4流量 保存Ambient Mesh中vip与pod id映射关系，实现简单的负载均衡 执行L4的授权策略ztunnelztunnelHTTPSCONNEC

6、T tunnelDownstreamUpstreamClientProxyServerTCP connectionHTTP CONNECTRaw TCP streamHBONE数据包组成IPTCPTLSHTTPCONNECTByte Stream ztunnel：用rust写成的新组件 同样通过XDS API从控制平面获取配置 只需要工作负载/服务ip、L4策略、工作负载证书配置，相对envoy配置更轻提供能力：Ambient 已知问题Ztunnel 的稳定性和性能：HA 问题：DamonSet 方式部署Ztunnel，ztunnel pod 是单点，异常将导致整个节点业务流量受影响 http