• 关于
    • 服务网格
    • 解决方案
    • 案例研究
    • 生态系统
    • 部署
    • 培训
    • 常见问题解答
  • 博客
  • 新闻
  • 参与进来
  • 文档
尝试 Istio

加入我们参加北美 Istio 日,这是 KubeCon + CloudNativeCon 北美的一个联合活动。2024 年 11 月 12 日,美国犹他州盐湖城。立即注册!

Istio 1.24 现已推出!点击此处了解更多

  • 概述
    • 什么是 Istio?
    • 为什么要选择 Istio?
    • Sidecar 还是 ambient?
  • 概念
    • 流量管理
    • 安全
    • 可观察性
    • 可扩展性
  • Sidecar 模式
    • 入门
    • 平台设置
      • 阿里云
      • Amazon EKS
      • Azure
      • Docker Desktop
      • Google Kubernetes Engine
      • 华为云
      • IBM Cloud
      • k3d
      • kind
      • Kops
      • Kubernetes Gardener
      • KubeSphere 容器平台
      • MicroK8s
      • Minikube
      • OpenShift
      • Oracle Cloud Infrastructure
      • 腾讯云
    • 安装
      • 使用 istioctl 安装
      • 使用 Helm 安装
      • 安装多集群
        • 开始之前
        • 安装多主
        • 安装主控-远程
        • 在不同网络上安装多主
        • 在不同网络上安装主控-远程
        • 验证安装
      • 使用外部控制平面安装 Istio
      • 在一个集群中安装多个 Istio 控制平面
      • 虚拟机安装
    • 升级
      • 金丝雀升级
      • 就地升级
      • 使用 Helm 升级
    • 更多指南
      • 下载 Istio 版本
      • 安装配置概要文件
      • 兼容版本
      • 安装网关
      • 安装 Sidecar
      • 自定义安装配置
      • 高级 Helm 图表自定义
      • 在双栈模式下安装 Istio
      • 使用 Pod 安全准入安装 Istio
      • 安装 Istio CNI 节点代理
      • 在没有网关 API 的情况下入门
  • Ambient 模式
    • 概述
    • 入门
      • 部署应用程序
      • 保护和可视化应用程序
      • 强制执行授权策略
      • 管理流量
      • 清理
    • 安装
      • 特定于平台的先决条件
      • 使用 Helm 安装
      • 使用 istioctl 安装
    • 升级
      • 使用 Helm 升级
    • 用户指南
      • 将工作负载添加到网格
      • 验证双向 TLS 是否已启用
      • Ambient 和 Kubernetes 网络策略
      • 使用第 4 层安全策略
      • 配置航点代理
      • 使用第 7 层功能
      • 使用 WebAssembly 插件扩展航点 *
      • 使用 ztunnel 排查连接问题
      • 排查航点问题
    • 架构
      • Ambient 和 Istio 控制平面
      • Ambient 数据平面
      • HBONE
      • Ztunnel 流量重定向
  • 任务
    • 流量管理
      • 请求路由
      • 故障注入
      • 流量转移
      • TCP 流量转移
      • 请求超时
      • 断路器
      • 镜像
      • 区域性负载均衡
        • 开始之前
        • 区域性故障转移
        • 区域性加权分配
        • 清理
      • 入口
        • 入口网关
        • 安全网关
        • 没有 TLS 终止的入口网关
        • 入口 Sidecar TLS 终止
        • Kubernetes 入口
        • Kubernetes 网关 API
      • 出口
        • 访问外部服务
        • 出口 TLS 发起
        • 出口网关
        • 具有 TLS 发起的出口网关
        • 使用通配符主机名的出口
        • Kubernetes 服务用于出口流量
        • 使用外部 HTTPS 代理
    • 安全
      • 证书管理
        • 插入 CA 证书
        • 使用 Kubernetes CSR 自定义 CA 集成 *
      • 认证
        • 认证策略
        • 基于 JWT 声明的路由 *
        • 将 JWT 声明复制到 HTTP 标头 *
        • 双向 TLS 迁移
      • 授权
        • HTTP 流量
        • TCP 流量
        • JWT 令牌
        • 外部授权
        • 显式拒绝
        • 入口访问控制
        • 信任域迁移
        • 干运行 *
      • TLS 配置
        • Istio 工作负载最小 TLS 版本配置
    • 策略执行
      • 使用 Envoy 启用速率限制
    • 可观察性
      • 遥测 API
      • 指标
        • 使用遥测 API 自定义 Istio 指标
        • 收集 TCP 服务的指标
        • 自定义 Istio 指标
        • 根据请求或响应对指标进行分类
        • 从 Prometheus 查询指标
        • 使用 Grafana 可视化指标
      • 日志
        • 使用遥测 API 配置访问日志
        • Envoy 访问日志
        • OpenTelemetry
      • 分布式跟踪
        • 概述
        • 使用遥测 API 配置跟踪
        • Apache SkyWalking
        • Jaeger
        • OpenTelemetry
        • 跟踪采样
        • Zipkin
        • 使用 MeshConfig 和 Pod 注释配置跟踪
        • Lightstep
      • 可视化网格
      • 远程访问遥测附加组件
    • 可扩展性
      • 分发 WebAssembly 模块 *
  • 示例
    • Bookinfo 应用程序
    • 具有虚拟机的 Bookinfo
    • 使用 Kubernetes 和 Istio 学习微服务
      • 先决条件
      • 设置 Kubernetes 集群
      • 设置本地计算机
      • 在本地运行微服务
      • 在 Docker 中运行评分
      • 使用 Kubernetes 运行 Bookinfo
      • 在生产环境中测试
      • 添加新版本的评论
      • 在 productpage 上启用 Istio
      • 在所有微服务上启用 Istio
      • 配置 Istio 入口网关
      • 使用 Istio 进行监控
  • 操作
    • 部署
      • 平台要求
      • 架构
      • 安全模型
      • 部署模型
      • 虚拟机架构
      • 性能和可扩展性
      • 应用程序要求
    • 配置
      • 网格配置
        • 动态准入 Webhook 概述
        • Istio 服务的健康检查
        • 配置范围
      • 流量管理
        • 协议选择
        • 管理网格内证书
        • TLS 配置
        • 流量路由
        • DNS
        • 配置网关网络拓扑 *
        • DNS 代理
        • 多集群流量管理
      • 安全
        • 安全策略示例
        • 强化 Docker 容器镜像
      • 可观察性
        • Envoy 统计信息
        • 使用 Prometheus 监控多集群 Istio
      • 可扩展性
        • WebAssembly 模块的拉取策略 *
    • 最佳实践
      • 部署最佳实践
      • 流量管理最佳实践
      • 安全最佳实践
      • 镜像签名和验证
      • 可观察性最佳实践
    • 常见问题
      • 流量管理问题
      • 安全问题
      • 可观察性问题
      • Sidecar 注入问题
      • 配置验证问题
      • 升级问题
    • 诊断工具
      • 使用 Istioctl 命令行工具
      • 调试 Envoy 和 Istiod
      • 使用 Istioctl Describe 了解网格
      • 使用 Istioctl Analyze 诊断配置
      • 使用 Istioctl Check-Inject 验证 Istio Sidecar 注入
      • Istiod 自省
      • 组件日志记录
      • 调试虚拟机
      • 排查多集群问题
      • 排查 Istio CNI 插件问题
    • 集成
      • cert-manager
      • Grafana
      • Jaeger
      • Kiali
      • Prometheus
      • SPIRE
      • Apache SkyWalking
      • Zipkin
      • 第三方负载均衡器
  • 版本
    • 功能状态
    • 报告错误
    • 安全漏洞
    • 支持的版本
    • 贡献文档
      • 使用 GitHub
      • 添加新文档
      • 删除已停用的文档
      • 在本地构建和提供网站
      • 前置信息
      • 文档审查流程
      • 添加代码块
      • 使用短代码
      • 遵循格式标准
      • 风格指南
      • 术语标准
      • 图表创建指南
    • 网站内容更改
  • 参考
    • 配置
      • 遥测
      • 分析消息
      • 全局网格选项
      • IstioOperator 选项
      • 配置状态字段
      • 代理扩展
        • Wasm 插件
        • 统计信息配置
      • 流量管理
        • 目标规则
        • Envoy 过滤器
        • 网关
        • ProxyConfig
        • 服务条目
        • Sidecar
        • 虚拟服务
        • 工作负载条目
        • 工作负载组
      • 安全
        • PeerAuthentication
        • RequestAuthentication
        • 授权策略
        • 授权策略条件
        • 授权策略规范化
      • 通用类型
        • 工作负载选择器
      • Istio 标准指标
      • 资源注释
      • 资源标签
      • 配置分析消息
        • AlphaAnnotation
        • 分析器消息格式
        • ConflictingMeshGatewayVirtualServiceHosts
        • ConflictingSidecarWorkloadSelectors
        • ConflictingTelemetryWorkloadSelectors
        • DeploymentAssociatedToMultipleServices
        • DeploymentConflictingPorts
        • 已弃用
        • DeprecatedAnnotation
        • EnvoyFilterUsesAddOperationIncorrectly
        • EnvoyFilterUsesRelativeOperation
        • EnvoyFilterUsesRelativeOperationWithProxyVersion
        • EnvoyFilterUsesRemoveOperationIncorrectly
        • EnvoyFilterUsesReplaceOperationIncorrectly
        • ExternalControlPlaneAddressIsNotAHostname
        • ExternalNameServiceTypeInvalidPortName
        • GatewayPortNotDefinedOnService
        • IneffectivePolicy
        • IneffectiveSelector
        • InternalError
        • InvalidAnnotation
        • InvalidApplicationUID
        • InvalidExternalControlPlaneConfig
        • InvalidGatewayCredential
        • InvalidTelemetryProvider
        • LocalhostListener
        • MisplacedAnnotation
        • MultipleSidecarsWithoutWorkloadSelectors
        • MultipleTelemetriesWithoutWorkloadSelectors
        • NamespaceMultipleInjectionLabels
        • NamespaceNotInjected
        • NoMatchingWorkloadsFound
        • NoServerCertificateVerificationDestinationLevel
        • NoServerCertificateVerificationPortLevel
        • PodMissingProxy
        • PodsIstioProxyImageMismatchInNamespace
        • PortNameIsNotUnderNamingConvention
        • ReferencedResourceNotFound
        • SchemaValidationError
        • ServiceEntryAddressesRequired
        • UnknownAnnotation
        • VirtualServiceDestinationPortSelectorRequired
        • VirtualServiceHostNotFoundInGateway
        • VirtualServiceIneffectiveMatch
        • VirtualServiceUnreachableRule
    • 命令
      • install-cni
      • istioctl
      • pilot-agent
      • pilot-discovery
    • 词汇表
  1. 文档
  2. 操作
  3. 最佳实践

最佳实践

设置和管理 Istio 服务网格的最佳实践。

部署最佳实践

设置 Istio 服务网格时的通用最佳实践。

流量管理最佳实践

配置最佳实践,以避免网络或流量管理问题。

安全最佳实践

使用 Istio 保护应用程序的最佳实践。

镜像签名和验证

描述如何使用镜像签名来验证 Istio 镜像的来源。

可观察性最佳实践

使用 Istio 观察应用程序的最佳实践。

链接


    English 中文 Українська
    • 条款与条件 | 隐私政策 | 商标 | 在 GitHub 上编辑此页面
    © 2024 Istio 作者。 Istio 1.24 版本
    • 下一个版本
    • 较旧的版本