默认情况下,Istio配置每个envoy代理来接受其相关工作负载的所有端口上的流量,并在转发流量时到达网格中的每个工作负载。你可以使用sidecar配置做以下事情:
微调envoy代理接受的端口和协议集。
限制envoy代理可以访问的服务集。
您可能希望在较大的应用程序中限制这样的sidecar可达性,因为配置每个代理来访问网格中的每个其他服务可能会由于高内存使用量而潜在地影响网格性能。
您可以指定希望将sidecar配置应用于特定名称空间中的所有工作负载,或者使用workloadSelector选择特定的工作负载。例如,下面的sidecar配置将bookinfo名称空间中的所有服务配置为只访问在相同名称空间和Istio控制平面中运行的服务(目前需要使用Istio的策略和遥测功能):
apiVersion: networking.istio.io/v1alpha3kind: Sidecarmetadata:name: defaultnamespace: bookinfospec:egress:- hosts:- "./*"- "istio-system/*"
更多关于sidecar的内容参考:参考链接
若有收获,就点个赞吧
0 人点赞
