今年的KubeCon China是首次在香港举办的盛会，持续了三天。作为会议的参与者及一个论坛的主持人，我在这篇文章中将分享会议的精彩内容和对服务网格及网关技术的深入讨论。

主题焦点

本次 KubeCon 新增了 AI 与开发者主题，以下是部分重点内容：

1. 云原生技术在行业中的实际应用：特别是电动汽车和网络安全领域，如 Huawei 和 NIO 的共同探讨云原生技术如何加速电动汽车创新。

2. Kubernetes 社区的力量：详细讨论了中国 Kubernetes 社区的影响力及其在推动区域云原生活动中的角色。

3. 开源技术与人工智能的融合：探讨了中国及香港在开源与 AI 技术领域的先进地位及对区域技术创新的推动。

4. 服务网格与 API 网关的最新进展：包括服务网格的最新技术更新及其与 Kubernetes 调度器的协同工作提高系统吞吐量的策略。

5. 供应链安全的新策略：关注保障供应链安全的最新动态，特别是 SLSA 合规性的实践指南。

6. 多集群管理与边缘计算：探讨了在不同架构下进行有效管理与创新的策略。

7. AI 大模型的推理性能优化：讨论了无服务器架构下的 AI 大模型推理性能优化及相关技术进展。

Istio 与现代 API 网关：探索服务网格的未来

我与来自 Tetrate、阿里云和 Kong Inc.的行业领袖共同参与的圆桌讨论，深入探讨了 Istio 和 API 网关的最新进展及其融合带来的革新。

1. Istio 的革新：介绍了 Istio 1.123 版本中的 Ambient 模式优化，此模式作为新的架构选择，减少资源消耗同时提升性能。

2. Ambient 模式与 Sidecar 模式的实用对比：

   • 何时选择 Sidecar：需要高度隔离与详尽流量管理时。
   • 何时选择 Ambient：追求极致性能与资源效率时。

3. Ambient 模式的发展挑战：尽管有诸多优势，Ambient 模式在复杂流量管理与多租户环境中仍面临挑战。

4. 服务网格优化策略：讨论了服务网格的优化方法，如何提升云应用的性能与效率。

5. 服务网格与 API 网关的整合：展示了这两大技术如何共同作用，支持更复杂的部署与运维模式。

Istio 的未来展望

在徐中虎和何建鹏的分享中，我们了解到了 Istio 未来的可能发展方向：

• 双模驱动：Istio 将同时支持 Ambient 模式和传统的 Sidecar 模式。Ambient 模式适合追求性能和资源成本优化的用户，而 Sidecar 模式将为需要更全面功能的用户长期支持。

• Gateway API 的支持：Istio 对 Gateway API 的支持，为用户提供了更灵活的路由与策略配置选项。

• Waypoints 的策略应用：Waypoints 不必局限于 Istio 或 Envoy。通过使用 Gateway API 和 GAMMA，任何符合标准的实现都可以作为 Waypoint，这为服务网格提供了更大的灵活性和扩展性。

Sandwich Waypoint

他们着重介绍了 Sandwich Waypoint，这是一种在 Istio 内管理和引导流量的复杂方法，特别是在环境模式下。这种 Waypoint 代理模式旨在通过充当处理、转换和转发客户端和服务器之间流量的中介层来简化和提高流量路由的效率。它利用了双 zTunnel 设置，其中位于通信通道两端的每个 zTunnel 协作封装和解码流量。Waypoint 本身负责执行额外的功能，如流量整形、安全检查和协议转换，从而在没有传统边车开销的情况下丰富服务网格功能。这种方法允许 Istio 保持强大的流量管理和安全功能，同时优化资源利用率并减少延迟。

Sandwich Waypoint 支持：

• 流量重定向：可通过设置 istio.io/use-waypoint: {namespace}/{gateway-name} 注解，将目标服务、Pod 或命名空间内的流量重定向到同一个 Waypoint。
• Waypoint 部署：用户可以通过创建一个 Gateway 对象来部署 Waypoint。与原始的 Waypoint 实现不同，新的部署方式将包括相关联的服务和服务账户，不仅仅是 Waypoint 实例。
• 路由与政策配置：使用 Gateway API 进行路由和政策配置，这为用户和供应商提供了更多的自定义选项。

这是一种 Istio Ambient 模式中捕获七层流量模式，如下图所示。

Istio Sandwich Waypoint 捕获七层流量的步骤如下：

1. 通过 zTunnel 终止 HBONE 连接，到达 Waypoint，zTunnel 负责解码 HBONE 协议。
2. Waypoint 提取目的地地址、源地址等信息用于处理流量及确定转发位置。
3. Waypoint 扩展或解析传输层封装（TLV）数据，代理支持处理 TLV 以提供更多上下文。
4. Waypoint 与同位 zTunnel 通信，与服务端 zTunnel 协调确保流量正确转移。
5. 封装 HBONE，由服务端 zTunnel 发送到最终服务器目的地。实现 Istio 环境中服务的细粒度流量管理和路由并保持与现有网络协议兼容性。

Envoy Gateway 的前沿扩展

赵化冰在 KubeCon 上介绍了 Envoy Gateway 如何通过扩展 Kubernetes Gateway API 来增强功能与灵活性的演讲，涵盖了多种匹配与路由能力的扩展、新的资源和策略模型以及安全策略的细节。

• 网关 API 兼容性：Envoy 网关完全兼容网关 API，并提供了广泛的匹配和路由选项。这些包括 HTTP 主机和路径匹配、基于 HTTP 头的操作、权重负载均衡，以及对 gRPC、UDP 和 TCP 路由的支持。
• 高级流量管理策略：引入的 ClientTrafficPolicy 和 BackendTrafficPolicy 为用户提供了更细粒度的流量管理控制，适用于上游和下游连接，包括如限速、重试、负载均衡、断路器等功能。
• 安全与认证增强：新引入的 SecurityPolicy 支持 CORS、HTTP 基础认证、OIDC、JWT 认证，并能与各种身份提供商集成。它还提供了详细的访问控制，允许根据请求者的原始 IP、JWT 声明等进行授权。
• 自定义扩展功能：Envoy 网关支持通过 WASM（WebAssembly）和外部进程扩展来支持自定义扩展。这允许用户通过集成他们自己为特定用例和操作需求量身定制的扩展来增强网关的功能。
• 未来探索：未来版本预计将支持非 Kubernetes 环境部署，优化控制平面的内存使用，并扩展授权能力。

总结

通过本次会议我们了解了 Istio 的 Ambient 模式和 Envoy Gateway 的进展。这些技术的讨论不仅展望了未来趋势，也提供了实用的洞察，助力技术实施与创新。