4.5. Istio アンビエントモードでの waypoint プロキシーについて

ztunnel プロキシーを使用して Istio アンビエントモードを設定した後、waypoint プロキシーを追加して、Istio が提供する高度な Layer 7 (L7) 処理機能を有効化できます。

Istio アンビエントモードは、Istio の機能を 2 つのレイヤーに分離します。

waypoint プロキシーは、アンビエントモードで実行されているワークロードに対して L7 処理を実行する Envoy ベースのプロキシーです。namespace、サービス、Pod などのリソースへのゲートウェイとして機能します。アプリケーションとは独立して、waypoint プロキシーをインストール、アップグレード、拡張できます。設定では Kubernetes Gateway API を使用します。

各ワークロードが独自の Envoy プロキシーを実行するサイドカーモデルとは異なり、waypoint プロキシーは、namespace 内のすべてのワークロードなど、同じセキュリティー境界内で複数のワークロードを処理することでリソースの使用量を削減します。

宛先 waypoint はゲートウェイとして機能し、ポリシーを適用します。namespace、サービス、Pod などのリソースへのすべての着信トラフィックは、ポリシー適用のために waypoint を通過します。

ztunnel ノードプロキシーは、相互 Transport Layer Security (mTLS) 暗号化、L4 トラフィック処理、テレメトリーなどの L4 機能をアンビエントモードで管理します。Ztunnel と waypoint プロキシーは、ポート 15008 で相互 TLS (mTLS) を使用して HTTP/2 CONNECT 経由でトラフィックをトンネリングするプロトコルである HBONE (HTTP ベースのオーバーレイネットワーク) を使用して通信します。

ワークロードに次のいずれかの L7 機能が必要な場合は、waypoint プロキシーを追加できます。