4.9. アンビエントモードの Layer 7 機能について

アンビエントモードには、ゲートウェイ API HTTPRoute リソースと Istio AuthorizationPolicy リソースを通じて実装された安定した Layer 7 (L7) 機能が含まれます。

AuthorizationPolicy リソースは、サイドカーモードとアンビエントモードの両方で機能します。アンビエントモードでは、認可ポリシーを ztunnel 適用の対象にしたり、waypoint 適用に適用したりできます。waypoint にポリシーをアタッチするには、waypoint 自体またはその waypoint を使用するように設定されたサービスを参照する targetRef を含めます。

宛先の ztunnel がトラフィックパスの一部になると、ztunnel は waypoint のアイデンティティーによってトラフィックを認識するため、Layer 4 (L4) または L7 ポリシーを waypoint プロキシーにアタッチし、アイデンティティーベースの適用を正しく確実に行うことができます。

相互 TLS (mTLS) モードを設定する Istio ピア認証ポリシーは、ztunnel によってサポートされています。アンビエントモードでは、ztunnel と HBONE が常に mTLS を適用するため、モードを DISABLE に設定するポリシーは無視されます。詳細は、「ピア認証」を参照してください。