第1章 OpenShift Service Mesh リリースノート

この機能強化により、Istio アンビエントモード、ztunnel、waypoint のコア機能が一般利用可能になります。アンビエントモードでは、次の 2 つのレベルのプロキシーで構成される新しいデータプレーンアーキテクチャーによりサイドカープロキシーの必要性がなくなり、サービスメッシュの実行にかかるリソースコストが削減されます。

この機能拡張により、Istio アンビエントモードの機能サポートマトリックスが更新されます。アンビエントモードでは、サイドカーモードのすべての機能がサポートされるわけではありません。サポートされている機能とサポートされていない機能の詳細は、「サービスメッシュ機能のサポート表」を参照してください。

Istio アンビエントモードは、HBONE と呼ばれるアプリケーション層トンネル (L7) を使用して、ワークロード間で TCP トラフィック (L4) をセキュアに伝送します。ztunnel コンポーネントは、TCP ポート 15008 を介して Pod トラフィックをトンネリングします。既存の Kubernetes NetworkPolicy 設定によってこのポートの受信トラフィックがブロックされている場合は、アンビエントワークロードのポート 15008 の受信 TCP トラフィックを許可するように設定を更新します。サイドカーワークロードでは、アンビエントワークロードと通信するために、このポート上の受信トラフィックも許可する必要があります。詳細は、「アンビエントモードのネットワークポリシーの設定」を参照してください。

Istio アンビエントモードで実行されているワークロードに対して、liveness プローブと readiness プローブが引き続き正しく機能すること確認するには、gatewayConfig 仕様で routingViaHost: true を設定して、OVN-Kubernetes ローカルゲートウェイモードを有効にする必要があります。詳細は、「OVN-Kubernetes ドキュメント」を参照してください。

この更新前は、OpenShift Service Mesh Console (OSSMC) プラグインユーザーは、Service Mesh から Network Traffic に直接移動できませんでした。この更新により、ユーザーは the Service Mesh Traffic Graph 内のワークロードをクリックして、サイドパネルに新しい Network Traffic リンクを見つけることができるようになりました。この機能により、ユーザーは特定のワークロードのネットワークフローデータにワンクリックでアクセスできます。このリンクは、NetObserv プラグインが正常にインストールされ、コンソールによって検出された場合にのみ表示されます。

3.2 リリースでは、グローバル networkPolicy 設定を有効にすると、以前サポートされていた istiod および gateway リソースに加えて、istio-cni および ztunnel リソースも NetworkPolicy の作成に含まれるようになりました。