4.5. 关于 Istio ambient 模式中的代理

在使用 ztunnel 代理设置 Istio ambient 模式后，您可以添加 waypoint 代理来启用 Istio 提供的高级层 7 (L7)处理功能。

Istio 辅助模式将 Istio 的功能分成两个层：

waypoint 代理是基于 Envoy 的代理，为在 ambient 模式下运行的工作负载执行 L7 处理。它充当到命名空间、服务或 pod 等资源的网关。您可以独立于应用程序安装、升级和扩展方式代理。配置使用 Kubernetes 网关 API。

与 sidecar 模型不同，每个工作负载都运行自己的 Envoy 代理，通过在同一安全边界（如命名空间中的所有工作负载）提供多个工作负载来缩短资源使用。

目的地方法点通过充当网关来强制实施策略。所有进入资源的流量（如命名空间、服务或 pod）都通过策略强制的方式传递。

ztunnel 节点代理在 ambient 模式中管理 L4 功能，包括 mutual Transport Layer Security (mTLS)加密、L4 流量处理和遥测。Ztunnel 和 waypoint 代理使用 HBONE （基于 HTTP 的 Overlay Network）进行通信，该协议通过 HTTP/2 CONNECT 在端口 15008 上通过 HTTP/2 CONNECT 连接流量。

如果工作负载需要以下 L7 功能，您可以添加方法代理：