4.9. 关于 ambient 模式的第 7 层功能

ambient 模式包括通过 Gateway API HTTPRoute 资源和 Istio AuthorizationPolicy 资源实现的稳定层 7 (L7)功能。

AuthorizationPolicy 资源在 sidecar 和 ambient 模式中工作。在 ambient 模式中，授权策略可以针对 ztunnel 强制，或附加用于 waypoint 强制。要将策略附加到 waypoint，包含一个 targetRef，它引用 waypoint 本身或配置为使用该方法点的服务。

您可以将第 4 层(L4)或 L7 策略附加到 waypoint 代理，以确保基于身份的强制，因为目标 ztunnel 识别由 waypoint 身份的网络流量，一旦是流量路径的一部分。

Istio peer 验证策略（配置 mutual TLS (mTLS)模式）被 ztunnel 支持。在 ambient 模式中，将模式设置为 DISABLE 的策略会被忽略，因为 ztunnel 和 HBONE 始终强制执行 mTLS。如需更多信息，请参阅"Peer 身份验证"。