第 1 章 OpenShift Service Mesh 发行注记

此功能增强将 Istio 辅助模式、ztunnel 和 waypoint 的核心功能引入正式发布(GA)。ambient 模式通过删除由以下两个代理级别组成的新数据平面架构所需的 sidecar 代理来降低运行服务网格的资源成本：

此功能增强为 Istio 辅助模式提供了更新的功能支持列表。不是所有 sidecar 模式功能在 ambient 模式中被支持。有关支持的和不支持的功能的详细信息，请参阅"Service Mesh 功能支持表"。

Istio 辅助模式使用名为 HBONE 的应用程序层隧道(L7)来在工作负载间安全地传输 TCP 流量(L4)。ztunnel 组件通过 TCP 端口 15008 隧道 pod 流量。如果现有 Kubernetes NetworkPolicy 配置会阻止此端口上入站流量，请更新它们以允许端口 15008 上的入站 TCP 流量用于 ambient 工作负载。sidecar 工作负载还必须允许此端口上的入站流量与 ambient 工作负载进行通信。如需更多信息，请参阅"为 ambient 模式配置网络策略"。

为确保存活度和就绪度探测为在 Istio ambient 模式中运行的工作负载继续正常工作，您必须在 gatewayConfig 规格中设置 routingViaHost: true 来启用 OVN-Kubernetes 本地网关模式。如需更多信息，请参阅"OVN-Kubernetes 文档"

在此次更新之前，OpenShift Service Mesh Console (OSSMC)插件用户无法直接从 Service Mesh 进入 Network Traffic。在这个版本中，用户可以点 Service Mesh Traffic Graph 中的工作负载，并在侧面面板中找到一个新的 Network Traffic 链接。此功能让用户可以点击该特定工作负载的网络流数据。只有在控制台成功安装并检测到 NetObserv 插件时，链接才会出现。

在 3.2 发行版本中，启用全局 networkPolicy 设置，除了之前支持的 istiod 和 gateway 资源外，还需要包含 istio-cni 和 ztunnel 资源。