张超盟

华为云应用服务网格架构师，拥有15年以上的开发经验，先后负责过华为云容器应用运维、微服务平台、云服务目录、云服务可靠性、服务网格等云原生产品的架构设计与开发工作，主导过多个重大项目的云原生和微服务化生产落地。在服务网格、Kubernetes容器服务、微服务架构、应用性能管理、大数据、DevOps工具等方面有深入的研究与实践。Istio社区成员，KubeCon、IstioCon及ServiceMeshCon等会议的演讲者，技术图书作者。早期曾在中铁一局从事路桥建设工作。

 

徐中虎

华为云云原生团队核心成员，开源技术专家，服务网格Istio核心维护者，Istio社区指导委员会成员，Kubernetes项目核心贡献者，批量计算项目Volcano的核心维护者，拥有丰富的开源工作经验。主要研究方向有微服务架构、服务网格、容器编排平台Kubernetes和未来的分布式云原生架构等。在分布式系统的性能优化、高可靠和可扩展方面研究深入、经验丰富。

 

张  伟

华为云服务网格数据面资深专家，拥有18年架构设计与开发经验，先后就职于亿阳信通、加拿大北电网络（中国）、甲骨文、Polycom、阿里巴巴及华为等公司。作为核心开发人员开发过传输网管系统、Tuxedo交易中间件、ts-server多媒体转码服务、GTS高性能事务云服务、sc高性能注册中心、ASM数据面等多个产品，现主要负责华为云ASM服务网格数据面代理产品的设计与开发工作。

 

冷  雪

西安电子科技大学杭州研究院菁英副教授，浙江大学工学博士。主要研究方向有云原生安全、性能优化和智能运维等，致力于解决云网环境下的关键问题。曾参与并主持多项科研项目，在国际顶级会议和期刊上发表多篇论文并获得多项授权专利。

 

/  华为云云原生团队  /

华为云云原生团队创建于2013年，是国内较早从事云原生研究的团队之一，也是CNCF的初创成员和白金会员。华为云在容器、服务网格、微服务等云原生技术领域都有着深厚的沉淀，拥有10多名CNCF项目维护者，对Kubernetes、Istio等核心项目的贡献一直位居全球前列，并向CNCF捐献了KubeEdge、Volcano、Karmada等知名项目。基于CNCF的开源生态，华为云还打造了云容器引擎、云容器实例、应用服务网格等一系列优质的商业化云原生服务。

为进一步推广云原生技术，加速云原生在行业中落地，华为云联合CNCF、中国信通院及业界云原生技术精英们成立了全球云原生交流平台——创原会。

 

/  创原会  /

创原会是CNCF、中国信通院、华为云及业界云原生技术精英们联合成立的全球云原生交流平台，旨在通过研究前沿云原生技术及共享产业落地实践，探索云原生与业务融合的无限可能。自2020年成立至今，创原会已在中国、东南亚、拉美、欧洲陆续成立分会并举办活动50余场，为全球技术精英们提供了一个优质、高端、开放的交流平台，并吸纳近300位CTO、技术总监成为会员，极大地促进了云原生在全球各行业中的普及和落地。

推荐序一

——华为云CTO  张宇昕

 

随着企业数字化转型的全面深入，企业在生产、运营、创新方面都对基础设施提出了全新要求。为了保障业务的极致性能，资源需要被随时随地按需获取；为了实现对成本的精细化运营，需要实现对资源的细粒度管理；新兴的智能业务则要求基础设施能提供海量的多样化算力。为了支撑企业的数智升级，企业的基础设施需要不断进化、创新。如今，企业逐步进入深度云化时代，由关注资源上云转向关注云上业务创新，同时需要通过安全、运维、IT治理、成本等精益运营手段来深度用云、高效管云。云原生解决了企业以高效协同模式创新的本质问题，让企业的软件架构可以去模块化、标准化部署，极大提高了企业应用生产力。

从技术发展的角度来看，我们可以把云原生理解为云计算的重心从“资源”逐渐转向“应用”的必然结果。以资源为中心的上一代云计算技术专注于物理设备如何虚拟化、池化、多租化，典型代表是计算、网络、存储三大基础设施的云化。以应用为中心的云原生技术则专注于应用如何更好地适应云环境。相对于传统应用通过迁移改造“上云”，云原生的目标是通过一系列的技术支撑，使用户在云环境下快速开发和运行、管理云原生应用，并更好地利用云资源和云技术。

服务网格是CNCF（Cloud-Native Computing Foundation，云原生计算基金会）定义的云原生技术栈中的关键技术之一，和容器、微服务、不可变基础设施、声明式API等技术一起，帮助用户在动态环境下以弹性和分布式的方式构建并运行可扩展的应用。服务网格在云原生技术栈中，向上连接用户应用，向下连接多种计算资源，发挥着关键作用。

（1）服务网格与底层资源、运行环境结合，构建了一个理解应用需求、对应用更友好的基础设施，而不只是提供一堆机器和资源。服务网格帮助用户打造“以应用为中心”的云原生基础设施，让基础设施能感知应用且更好地服务于应用，对应用进行细粒度管理，更有效地发挥资源的效能。服务网格向应用提供的这层基础设施也经常被称为“应用网络”。用户开发的应用程序像使用传统的网络协议栈一样使用服务网格提供的应用层协议。就像TCP/IP负责将字节码可靠地在网络节点间传递，服务网格负责将用户的应用层信息可靠地在服务间传递，并对服务间的访问进行管理。在实践中，包括华为云在内的越来越多的云厂商将七层应用流量管理能力和底层网络融合，在提供传统的底层连通性能力的同时，基于服务的语义模型，提供了应用层丰富的流量、安全和可观测性管理能力。

（2）向上，服务网格以非侵入的方式提供面向应用的韧性、安全、动态路由、调用链、拓扑等应用管理和运维能力。这些能力在传统应用开发模式下，需要在开发阶段由开发人员开发并持续维护。而在云原生开发模式下，基于服务网格的非侵入性特点，这些能力被从业务中解耦，无须由开发人员开发，由运维人员配置即可。这些能力包括：灵活的灰度分流；超时、重试、限流、熔断等；动态地对服务访问进行重写、重定向、头域修改、故障注入；自动收集应用访问的指标、访问日志、调用链等可观测性数据，进行故障定界、定位和洞察；自动提供完整的面向应用的零信任安全，比如自动进行服务身份认证、通道加密和细粒度授权管理。使用这些能力时，无须改动用户的代码，也无须使用基于特定语言的开发框架。

作为服务网格技术中最具影响力的项目，Istio的平台化设计和良好扩展性使得其从诞生之初就获得了技术圈和产业界的极大关注。基于用户应用Istio时遇到的问题，Istio的版本在稳定迭代，功能在日益完善，易用性和运维能力在逐步增强，在大规模生产环境下的应用也越来越多。特别是，Istio于2022年9月被正式批准加入CNCF，作为在生产环境下使用最多的服务网格项目，Istio在加速成熟。

华为云在2018年率先发布全球首个Istio商用服务：ASM（Application Service Mesh，应用服务网格）。ASM是一个拥有高性能、高可靠性和易用性的全托管服务网格。作为分布式云场景中面向应用的网络基础，ASM对多云、混合云环境下的容器、虚拟机、Serverless、传统微服务、Proxyless服务提供了应用健康、韧性、弹性、安全性等统一的全方位管理。

作为最早一批投身云原生技术的厂商，华为云是CNCF在亚洲唯一的初创成员，社区代码贡献和Maintainer席位数均持续位居亚洲第一。华为云云原生团队从2018年开始积极参与Istio社区的活动，参与Istio社区的版本特性设计与开发，基于用户的共性需求开发了大量大颗粒特性，社区贡献位居全球第三、中国第一。华为云云原生团队成员入选了每届Istio社区指导委员会，参与了Istio社区的重大技术决策，持续引领了Istio项目和服务网格技术的发展。

2021年4月，华为云联合中国信通院正式发布云原生2.0白皮书，全面诠释了云原生2.0的核心理念，分享了云原生产业洞察，引领了云原生产业的繁荣。此外，华为云联合CNCF、中国信通院及业界云原生技术精英们成立全球云原生交流平台——创原会，创原会当前已经在中国、东南亚、拉美、欧洲陆续成立分会，探索前沿云原生技术、共享产业落地实践经验，让云原生为数字经济发展和企业数字化转型贡献更多的价值。

《Istio权威指南》来源于华为云云原生团队在云服务开发、客户解决方案构建、Istio社区特性开发、生产环境运维等日常工作中的实践、思考和总结，旨在帮助技术圈的更多朋友由浅入深且系统地理解Istio的原理、实践、架构与源码。书中内容在描述Istio的功能和机制的同时，运用了大量的图表总结，并深入解析其中的概念和技术点，可以帮助读者从多个维度理解云原生、服务网格等相关技术，掌握基于Istio实现应用流量管理、零信任安全、应用可观测性等能力的相关实践。无论是初学者，还是对服务网格有一定了解的用户，都可以通过本书获取自己需要的信息。

 

 

推荐序二

——CNCF CTO  Chris Aniszczyk

 

我很高兴向大家介绍这本关于Istio服务网格技术的权威书籍。Istio是一种创新性的平台，在云原生计算领域迅速赢得人们的广泛关注。企业在向微服务和容器化架构转型的过程中，对强大且可扩展的服务发现、流量管理及安全平台的需求变得比以往更加迫切。Istio在2022年9月正式被CNCF接受为孵化项目，并成为一种领先的解决方案，为云原生应用提供了无缝连接、可观察性和控制等能力。

本书提供了全面且实用的Istio指南，涵盖了Istio的核心概念、特性和对xDS协议等主题的深入探讨，还包括对Envoy和Istio项目源码的深入解析，这对潜在贡献者非常有用。无论您是软件工程师、SRE还是云原生开发人员，本书都将为您提供利用Envoy和Istio构建可扩展和安全的云原生应用所需的知识和技能。

我要祝贺作者们完成了杰出的工作，并感谢他们在云原生社区分享自己的专业知识。我相信本书将成为对Envoy、Istio及现代云原生应用开发感兴趣的人不可或缺的资源。

 

（原文）

I am thrilled to introduce this definitive book on Istio service mesh technology, a revolutionary platform that has been rapidly gaining popularity in the world of cloud-native computing. As businesses shift towards microservices and containerized architectures, the need for a robust and scalable platform for service discovery, traffic management, and security has become more critical than ever before. Istio was officially accepted in the CNCF as an incubation project in September 2022 and has emerged as a leading solution that provides seamless connectivity, observability, and control for cloud native applications.

This book provides a comprehensive and practical guide to Istio, covering its core concepts, features and deep dives into topics like the xDS protocol. It also includes a deep dive source code analysis of the Envoy and Istio projects which can be very useful to potential contributors. Whether you are a software engineer, an SRE or a cloud native developer, this book will provide you with the knowledge and skills which are necessary to leverage the power of Envoy and Istio to build scalable and secure cloud native applications.

I would like to congratulate the authors for their outstanding work and thank them for sharing their expertise with the wider cloud native community. I am confident that this book will be an invaluable resource for anyone interested in both Envoy and Istio and their roles in modern cloud native development.

架 构 篇

第15章  Pilot的架构 2

15.1  Pilot的基本架构 2

15.1.1  Istio的服务模型 4

15.1.2  xDS协议 6

15.2  Pilot的原理 12

15.2.1  xDS服务器 13

15.2.2  服务发现 24

15.2.3  配置规则发现 29

15.2.4  xDS的生成和分发 35

15.3  安全插件 42

15.3.1  认证插件 43

15.3.2  授权插件 46

15.4  Pilot的关键设计 48

15.4.1  三级缓存模型 48

15.4.2  去抖动分发 50

15.4.3  防过度分发 51

15.4.4  增量EDS 51

15.4.5  资源隔离 53

15.4.6  自动管理虚拟机工作负载 54

15.5  本章小结 55

第16章  Citadel的架构 56

16.1  Istio的证书和身份管理 56

16.2  Citadel的基本架构 59

16.3  Citadel的核心原理 60

16.3.1  核心组件的初始化 61

16.3.2  CA服务器 62

16.3.3  证书签发 63

16.3.4  证书轮转器 65

16.4  本章小结 67

第17章  Galley的架构 68

17.1  简化的Galley 68

17.2  Galley的整体架构 69

17.2.1  早期的MCP 70

17.2.2  基于xDS的MCP 72

17.3  Galley的核心工作原理 72

17.3.1  启动初始化 72

17.3.2  API校验 75

17.3.3  对API配置的管理 78

17.4  本章小结 79

第18章  Pilot-agent的架构 80

18.1  Pilot-agent的用途 81

18.2  Pilot-agent的核心架构 81

18.3  Pilot-agent的原理 83

18.3.1  Envoy的启动 84

18.3.2  优雅退出 85

18.3.3  xDS代理 87

18.3.4  证书管理 90

18.3.5  DNS服务器 91

18.3.6  应用健康检查 92

18.4  本章小结 93

第19章  Envoy的架构 94

19.1  Envoy的整体架构 95

19.1.1  Envoy的内部架构 96

19.1.2  Envoy的通信架构 100

19.2  Envoy的内存管理 110

19.2.1  堆内存管理 110

19.2.2  Buffer管理 111

19.3  Envoy过滤器的架构 114

19.3.1  过滤器的注册 115

19.3.2  过滤器的回调方法 117

19.3.3  过滤器的挂起与恢复 118

19.4  Envoy的初始化流程 119

19.4.1  静态配置 120

19.4.2  动态配置 121

19.4.3  Envoy的创建及初始化流程 124

19.4.4  Envoy的运行流程 128

19.4.5  目标服务Cluster的创建 129

19.4.6  监听器的创建 131

19.5  Envoy的网络及线程模型 133

19.5.1  Server主线程 134

19.5.2  Accesslog线程 136

19.5.3  工作线程 138

19.5.4  GuardDog线程 139

19.5.5  线程间的同步 139

19.6  Envoy的热升级流程 141

19.7  Envoy的新连接处理流程 144

19.8  Envoy的请求及响应数据处理流程 145

19.8.1  对下游请求数据的接收及处理 146

19.8.2  对上游请求数据的处理及发送 149

19.8.3  对上游响应数据的接收及发送 151

19.9  xDS的原理及工作流程 153

19.10  安全证书处理 155

19.11  WASM虚拟机的原理 158

19.12  本章小结 161

第20章  Istio-proxy的架构 162

20.1  Istio-proxy的基本架构 162

20.2  Istio-proxy的原理 163

20.2.1  Istio-proxy的整体工作流程 163

20.2.2  L4 metadata_exchange的工作流程 164

20.2.3  L7 metadata_exchange扩展的工作流程 169

20.2.4  Stats的工作流程 170

20.3  本章小结 173

源 码 篇

第21章  Pilot源码解析 175

21.1  启动流程 175

21.2  关键代码解析 177

21.2.1  ConfigController 178

21.2.2  ServiceController 186

21.2.3  xDS的异步分发 194

21.2.4  对xDS更新的预处理 202

21.2.5  xDS配置的生成及分发 208

21.3  本章小结 211

第22章  Citadel源码解析 212

22.1  启动流程 212

22.1.1  Istio CA的创建 213

22.1.2  SDS服务器的初始化 214

22.1.3  Istio CA的启动 215

22.2  关键代码解析 216

22.2.1  CA 服务器的核心原理 216

22.2.2  证书签发实体IstioCA 218

22.2.3  CredentialsController的创建和核心原理 222

22.3  本章小结 224

第23章  Galley源码解析 225

23.1  启动流程 225

23.1.1  Galley WebhookServer的初始化 226

23.1.2  ValidatingWebhookConfiguration控制器的初始化 226

23.2  关键代码解析 228

23.2.1  配置校验 228

23.2.2  Validating控制器的实现 232

23.3  本章小结 235

第24章  Pilot-agent源码解析 236

24.1  整体架构 236

24.2  启动及监控 238

24.3  xDS转发服务 243

24.4  SDS证书服务 248

24.5  健康检查 255

24.5.1  应用容器的LivenessProbe探测 255

24.5.2  应用容器的ReadinessProbe探测 257

24.5.3  Envoy进程的ReadinessProbe探测 258

24.5.4  Pilot-agent进程的LivenessProbe探测 262

24.6  本章小结 265

第25章  Envoy源码解析 266

25.1  Envoy的初始化 266

25.1.1  启动参数bootstrap的初始化 267

25.1.2  初始化观测指标 268

25.1.3  过滤器注册及信息补齐 269

25.1.4  Envoy自身信息解析 273

25.1.5  Admin API的初始化 273

25.1.6  Worker的初始化 276

25.1.7  Dispatcher内存延迟析构 279

25.1.8  CDS的初始化 283

25.1.9  LDS的初始化 286

25.1.10  初始化观测管理系统 287

25.1.11  启动Stats定期刷新 292

25.1.12  GuardDog的初始化 292

25.2  热重启的流程 296

25.3  Envoy的运行和连接创建 298

25.3.1  启动Worker工作线程 299

25.3.2  监听器的加载 301

25.3.3  接收连接 304

25.4  Envoy接收及处理数据 309

25.4.1  读取数据 310

25.4.2  接收数据 311

25.4.3  处理数据 312

25.5  Envoy发送数据到服务端 317

25.5.1  路由匹配 317

25.5.2  获取连接池 320

25.5.3  创建上游请求 325

25.6  Envoy收到服务端响应 333

25.6.1  接收响应数据 333

25.6.2  发送响应数据 335

25.7  xDS流程解析 337

25.7.1  xDS公共订阅 337

25.7.2  xDS推送 342

25.7.3  LDS更新 343

25.7.4  SDS订阅 350

25.8  遥测元数据存储 352

25.8.1  创建遥测元数据 352

25.8.2  收集Stats观测数据 360

25.8.3  定义静态指标 361

25.9  WASM扩展 363

25.9.1  WASM虚拟机的启动 363

25.9.2  WASM虚拟机的运行 374

25.10  本章小结 387

第26章  Istio-proxy源码解析 388

26.1  metadata_exchange 388

26.2  遥测数据Stats的上报 395

26.3  源码地址 406

26.4  本章小结 408

附录A  源码仓库介绍 409

附录B  实践问题总结 416

附录C  服务网格术语表 432