不知道K8s服务在哪里，Istio的特使代理在哪里？

Question

我对k8s的常规服务和istio的侧服务器在哪里感到非常困惑。

我最近了解到istio及其在舱内的“侧车/特使/代理”。我很有信心地说，伊斯蒂奥的侧翼就在舱内。但是，k8s常规服务驻留在哪里，首先从应用程序、服务还是代理/Sidecar与谁联系？

我脑海中的图表是这样的：

​

Answer 1

服务是内部抽象的REST对象，如负载均衡器、集群、节点等，它们的定义存储在Kubernetes API服务器(etcd)中。

服务通常由Kube代理实现，并通过匹配选择器和标签分配给端点。

每个节点运行一个由etcd管理的kube实例。服务大部分时间都存储在iptables中的一组规则中。

服务网格中使用的Istio服务位于Istio控制平面上，可用作网关、出入口、入口、虚拟服务等对象。

istio控制平面还协调了: Citadel: for密钥和证书管理飞行员:将身份验证策略和安全命名信息分发给代理，Mixer:管理授权和审计。

正如您所提到的，sidecar代理(特使代理)被注入应用程序容器旁边的豆荚中。

这是istio 文档的图表。

​

Answer 2

K8s服务是可修改的规则。您可以通过ssh到节点并运行：

sudo iptables-save | grep YOUR_SERVICE_NAME

Istio容器是一个Envoy代理。我不知道你想用它做什么，但你可以：

• 访问Envoy代理容器：

kubectl exec -it YOUR_POD_NAME -c istio-proxy sh

• 得到它的日志：

kubectl logs YOUR_POD_NAME -c istio-proxy

等等