本書是《Istio權威指南》的下冊，重點講解Istio的架構與源碼，分為架構篇與源碼篇。

架構篇從架構的視角分別介紹Istio各組件的設計思想、數據模型和核心工作流程。在Istio 1.16中，Istiod以原有的Pilot為基礎框架構建了包含Pilot、Citadel、Galley等組件的統一控制面。本書第15、16、17章分別介紹以上三個組件各自的架構、模型和流程機制；第18、19、20章依次講解數據面Pilot-agent、Envoy和Istio-proxy的架構和流程，包括三者的結合關繫，配合Istio控制面組件實現流量管理功能，特別是Envoy的架構、模型和關鍵流程。

源碼篇包括第21～26章，與架構篇的6章對應，分別介紹Istio管理面組件Pilot、Citadel、Galley與數據面Pilot-agent、Envoy、Istio-proxy的主要代碼結構、代碼流程及關鍵代碼片段。本篇配合架構篇中每個組件的架構和機制，對Istio重要組件的實現進行了更詳細的講解和剖析，為讀者深入研讀Istio相關代碼，以及在生產環境下進行相應代碼的調試和修改提供指導。

本書適合入門級讀者從零開始了解Istio的架構，也適合有一定基礎的讀者深入研究Istio的源碼。

——張超盟

華為雲應用服務網格架構師，擁有15年以上的開發經驗，先後負責過華為雲容器應用運維、微服務平臺、雲服務目錄、雲服務可靠性、服務網格等雲原生產品的架構設計與開發工作，主導過多個重大項目的雲原生和微服務化生產落地。在服務網格、Kubernetes容器服務、微服務架構、應用性能管理、大數據、DevOps工具等方面有深入的研究與實踐。Istio社區成員，KubeCon、IstioCon及ServiceMeshCon等會議的演講者，技術圖書作者。早期曾在中鐵一局從事路橋建設工作。

——徐中虎

華為雲雲原生團隊核心成員，開源技術專家，服務網格Istio核心維護者，Istio社區指導委員會成員，Kubernetes項目核心貢獻者，批量計算項目Volcano的核心維護者，擁有豐富的開源工作經驗。主要研究方向有微服務架構、服務網格、容器編排平臺Kubernetes和未來的分布式雲原生架構等。在分布式繫統的性能優化、高可靠和可擴展方面研究深入、經驗豐富。

——張  偉

華為雲服務網格數據面資深專家，擁有18年架構設計與開發經驗，先後就職於億陽信通、加拿大北電網絡（中國）、甲骨文、Polycom、阿裡巴巴及華為等公司。作為核心開發人員開發過傳輸網管繫統、Tuxedo交易中間件、ts-server多媒體轉碼服務、GTS高性能事務雲服務、sc高性能注冊中心、ASM數據面等多個產品，現主要負責華為雲ASM服務網格數據面代理產品的設計與開發工作。

——冷  雪

西安電子科技大學杭州研究院菁英副教授，浙江大學工學博士。主要研究方向有雲原生安全、性能優化和智能運維等，致力於解決雲網環境下的關鍵問題。曾參與並主持多項科研項目，在國際會議和期刊上發表多篇論文並獲得多項授權專利。

/  華為雲雲原生團隊  /

華為雲雲原生團隊創建於2013年，是國內較早從事雲原生研究的團隊之一，也是CNCF的初創成員和白金會員。華為雲在容器、服務網格、微服務等雲原生技術領域都有著深厚的沉澱，擁有10多名CNCF項目維護者，對Kubernetes、Istio等核心項目的貢獻一直位居全球前列，並向CNCF捐獻了KubeEdge、Volcano、Karmada等知名項目。基於CNCF的開源生態，華為雲還打造了雲容器引擎、雲容器實例、應用服務網格等一繫列優質的商業化雲原生服務。

為進一步推廣雲原生技術，加速雲原生在行業中落地，華為雲聯合CNCF、中國信通院及業界雲原生技術精英們成立了全球雲原生交流平臺——創原會。

/  創原會  /

創原會是CNCF、中國信通院、華為雲及業界雲原生技術精英們聯合成立的全球雲原生交流平臺，旨在通過研究前沿雲原生技術及共享產業落地實踐，探索雲原生與業務融合的無限可能。自2020年成立至今，創原會已在中國、東南亞、拉美、歐洲陸續成立分會並舉辦活動50餘場，為全球技術精英們提供了一個優質、高端、開放的交流平臺，並吸納近300位CTO、技術總監成為會員，極大地促進了雲原生在全球各行業中的普及和落地。

架 構 篇

第15章  Pilot的架構     2

15.1  Pilot的基本架構    2

15.1.1  Istio的服務模型  4

15.1.2  xDS協議      6

15.2  Pilot的原理   12

15.2.1  xDS服務器  13

15.2.2  服務發現     24

15.2.3  配置規則發現      29

15.2.4  xDS的生成和分發        35

15.3  安全插件        42

15.3.1  認證插件     43

15.3.2  授權插件     46

15.4  Pilot的關鍵設計    48

15.4.1  三級緩存模型      48

15.4.2  去抖動分發 50

15.4.3  防過度分發 51

15.4.4  增量EDS      51

15.4.5  資源隔離     53

15.4.6  自動管理虛擬機工作負載   54

15.5  本章小結        55

第16章  Citadel的架構 56

16.1  Istio的證書和身份管理          56

16.2  Citadel的基本架構         59

16.3  Citadel的核心原理         60

16.3.1  核心組件的初始化       61

16.3.2  CA服務器    62

16.3.3  證書簽發     63

16.3.4  證書輪轉器 65

16.4  本章小結        67

第17章  Galley的架構  68

17.1  簡化的Galley          68

17.2  Galley的整體架構 69

17.2.1  早期的MCP          70

17.2.2  基於xDS的MCP 72

17.3  Galley的核心工作原理  72

17.3.1  啟動初始化 72

17.3.2  API校驗       75

17.3.3  對API配置的管理       78

17.4  本章小結        79

第18章  Pilot-agent的架構   80

18.1  Pilot-agent的用途 81

18.2  Pilot-agent的核心架構  81

18.3  Pilot-agent的原理 83

18.3.1  Envoy的啟動       84

18.3.2  優雅退出     85

18.3.3  xDS代理      87

18.3.4  證書管理     90

18.3.5  DNS服務器 91

18.3.6  應用健康檢查      92

18.4  本章小結        93

第19章  Envoy的架構  94

19.1  Envoy的整體架構 95

19.1.1  Envoy的內部架構        96

19.1.2  Envoy的通信架構        100

19.2  Envoy的內存管理 110

19.2.1  堆內存管理 110

19.2.2  Buffer管理  111

19.3  Envoy過濾器的架構      114

19.3.1  過濾器的注冊      115

19.3.2  過濾器的回調方法       117

19.3.3  過濾器的掛起與恢復  118

19.4  Envoy的初始化流程      119

19.4.1  靜態配置     120

19.4.2  動態配置     121

19.4.3  Envoy的創建及初始化流程         124

19.4.4  Envoy的運行流程        128

19.4.5  目標服務Cluster的創建      129

19.4.6  監聽器的創建      131

19.5  Envoy的網絡及線程模型       133

19.5.1  Server主線程      134

19.5.2  Accesslog線程     136

19.5.3  工作線程     138

19.5.4  GuardDog線程    139

19.5.5  線程間的同步      139

19.6  Envoy的熱升級流程      141

19.7  Envoy的新連接處理流程       144

19.8  Envoy的請求及響應數據處理流程        145

19.8.1  對下遊請求數據的接收及處理    146

19.8.2  對上遊請求數據的處理及發送    149

19.8.3  對上遊響應數據的接收及發送    151

19.9  xDS的原理及工作流程  153

19.10  安全證書處理      155

19.11  WASM虛擬機的原理  158

19.12  本章小結      161

第20章  Istio-proxy的架構   162

20.1  Istio-proxy的基本架構  162

20.2  Istio-proxy的原理  163

20.2.1  Istio-proxy的整體工作流程          163

20.2.2  L4 metadata_exchange的工作流程     164

20.2.3  L7 metadata_exchange擴展的工作流程      169

20.2.4  Stats的工作流程          170

20.3  本章小結        173

源 碼 篇

第21章  Pilot源碼解析          175

21.1  啟動流程        175

21.2  關鍵代碼解析         177

21.2.1  ConfigController  178

21.2.2  ServiceController 186

21.2.3  xDS的異步分發   194

21.2.4  對xDS更新的預處理  202

21.2.5  xDS配置的生成及分發        208

21.3  本章小結        211

第22章  Citadel源碼解析      212

22.1  啟動流程        212

22.1.1  Istio CA的創建    213

22.1.2  SDS服務器的初始化   214

22.1.3  Istio CA的啟動    215

22.2  關鍵代碼解析         216

22.2.1  CA 服務器的核心原理         216

22.2.2  證書簽發實體IstioCA  218

22.2.3  CredentialsController的創建和核心原理    222

22.3  本章小結        224

第23章  Galley源碼解析       225

23.1  啟動流程        225

23.1.1  Galley WebhookServer的初始化         226

23.1.2  ValidatingWebhookConfiguration控制器的初始化      226

23.2  關鍵代碼解析         228

23.2.1  配置校驗     228

23.2.2  Validating控制器的實現      232

23.3  本章小結        235

第24章  Pilot-agent源碼解析        236

24.1  整體架構        236

24.2  啟動及監控    238

24.3  xDS轉發服務          243

24.4  SDS證書服務          248

24.5  健康檢查        255

24.5.1  應用容器的LivenessProbe探測 255

24.5.2  應用容器的ReadinessProbe探測        257

24.5.3  Envoy進程的ReadinessProbe探測     258

24.5.4  Pilot-agent進程的LivenessProbe探測        262

24.6  本章小結        265

第25章  Envoy源碼解析       266

25.1  Envoy的初始化      266

25.1.1  啟動參數bootstrap的初始化      267

25.1.2  初始化觀測指標  268

25.1.3  過濾器注冊及信息補齊       269

25.1.4  Envoy自身信息解析    273

25.1.5  Admin API的初始化    273

25.1.6  Worker的初始化         276

25.1.7  Dispatcher內存延遲析構    279

25.1.8  CDS的初始化       283

25.1.9  LDS的初始化       286

25.1.10  初始化觀測管理繫統         287

25.1.11  啟動Stats定期刷新   292

25.1.12  GuardDog的初始化   292

25.2  熱重啟的流程         296

25.3  Envoy的運行和連接創建       298

25.3.1  啟動Worker工作線程         299

25.3.2  監聽器的加載      301

25.3.3  接收連接     304

25.4  Envoy接收及處理數據  309

25.4.1  讀取數據     310

25.4.2  接收數據     311

25.4.3  處理數據     312

25.5  Envoy發送數據到服務端       317

25.5.1  路由匹配     317

25.5.2  獲取連接池 320

25.5.3  創建上遊請求      325

25.6  Envoy收到服務端響應  333

25.6.1  接收響應數據      333

25.6.2  發送響應數據      335

25.7  xDS流程解析          337

25.7.1  xDS公共訂閱       337

25.7.2  xDS推送      342

25.7.3  LDS更新      343

25.7.4  SDS訂閱      350

25.8 數據存儲    352

25.8.1  創數據  352

25.8.2  收集Stats觀測數據     360

25.8.3  定義靜態指標      361

25.9  WASM擴展   363

25.9.1  WASM虛擬機的啟動  363

25.9.2  WASM虛擬機的運行  374

25.10  本章小結      387

第26章  Istio-proxy源碼解析        388

26.1  metadata_exchange        388

26.2  遙測數據Stats的上報   395

26.3  源碼地址        406

26.4  本章小結        408

附錄A  源碼倉庫介紹    409

附錄B  實踐問題總結    416

附錄C  服務網格術語表         432

結  語      447

Istio從2017年開源第1個版本到當前版本，已經走過了5年多的時間。在此期間，伴隨著雲原生技術在各個領域的飛速發展，服務網格的應用也越來越廣泛和深入。作為服務網格領域影響力的項目，Istio快速發展和成熟，獲得越來越多的技術人員關注和應用。我們希望通過《Istio權威指南》繫統且深入地講解Istio，幫助相關技術人員了解和熟悉Istio，滿足其日常工作中的需求。《Istio權威指南（上）：雲原生服務網格Istio原理與實踐》是《Istio權威指南》的上冊，重點講解Istio的原理與實踐；《Istio權威指南（下）：雲原生服務網格Istio架構與源碼》是《Istio權威指南》的下冊，重點講解Istio的架構與源碼。

近年來，服務網格在各個行業中的生產落地越來越多。CNCF在2022年上半年公布的服務網格調查報告顯示，服務網格的生產使用率已達到60%，有19%的公司計劃在接下來的一年內使用服務網格。當然，服務網格作為雲原生的重要技術之一，當前在Gartner的評定中仍處於技術發展的早期使用階段，有很大的發展空間。

CNCF這幾年的年度調查顯示，Istio一直是生產環境下受歡迎和使用多的服務網格。其重要原因是，Istio是功能非常全面、擴展性非常好、與雲原生技術結合得非常緊密、非常適用於雲原生場景的服務網格。像早期Kubernetes在編排領域的設計和定位一樣，Istio從2017年第1個版本開始規劃項目的應用場景和架構時，就致力於構建一個雲原生的基礎設施平臺，而不是解決某具體問題的簡單工具。

作為基礎設施平臺，Istio向應用開發人員和應用運維人員提供了非常大的透明度。Istio自動在業務負載中注入服務網格數據面代理，自動攔截業務的訪問流量，可方便地在多種環境下部署和應用，使得業務在使用Istio時無須做任何修改，甚至感知不到這個基礎設施的存在。在實現上，Istio提供了統一的配置模型和執行機制來保證策略的一致性，其控制面和數據面在架構上都提供了高度的可擴展性，支持用戶基於實際需要進行擴展。

2022年9月28日，Istio項目被正式批準加入CNCF。這必將推動Istio與Envoy項目的緊密協作，一起構建雲原生應用流量管理的技術棧。正如Kubernetes已成為容器編排領域的行業標準，加入CNCF也將進一步促進Istio成為應用流量治理領域的事實標準。Istio和Kubernetes的緊密配合，也將有助於拉通規劃和開發更有價值的功能。根據Istio官方的統計，Istio項目已有8800名個人貢獻者，超過260個版本，並有來自15家公司的85名維護者，可見Istio在技術圈和產業圈都獲得了極大的關注和認可。

本書作者所在的華為雲作為雲原生領域的早期實踐者與社區領導者之一，在Istio項目發展初期就參與了社區工作，積極實踐並推動項目的發展，貢獻了大量大顆粒特性。本書作者之一徐中虎在2020年Istio社區進行的次治理委員會選舉中作為亞洲代表入選，參與Istio技術策略的制定和社區決策。

本書作者作為Istio早期的實踐者，除了持續開發滿足用戶需求的服務網格產品並參與社區貢獻，也積極促進服務網格等雲原生技術在國內的推廣，包括於2019年出版《雲原生服務網格Istio：原理、實踐、架構與源碼解析》一書，並通過KubeCon、IstioCon、ServiceMeshCon等雲原生和服務網格相關的技術峰會，推廣服務網格和Istio相關的架構、生產實踐和配套解決方案等。

寫作目的

《Istio 權威指南》作為“華為雲原生技術叢書”的一員，面向雲計算領域的從業者及感興趣的技術人員，普及與推廣Istio。本書作者來自華為雲雲原生團隊，本書基於作者在華為雲及Istio社區的設計與開發實踐，以及與服務網格強相關的Kubernetes容器、微服務和雲原生領域的豐富經驗，對Istio的原理、實踐、架構與源碼進行了繫統化的深入剖析，由淺入深地講解了Istio的概念、原理、架構、模型、用法、設計理念、典型實踐和源碼細節。

本書是《Istio權威指南》的下冊，適合入門級讀者從零開始了解Istio的架構，也適合有一定基礎的讀者深入研究Istio的源碼。

《Istio權威指南》的組織架構

《Istio權威指南》分為原理篇、實踐篇、架構篇和源碼篇，總計26章，其組織架構如下。

原理篇：講解Istio的相關概念、主要架構和工作原理。其中，第1章通過講解Istio與微服務、服務網格、Kubernetes這幾個雲原生關鍵技術的聯繫，幫助讀者立體地理解Istio的概念。第2章概述Istio的工作機制、服務模型、總體架構和主要組件。第3、4、5章通過較大篇幅講解Istio提供的流量治理、可觀測性和策略控制、服務安全這三大核心特性，包括其各自解決的問題、實現原理、配置模型、配置定義和典型應用，可以滿足大多數讀者在工作中的具體需求。第6章重點講解自動注入和流量攔截的透明代理原理。第7章講解Istio正在快速發展的多基礎設施流量管理，包括對各種多集群模型、容器、虛擬機的統一管理等。

實踐篇：通過貫穿全書的一個天氣預報應用來實踐Istio的非侵入能力。其中，第8章講解如何從零開始搭建環境。第9章通過Istio的非侵入方式生成指標、拓撲、調用鏈和訪問日志等。第10章講解多種灰度發布方式，帶讀者了解Istio靈活的發布策略。第11章講解負載均衡、會話保持、故障注入、超時、重試、HTTP重定向、HTTP重寫、熔斷與連接池、熔斷異常點檢測、限流等流量策略的實踐。第12章講解兩種認證策略及其與授權的配合，以及Istio倡導的零信任網絡的關鍵技術。第13章講解入口網關和出口網關的流量管理，展示服務網格對東西向流量和南北向流量的管理。第14章則是對多集群和虛擬機環境下流量治理的實踐。

架構篇：從架構的視角分別講解Istio各組件的設計思想、數據模型和核心工作流程。在Istio 1.16中，Istiod以原有的Pilot為基礎框架構建了包含Pilot、Citadel、Galley等組件的統一控制面，第15、16、17章分別講解以上三個組件各自的架構、模型和流程機制。第18、19、20章依次講解服務網格數據面上Pilot-agent、Envoy和Istio-proxy的架構和流程，包括三者的結合關繫，配合Istio控制面組件完成流量管理，特別是Envoy的架構、模型和關鍵流程。

源碼篇：包括第21～26章，與架構篇的6章對應，分別講解Istio管理面組件Pilot、Citadel、Galley與數據面Pilot-agent、Envoy、Istio-proxy的主要代碼結構、代碼流程和關鍵代碼片段。本篇配合架構篇中每個組件的架構和機制，對Istio重要組件的實現進行了更詳細的講解和剖析，為讀者深入研讀Istio相關代碼，以及在生產環境下進行相應代碼的調試和修改提供指導。

學習建議

對於有不同需求的讀者，我們建議這樣使用本書。

對雲原生技術感興趣的所有讀者，都可通過閱讀《Istio權威指南（上）：雲原生服務網格Istio原理與實踐》，了解服務網格和Istio的概念、技術背景、設計理念與功能原理，並全面掌握Istio流量治理、可觀測性和安全等功能的使用方式。通過實踐篇可以從零開始學習搭建Istio運行環境並完成多種場景的實踐，逐漸熟悉Istio的功能、應用場景，以及需要解決的問題，並加深對Istio原理的理解。對於大多數架構師、開發者和其他從業人員，通過對原理篇和實踐篇的學習，可以繫統、全面地了解Istio的方方面面，滿足日常工作需要。

對Istio架構和實現細節感興趣的讀者，可以閱讀《Istio權威指南（下）：雲原生服務網格Istio架構與源碼》，了解Istio的整體架構、各個組件的詳細架構、設計理念和關鍵的機制流程。若對Istio源碼感興趣，並且在實際工作中需要調試或基於源碼進行二次開發，那麼還可以通過閱讀源碼篇，了解Istio各個項目的代碼結構、詳細流程、主要數據結構及關鍵代碼片段。在學習源碼的基礎上，讀者可以根據自己的興趣或工作需求，深入了解某一關鍵機制的完整實現，並作為貢獻者參與Istio或Envoy項目的開發。

勘誤和支持

您在閱讀本書的過程中有任何問題或者建議時，都可以通過本書源碼倉庫提交Issue或者PR（源碼倉庫地址參見本書封底的讀者服務），也可以關注華為雲原生官方微信公眾號並加入微信群與我們交流。我們十分感謝並重視您的反饋，會對您提出的問題、建議進行梳理與反饋，並在本書後續版本中及時做出勘誤與更新。

本書還免費提供了Istio培訓視頻及Istio常見問題解答等資源，請通過本書封底的讀者服務獲取這些資源。

致謝

在本書的寫作及成書過程中，本書作者團隊得到了公司內外領導、同事及朋友的指導、鼓勵和幫助。感謝華為雲張平安、張宇昕、李幫清等業務主管對華為雲原生技術叢書及本書寫作的大力支持；感謝華為雲容器團隊張琦、王澤鋒、張永明、呂赟等對本書的審閱與建議；感謝電子工業出版社博文視點張國霞編輯一絲不苟地制訂出版計劃及組織工作。感謝章鑫、徐飛等一起參與華為雲原生技術叢書《雲原生服務網格Istio：原理、實踐、架構與源碼解析》的創作，你們為國內服務網格技術的推廣做出了很大貢獻，也為本書的出版打下了良好的基礎。感謝四位作者的家人，特別是豆豆、小核桃、毛毛小朋友的支持，本書創作的大部分時間源自陪伴你們的時間；也感謝CNCF及Istio、Kubernetes、Envoy社區眾多開源愛好者辛勤、無私的工作，期待和你們一起基於雲原生技術為產業創造更大價值。謝謝大家！

——華為雲容器服務域總監  黃  毽

——華為雲應用服務網格架構師  張超盟

》大咖傾情作序《

——CNCF CTO Chris Aniszczyk

本書提供了全面且實用的Istio指南，涵蓋了Istio的核心概念、特性和對xDS協議等主題的深入探討，還包括對Envoy和Istio項目源碼的深入解析，這對潛在貢獻者非常有用。無論您是軟件工程師、SRE還是雲原生開發人員，本書都將為您提供利用Envoy和Istio構建可擴展和安全的雲原生應用所需的知識和技能。

——華為雲CTO 張宇昕

《Istio權威指南》來源於華為雲雲原生團隊在雲服務開發、客戶解決方案構建、Istio社區特性開發、生產環境運維等日常工作中的實踐、思考和總結，旨在幫助技術圈的更多朋友由淺入深且繫統地理解Istio的原理、實踐、架構與源碼。書中內容在描述Istio的功能和機制的同時，運用了大量的圖表總結，並深入解析其中的概念和技術點，可以幫助讀者從多個維度理解雲原生、服務網格等相關技術，掌握基於Istio實現應用流量管理、零信任安全、應用可觀測性等能力的相關實踐。無論是初學者，還是對服務網格有一定了解的用戶，都可以通過本書獲取自己需要的信息。

》眾咖聯袂推薦《

——中國信通院雲計算與大數據研究所所長 何寶宏

服務網格作為一種管理服務間通信的核心技術，為服務間的調用帶來了便捷且可靠的流量、安全和可觀測性等能力。中國信通院作為ICT領域的國家智庫，率先牽頭制定了服務網格相關標準。華為作為雲原生領域的中堅力量，在該標準的編寫過程中發揮了重要作用。《Istio權威指南》作為關於服務網格的專業技術書籍，對國內雲原生技術的普及和發展將起到極大的促進作用。

——上海交通大學致遠講席教授、國家傑青、IEEE/CCF Fellow 過敏意

雲原生技術已經成為產業界和學術界共同關注的熱點之一。Istio作為一種集成了流量、安全和可觀測性等能力的透明服務治理平臺，有效推動了服務網格在雲生產環境下的應用和普及。《Istio權威指南》作為服務網格領域的權威書籍，凝聚了華為雲雲原生團隊長期積累的豐富經驗，深入淺出地對Istio相關技術進行了詳盡解讀，值得相關從業者、技術愛好者和學術研究者閱讀、參考。

——CNCF中國區總監、Linux Foundation亞太區戰略總監 Keith Chan

Istio一直是雲原生領域非常流行的開源項目，是CNCF組織的各類會議上的熱門話題。華為一直是雲原生開源活動的積極參與者，在Kubernetes和Istio等項目中都有著突出的貢獻。《Istio權威指南》由華為雲雲原生團隊傾力打造而成，其理論結合實踐，深度剖析了Istio的原理、實踐、架構與源碼，對於企業面向雲原生架構轉型及踐行服務網格落地都有很大的參考意義。

——華為雲首席產品官 方國偉

雲原生極大地提高了企業應用生產力，縮短了應用的上市時間，降低了應用上雲的門檻。服務網格作為雲原生技術棧中的關鍵技術之一，可以幫助用戶打造“以應用為中心”的雲原生基礎設施。《Istio權威指南》作為繫統介紹服務網格技術Istio的權威書籍，來源於在Istio社區及產品領域耕耘多年的華為雲雲原生團隊的長期工程實踐和寶貴經驗積累，值得廣大雲原生技術愛好者閱讀、參考。

——Istio TOC Member、Director of Open Source at Solo.io Lin Sun

Istio是當今生產環境下非常流行、部署非常廣泛的服務網格技術。如果您已經了解Istio並想從基本概念、API、架構、各組件的源碼等方面深入研究Istio，那麼《Istio權威指南》適合您閱讀。本書是非常實用且有深度的Istio書籍，其涵蓋的Istio組件工作流和圖表的深度給我留下了特別深刻的印像。希望您喜歡本書，我代表Istio社區祝您學習Istio愉快！

——Istio TOC Member、Istio SC Member、Google Staff Engineer John Howard

加入CNCF，標志著Istio向服務網格的事實標準邁出了關鍵的一步。《Istio權威指南》由來自Istio指導委員會、Istio社區等的Istio資深開發人員編寫而成，是非常全面、深入地講解Istio技術的權威書籍，內容涵蓋Istio的原理、實踐、架構與源碼。無論您是初學者、雲原生技術專家，還是Istio社區的貢獻者，都可以從中獲益。

——Envoy與Istio核心維護者、Tetrate.io前創始工程師 周禮贊

《Istio權威指南（上）》講解了Istio的原理、各種使用場景和優秀實踐，《Istio權威指南（下）》講解了Istio控制面和數據面Envoy的內部架構及源碼實現。這兩本書深入剖析了Istio的內部架構，可以幫助您更充分地理解Istio的工作原理和實現，從而更好地應用Istio並進行Istio調優。

推薦序一

——華為雲CTO  張宇昕

隨著企業數字化轉型的全面深入，企業在生產、運營、創新方面都對基礎設施提出了全新要求。為了保障業務的極致性能，資源需要被隨時隨地按需獲取；為了實現對成本的精細化運營，需要實現對資源的細粒度管理；新興的智能業務則要求基礎設施能提供海量的多樣化算力。為了支撐企業的數智升級，企業的基礎設施需要不斷進化、創新。如今，企業逐步進入深度雲化時代，由關注資源上雲轉向關注雲上業務創新，同時需要通過安全、運維、IT治理、成本等精益運營手段來深度用雲、高效管雲。雲原生解決了企業以高效協同模式創新的本質問題，讓企業的軟件架構可以去模塊化、標準化部署，極大提高了企業應用生產力。

從技術發展的角度來看，我們可以把雲原生理解為雲計算的重心從“資源”逐漸轉向“應用”的必然結果。以資源為中心的上一代雲計算技術專注於物理設備如何虛擬化、池化、多租化，典型代表是計算、網絡、存儲三大基礎設施的雲化。以應用為中心的雲原生技術則專注於應用如何更好地適應雲環境。相對於傳統應用通過遷移改造“上雲”，雲原生的目標是通過一繫列的技術支撐，使用戶在雲環境下快速開發和運行、管理雲原生應用，並更好地利用雲資源和雲技術。

服務網格是CNCF（Cloud-Native Computing Foundation，雲原生計算基金會）定義的雲原生技術棧中的關鍵技術之一，和容器、微服務、不可變基礎設施、聲明式API等技術一起，幫助用戶在動態環境下以彈性和分布式的方式構建並運行可擴展的應用。服務網格在雲原生技術棧中，向上連接用戶應用，向下連接多種計算資源，發揮著關鍵作用。

（1）服務網格與底層資源、運行環境結合，構建了一個理解應用需求、對應用更友好的基礎設施，而不隻是提供一堆機器和資源。服務網格幫助用戶打造“以應用為中心”的雲原生基礎設施，讓基礎設施能感知應用且更好地服務於應用，對應用進行細粒度管理，更有效地發揮資源的效能。服務網格向應用提供的這層基礎設施也經常被稱為“應用網絡”。用戶開發的應用程序像使用傳統的網絡協議棧一樣使用服務網格提供的應用層協議。就像TCP/IP負責將字節碼可靠地在網絡節點間傳遞，服務網格負責將用戶的應用層信息可靠地在服務間傳遞，並對服務間的訪問進行管理。在實踐中，包括華為雲在內的越來越多的雲廠商將七層應用流量管理能力和底層網絡融合，在提供傳統的底層連通性能力的同時，基於服務的語義模型，提供了應用層豐富的流量、安全和可觀測性管理能力。

（2）向上，服務網格以非侵入的方式提供面向應用的韌性、安全、動態路由、調用鏈、拓撲等應用管理和運維能力。這些能力在傳統應用開發模式下，需要在開發階段由開發人員開發並持續維護。而在雲原生開發模式下，基於服務網格的非侵入性特點，這些能力被從業務中解耦，無須由開發人員開發，由運維人員配置即可。這些能力包括：靈活的灰度分流；超時、重試、限流、熔斷等；動態地對服務訪問進行重寫、重定向、頭域修改、故障注入；自動收集應用訪問的指標、訪問日志、調用鏈等可觀測性數據，進行故障定界、定位和洞察；自動提供完整的面向應用的零信任安全，比如自動進行服務身份認證、通道加密和細粒度授權管理。使用這些能力時，無須改動用戶的代碼，也無須使用基於特定語言的開發框架。

作為服務網格技術中影響力的項目，Istio的平臺化設計和良好擴展性使得其從誕生之初就獲得了技術圈和產業界的極大關注。基於用戶應用Istio時遇到的問題，Istio的版本在穩定迭代，功能在日益完善，易用性和運維能力在逐步增強，在大規模生產環境下的應用也越來越多。特別是，Istio於2022年9月被正式批準加入CNCF，作為在生產環境下使用多的服務網格項目，Istio在加速成熟。

華為雲在2018年率先發布全球首個Istio商用服務：ASM（Application Service Mesh，應用服務網格）。ASM是一個擁有高性能、高可靠性和易用性的全托管服務網格。作為分布式雲場景中面向應用的網絡基礎，ASM對多雲、混合雲環境下的容器、虛擬機、Serverless、傳統微服務、Proxyless服務提供了應用健康、韌性、彈性、安全性等統一的全方位管理。

作為早一批投身雲原生技術的廠商，華為雲是CNCF在亞洲的初創成員，社區代碼貢獻和Maintainer席位數均持續位居亞洲。華為雲雲原生團隊從2018年開始積極參與Istio社區的活動，參與Istio社區的版本特性設計與開發，基於用戶的共性需求開發了大量大顆粒特性，社區貢獻位居全球第三、中國。華為雲雲原生團隊成員入選了每屆Istio社區指導委員會，參與了Istio社區的重大技術決策，持續引領了Istio項目和服務網格技術的發展。

2021年4月，華為雲聯合中國信通院正式發布雲原生2.0白皮書，全面詮釋了雲原生2.0的核心理念，分享了雲原生產業洞察，引領了雲原生產業的繁榮。此外，華為雲聯合CNCF、中國信通院及業界雲原生技術精英們成立全球雲原生交流平臺——創原會，創原會當前已經在中國、東南亞、拉美、歐洲陸續成立分會，探索前沿雲原生技術、共享產業落地實踐經驗，讓雲原生為數字經濟發展和企業數字化轉型貢獻更多的價值。

《Istio權威指南》來源於華為雲雲原生團隊在雲服務開發、客戶解決方案構建、Istio社區特性開發、生產環境運維等日常工作中的實踐、思考和總結，旨在幫助技術圈的更多朋友由淺入深且繫統地理解Istio的原理、實踐、架構與源碼。書中內容在描述Istio的功能和機制的同時，運用了大量的圖表總結，並深入解析其中的概念和技術點，可以幫助讀者從多個維度理解雲原生、服務網格等相關技術，掌握基於Istio實現應用流量管理、零信任安全、應用可觀測性等能力的相關實踐。無論是初學者，還是對服務網格有一定了解的用戶，都可以通過本書獲取自己需要的信息。

推薦序二

——CNCF CTO  Chris Aniszczyk

我很高興向大家介紹這本關於Istio服務網格技術的權威書籍。Istio是一種創新性的平臺，在雲原生計算領域迅速贏得人們的廣泛關注。企業在向微服務和容器化架構轉型的過程中，對強大且可擴展的服務發現、流量管理及安全平臺的需求變得比以往更加迫切。Istio在2022年9月正式被CNCF接受為孵化項目，並成為一種領先的解決方案，為雲原生應用提供了無縫連接、可觀察性和控制等能力。

本書提供了全面且實用的Istio指南，涵蓋了Istio的核心概念、特性和對xDS協議等主題的深入探討，還包括對Envoy和Istio項目源碼的深入解析，這對潛在貢獻者非常有用。無論您是軟件工程師、SRE還是雲原生開發人員，本書都將為您提供利用Envoy和Istio構建可擴展和安全的雲原生應用所需的知識和技能。

我要祝賀作者們完成了傑出的工作，並感謝他們在雲原生社區分享自己的專業知識。我相信本書將成為對Envoy、Istio及現代雲原生應用開發感興趣的人不可或缺的資源。

（原文）

I am thrilled to introduce this definitive book on Istio service mesh technology, a revolutionary platform that has been rapidly gaining popularity in the world of cloud-native computing. As businesses shift towards microservices and containerized architectures, the need for a robust and scalable platform for service discovery, traffic management, and security has become