7.7 Sidecar CR
-
Sidecar CR
- 默认情况下,Istio会配置每一个Sidecar Envoy能够与同一网格内所有的workload实例通信,并且能够在与其代理的workload相关的所有端口上接收流量 ;
- 从实际通信需求来说,网格内的每个workload未必需要同当前网格内的所有其它workload通信,于是,Sidecar CR提供了为Sidecar Envoy微调其用于workload间通信时支持的端口集和协议等配置的方式;
- 另外,转发来自其代理的workload实例的出向流量时,Sidecar CR资源对象还能够限制Sidecar Envoy可以访问的外部服务集;
sidecar的核心作用就在于,从实际通信需求来讲,网格内的每个workload未必需要同当前网格内的所有其它workload通信,于是sidecar CR就提供了为Sidecar Envoy微调其用于workload之间通信时支持的端口集和协议等配置的方式;另外转发来自其代理的workload实例的出向流量的时候,sidecar资源对象还能够限制sidecar envoy可以访问的外部服务集,怎么限制呢,其实说白了就是调整它所拥有的egress listener有哪些个。
-
Sidecar CR的生效机制
- Sidecar CR通过workloadSelector字段挑选同一名称空间中的一个或多个workload实例来应用其提供的配置
- 对于未提供workloadSelector字段Sidecar资源,其配置将应用于同一名称空间中的所有workload实例
- namespace中同时存在带有worklo