CNCF Cloud Native Computing Foundation
云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用
云原生的代表技术包括 容器、服务网格、微服务、不可变基础设施 和 声明式API
可弹性 可管理 可观察 自动化 容错 

服务治理 与 业务逻辑逐步解耦，服务治理能力下沉到基础设施，
服务网格以基础设施的方式提供无侵入的连接控制、安全、可监测性、灰度发布等治理能力

服务网格是承载微服务架构理念的云原生技术形态

服务化 微服务 敏捷开发DevOps 微 小 快 独

云计算发展到云原生阶段，服务网格（service mesh）成为承载微服务理念的新一代技术形态

服务网格是一种云原生的、应用层的网络技术
云原生：面向弹性、（微）服务化、去中心化业务场景
应用层：以应用为中心，关注应用的发布、监控、恢复等
网络：关注应用组件之间的接口、流量、数据、访问安全等

Istio 作为第二代 Service Mesh 技术，通过基于K8s标准扩展的控制面带来灵活性及扩展能力，影响力远超更早出现的 Linkerd
Google 希望在继 K8S 成为容器编排的事实标准之后，  成为服务网格的事实标准
众多厂商参与Istio社区，共同推进繁荣
从企业级可用的1.1版本之后，社区每隔3个月发布一个大版本
成立Steering Committee，社区的运作、治理更加透明

Istio 已日趋成为服务网格标准

逻辑划分
数据平面：由一组智能代理（Envoy）组成，被部署为 sidecar
控制平面：管理并配置代理来进行流量路由

Istio 核心组件

Pilot：为 Envoy sidecar 提供服务发现、用于智能路由的流量管理功能（例如，A/B 测试、金丝雀发布等）以及弹性功能（超时、重试、熔断器等）
Citadel：通过内置的身份和证书管理，可以支持强大的服务到服务以及最终用户的身份验证。
Galley：Istio 的配置验证、提取、处理和分发组件。

istio 功能

流量管理 
  负载均衡 动态路由 灰度发布 故障注入
可观察性
  调用链 日志 监控
策略控制
  限流 ACL 配额 计费
认证安全
  验证 授权 审计


核心理念
非侵入式Sidecar注入技术，将数据面组件注入到应用所在的容器，劫持应用流量 ，应用无感知
北向API基于K8s CRD实现，完全声明式，标准化
数据面与控制面通过xDS gRPC标准化协议通信，支持订阅模式

核心特性
服务&流量治理：熔断，故障注入，丰富的负载均衡算法，限流，健康检查，灰度发布，蓝绿部署等
流量与访问可视化：提供应用级别的监控，分布式调用链，访问日志等
安全连接：通过mTLS、认证、鉴权等安全措施帮助企业在零信任的网络中运行应用

应用场景

灰度发布：版本升级平滑过渡的一种方式，金丝雀发布、蓝绿发布等
流量管理：负载均衡、连接池管理、熔断、故障注入等
访问可视化：监控数据采集、运行指标分析、应用拓扑和调用链展示等
应用场景：电商应用、政企业务、视频业务等