本文介紹Ambient Mesh模式的使用限制。
與Sidecar模式相比的功能缺失
當前Ambient Mesh模式與Sidecar模式相比的功能缺失較多,不建議在生產環境中使用。
授權策略使用限制
Waypoint代理暫時不支援ipBlocks欄位。如果配置了相關規則,目前不會生效。
ASM1.22版本的L4授權策略、PeerAuthentication等功能正在灰階中。如有相關使用需求,請提交工單。
流量管理使用限制
DestinationRule的trafficPolicy和workloadSelector欄位無法生效,目前只能通過DestinationRule為服務配置subsets(子集)。
可觀測限制
目前不支援Ambient Mesh模式下的指標監控以及網格拓撲。
適合的Kubernetes叢集及配置
網路外掛程式:從ASM 1.21版本開始,相容支援Terway和Flannel網路外掛程式,kube-proxy代理支援iptables和IPVS模式。 同時,支援Terway外掛程式下的IPvlan模式以及NetworkPolicy能力。
作業系統:支援Alibaba Cloud Linux 2和Alibaba Cloud Linux 3。
如果需要在ACS叢集、ACK Serverless叢集、 Edge叢集和註冊叢集中使用Ambient Mesh模式,請提交工單獲得支援人員。
更適合Sidecar模式的情境
源服務需要特定的用戶端配置:Ambient模式中的Waypoint是一個服務端代理,所有訪問該服務的用戶端都會將請求發送至這個Waypoint,無法針對某個特定用戶端實現一些特殊配置。在Sidecar模式下,在VirtualService資源中,可以使用
sourceLabels配置特定於給定源的能力,例如故障注入或重試、逾時的配置。
目標服務需要特定於目標工作負載的策略:ASM從1.22開始,支援為指定Service或Workload啟用Waypoint,範圍更加靈活。當您需要比每個服務賬戶更細粒度的特定於目標服務的配置時,可以繼續使用Sidecar模式。
和現有Sidecar模式的相容
在同一個Istio環境下,同時支援Ambient和Sidecar兩種模式共存,並可以互相調用。但Ambient當前並未覆蓋Sidecar全量能力,不建議在生產環境中使用。
升級
Ambient版本處於Alpha狀態,Ambient API可能會發生較大變化,不保證向前相容,升級有可能會導致流量中斷,不建議在生產環境使用。