术语库

本页面提供在 Anthos Service Mesh 文档中使用的术语的简要定义，并提供了指向这些术语的详细信息的链接。

C

控制层面

控制层面是一组系统服务，用于配置网格或网格的子集以管理其中的工作负载实例之间的通信。Anthos Service Mesh 1.9 及更高版本提供两个控制平面：

• Google 管理的控制平面（“预览”）：这是一种 Google Cloud 服务，您无需配置，但完全可配置，但 Google 会为您处理其可靠性、升级、扩缩和安全性。

• 集群内控制层面：这是集群上安装的由 Google 支持的 istiod 发行版。使用 istiod 安装 Anthos Service Mesh 时，您负责升级和配置安全性和扩缩。

虽然控制层面将其配置分发到辅助信息文件代理，但控制层面不会直接处理网格中工作负载的流量。

D

数据层面

数据层面是网格中直接处理工作负载实例之间的通信的部分。Anthos Service Mesh 的数据层面使用部署为 sidecar 的代理来调解和控制网格服务发送和接收的 TCP 流量。

F

队列

借助队列（以前称为 Environ），您可以组织集群，以简化多集群管理。在队列中注册集群会引入身份、命名空间和服务的“相同性”概念，从而简化多集群网格的管理。如果您在不同项目中拥有集群，则您需要向队列宿主项目（而不是创建集群的项目）注册集群。如需详细了解队列，请参阅队列简介。

I

identity

身份是一种基本的安全基础架构概念。Anthos Service Mesh 身份模型基于一流的工作负载身份。在服务到服务通信开始时，双方将凭据与其身份信息交换以进行双向身份验证。

客户端会根据其安全命名信息检查服务器的身份，以确定服务器是否有权运行服务。

服务器会检查客户端的身份，以确定客户端可以访问的信息。服务器会根据配置的授权政策决定是否允许访问。

使用身份，服务器可以审核访问信息的时间以及特定客户端访问的信息。客户也可以根据其使用的服务向客户端收费，并拒绝所有未能向其结算服务付费的客户端。

Anthos Service Mesh 身份模型非常灵活，足够精细，用于表示真人用户、一项服务或一组服务。在没有一流的服务身份的平台上，Anthos Service Mesh 可以使用其他可以对服务实例进行分组的身份，例如服务名称。

Anthos Service Mesh 在不同平台上支持以下服务身份：

• Kubernetes：Kubernetes 服务账号

• Google Kubernetes Engine：Google Cloud 服务账号

• Google Cloud：Google Cloud 服务账号

istiod

Istiod 是提供控制层面服务的合并单体式二进制文件。在 Anthos Service Mesh 1.5 之前，控制层面服务由名为 Pilot、Citadel、Mixer 和 Galley 的单独组件提供。

IstioOperator

用于配置控制平面的自定义资源。如需了解详情，请参阅 Istio 文档中的 IstioOperator。

万

双向 TLS

Anthos Service Mesh 使用双向 TLS (mTLS) 在网格中的服务之间进行身份验证和加密。mTLS 能够帮助工作负载彼此进行身份验证。您可能熟悉如何在 HTTPS 中使用简单 TLS，以允许浏览器信任 Web 服务器以及加密交换的数据。使用简单 TLS 时，客户端会验证服务器证书，从而信任该服务器。mTLS 是 TLS 的一种实现，在这种协议中，客户端和服务器互相提供证书并验证彼此的身份。

否

网络

Anthos Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信，则它们位于同一网络上。

##

叠加层文件

包含 IstioOperator 自定义资源 (CR) 的 YAML 文件。叠加层文件用于配置控制层面。您可以替换默认控制层面配置，并在您传递到 istioctl install 或 install_asm 脚本的 YAML 文件中启用受支持的可选功能。您可以叠加多个文件，每个叠加文件会覆盖之前各层的配置。 如需了解可用于默认启用的功能，请参阅启用可选功能。

P

主集群

主集群是具有控制层面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。 在 Istio 1.7 文档中，多主模式部署称为复制的控制层面。

R

远程集群

远程集群是连接到集群外部的控制层面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。

修订版本

修订版本表示应用代码版本和配置的时间点快照。安装或升级 Anthos Service Mesh 时，会将修订版本标签添加到 istiod 中以标识版本。如需启用自动辅助信息文件注入，请将修订版本标签添加到命名空间并重启 Pod。您可使用修订版本标签将命名空间中的 Pod 与特定 istiod 修订版本相关联，以便安全地升级到新的控制层面，以及在出现问题时回滚到原始修订版本。

S

安全命名

服务器身份在证书中编码，但服务名称通过发现服务或 DNS 检索。安全命名信息用于将服务器身份映射到服务名称。将身份 A 映射到服务名称 B 表示“A 有权运行服务 B”。控制层面会观察 apiserver，生成安全命名映射，并安全地将其分发给 Sidecar 代理。

服务网格

服务网格（简称网格）是基础架构层，可在工作负载实例之间实现代管式、可观测且安全的通信。

辅助信息文件

一种模式，可用于与工作负载一起运行实用程序或帮助程序。如果您使用的是 Kubernetes，则辅助信息文件将与 Pod 中的工作负载容器一起运行。在讨论服务网格时，“辅助信息文件”一词通常用于指代理。

T

信任网域

信任网域对应于系统信任根，属于工作负载身份。

Anthos Service Mesh 使用信任网域在网格中创建所有身份。例如，在 SPIFFE ID spiffe://mytrustdomain.com/ns/default/sa/myname 中，子字符串 mytrustdomain.com 指定工作负载来自名为 mytrustdomain.com 的信任网域。

使用 Mesh CA 时，信任网域由 Anthos Service Mesh 自动生成。它基于集群的工作负载池，格式为 project-id.svc.id.goog 或 project-id.hub.id.goog。

您可以在多集群网格中包含一个或多个可信网域，前提是集群具有相同的信任根。

W

工作负载

工作负载是容器化应用、服务或其他程序（如批处理作业或在平台上运行的守护程序）。该平台可以是 Kubernetes 集群、虚拟机或其他环境（如 Google Distributed Cloud Virtual for Bare Metal）。工作负载具有名称、命名空间和唯一 ID。在 Kubernetes 上，工作负载通常对应于 Deployment，但存在其他类型的工作负载，如 StatefulSet。