使用限制

本文介绍Ambient Mesh模式的使用限制。

与Sidecar模式相比的功能缺失

当前Ambient Mesh模式与Sidecar模式相比的功能缺失较多,不建议在生产环境中使用。

授权策略使用限制

Waypoint代理暂时不支持ipBlocks字段。如果配置了相关规则,目前不会生效。

ASM1.22版本的L4授权策略、PeerAuthentication等功能正在灰度中。如有相关使用需求,请提交工单

流量管理使用限制

DestinationRule的trafficPolicyworkloadSelector字段无法生效,目前只能通过DestinationRule为服务配置subsets(子集)。

可观测限制

目前不支持Ambient Mesh模式下的指标监控以及网格拓扑。

适合的Kubernetes集群及配置

  • 网络插件:从ASM 1.21版本开始,兼容支持Terway和Flannel网络插件,kube-proxy代理支持iptables和IPVS模式。 同时,支持Terway插件下的IPvlan模式以及NetworkPolicy能力。

  • 操作系统:支持Alibaba Cloud Linux 2和Alibaba Cloud Linux 3。

  • 如果需要在ACS集群、ACK Serverless集群、 Edge集群和注册集群中使用Ambient Mesh模式,请提交工单获得技术支持。

更适合Sidecar模式的场景

  • 源服务需要特定的客户端配置:Ambient模式中的Waypoint是一个服务端代理,所有访问该服务的客户端都会将请求发送至这个Waypoint,无法针对某个特定客户端实现一些特殊配置。在Sidecar模式下,在VirtualService资源中,可以使用sourceLabels配置特定于给定源的能力,例如故障注入或重试、超时的配置。使用限制1.png

  • 目标服务需要特定于目标工作负载的策略:ASM从1.22开始,支持为指定Service或Workload启用Waypoint,范围更加灵活。当您需要比每个服务账户更细粒度的特定于目标服务的配置时,可以继续使用Sidecar模式。使用限制2.png

和现有Sidecar模式的兼容

在同一个Istio环境下,同时支持Ambient和Sidecar两种模式共存,并可以互相调用。但Ambient当前并未覆盖Sidecar全量能力,不建议在生产环境中使用。

升级

Ambient版本处于Alpha状态,Ambient API可能会发生较大变化,不保证向前兼容,升级有可能会导致流量中断,不建议在生产环境使用。