使用限制
本文介绍Ambient Mesh模式的使用限制。
与Sidecar模式相比的功能缺失
当前Ambient Mesh模式与Sidecar模式相比的功能缺失较多,不建议在生产环境中使用。
授权策略使用限制
Waypoint代理暂时不支持ipBlocks
字段。如果配置了相关规则,目前不会生效。
流量管理使用限制
DestinationRule的trafficPolicy
和workloadSelector
字段无法生效,目前只能通过DestinationRule为服务配置subsets
(子集)。
可观测限制
目前不支持Ambient Mesh模式下的指标监控以及网格拓扑。
适合的ACK Kubernetes集群及配置
ACK集群类型:不支持ACK Serverless集群、Edge集群、注册集群。
网络插件:支持Terway插件(非IPvlan模式),kube-proxy代理支持iptables和IPVS模式。不支持Flannel网络插件。目前不支持Terway插件下的IPvlan模式以及NetworkPolicy能力。
操作系统:支持Alibaba Cloud Linux 2和Alibaba Cloud Linux 3。
更适合Sidecar模式的场景
源服务需要特定的客户端配置:只包含目标服务的Waypoint代理针对所有源服务来说,配置是共享的,缺乏配置特定于客户端配置覆盖的能力。在Sidecar模式下,在VirtualService资源中,可以使用
sourceLabels
配置特定于给定源的能力,例如故障注入或重试、超时的配置。目标服务需要特定于目标工作负载的策略:Waypoint代理按服务账户或名称空间进行设计。当您需要比每个服务账户更细粒度的特定于目标服务的配置时,可以继续使用Sidecar模式。
和现有Sidecar模式的兼容
在同一个Istio环境下,同时支持Ambient和Sidecar两种模式共存,并可以互相调用。但Ambient当前并未覆盖Sidecar全量能力,不建议生产使用。
升级
Ambient版本处于Alpha状态,Ambient API可能会发生较大变化,不保证向前兼容,升级有可能会导致流量中断,不建议在生产环境使用。