Istio Ambient Mesh与Sidecar对比：零侵入与性能权衡

Istio Ambient Mesh与Sidecar对比：零侵入与性能权衡概览Sidecar 在每个 Pod 注入代理；Ambient 以共享数据平面提供零侵入能力，降低资源与运维开销。两者在流控与安全能力上存在差异。技术参数（已验证）架构：Sidecar 基于 Envoy；Ambient 引入 ztunnel 共享数据平面与 L4 功能，L7 能力通过 waypoint proxy。性能：Ambient 降低代理数量与开销；Sidecar 提供完整 L7 能力与细粒度控制。安全：两者均支持 mTLS 与身份；Ambient 以 L4 为主，需要 waypoint 承载 L7 策略。迁移：逐步将命名空间接入 Ambient；评估 L7 需求与能力边界。观测：记录延迟与错误；在变更中保持回滚路径。实战清单对 L7 需求较低的命名空间采用 Ambient；复杂流控保留 Sidecar。统一身份与证书管理；在入口与东西向流量保持一致策略。建立演练与回滚流程；按业务逐步迁移并监控效果。