Istio Wasm Filter 可观察性与零信任增强（2025）

# Istio Wasm Filter 可观察性与零信任增强（2025） ## 一、架构与集成 - Envoy 扩展：以 `Wasm Filter` 提供自定义度量/日志/策略检查。 - 注入方式：在 `EnvoyFilter` 配置中加载 Filter；版本与 ABI 稳定性治理。 ## 二、观测与策略 - 观测：采集特定头与标签形成高维度指标；与 OpenTelemetry 接入。 - 策略：零信任下细粒度鉴权与速率限制；黑白名单与租户隔离。 - mTLS：端到端加密与身份；证书轮换与失效治理。 ## 三、性能与稳定性 - 性能：控制 Filter 执行成本；对热路径启用采样或批量。 - 稳定性：异常快速熔断与降级；对失败路径隔离与回滚。 ## 四、运维与安全 - 供应链：WASM 模块签名与哈希校验；来源可信。 - 配置管理：灰度发布与版本兼容；回滚策略清晰。 - 密钥治理：最小权限与审计。 ## 注意事项 - 关键词（Wasm Filter、mTLS、零信任、Envoy、观测）与正文一致。 - 分类为“云原生/Service Mesh/Istio”，不超过三级。 - 参数与策略需在预生产演练与压测验证。