Istio Ambient Mesh L4 安全与采样实践（2025）

Istio Ambient Mesh L4 安全与采样实践（2025）一、架构与组件Ambient Mesh：去 sidecar，以 `ztunnel` 在 L4 层实现路由与安全（Ambient Mesh）。分层：L4 安全与策略，必要时对特定服务启用 L7 能力。二、安全与mTLS身份：SPIFFE/SPIRE 提供身份；统一证书管理（mTLS）。mTLS：端到端加密与认证；证书轮换与失效治理。三、采样与观测采样：对高频流量进行采样，控制开销（采样）。指标与追踪：采集延迟与错误率；必要时与 OpenTelemetry 集成。四、策略与回滚策略：零信任下细粒度访问控制；速率限制与熔断。回滚：异常时降级或切换到传统 sidecar 模式。注意事项关键词（Ambient Mesh、ztunnel、L4、采样、mTLS）与正文一致。分类为“云原生/Service Mesh/Istio”，不超过三级。策略需在预生产演练与性能基线中验证。