掌控随心 - 服务网格的流量管理艺术 (Istio 实例)

想象一下，没有服务网格的时候，我们要实现像“将 1% 的用户流量导入到新版本应用”、“根据用户设备类型访问不同后端”、“模拟下游服务故障”这类高级流量策略，通常需要在代码、负载均衡器、API 网关等多个地方进行复杂且分散的配置。

而服务网格（以 Istio 为例）提供了一套统一的、声明式的 API（通过 Kubernetes CRD），让你能够像指挥家一样，优雅地编排服务间的流量乐章。其中最重要的“指挥棒”就是以下三个资源：

1. 入口管理：`Gateway` - 网格的“看门人”

作用：Gateway 资源本身不处理流量，而是用来配置运行在网格边缘的 Envoy 代理（通常是 istio-ingressgateway 这个 Deployment）。它定义了哪些端口对外开放、使用什么协议（HTTP, HTTPS, GRPC, TCP）、以及关联的 TLS 证书等 L4-L6 层配置。它控制着进入服务网格的流量入口点。
类比：Gateway 就像是城市的主要入口大门或高速公路收费站。它规定了哪个大门（端口）是开放的，允许哪种类型的车辆（协议）进入，以及是否需要安检（TLS）。但它不负责告诉你进入城市后具体该去哪里。

YAML 示例 (输入)：配置一个 HTTP 入口，监听 80 端口，处理 myapp.example.com 的流量。

apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:name: myapp-gatewaynamespace: istio-system # 通常 Ingress Gateway 部署在 istio-system
spec:# selector 非常重要，它关联到运行 Ingress Gateway 的 Envoy Podselector:istio: ingressgatewayservers:- port:number: 80name: httpprotocol: HTTPhosts:- "myapp.example.com" # 指定此网关处理哪个域名(或通配符)的流量#  tls: # 如果需要 HTTPS，可以在这里配置#    mode: SIMPLE # 或 MUTUAL#    credentialName: myapp-tls-secret # 引用包含证书和私钥的 K8s Secret

关键字段解释：
- selector: 将此 Gateway 配置应用到哪些 Envoy 代理 Pod 上（通过标签匹配）。
- servers: 定义监听的端口、协议和关联的主机名。
- port: number, name, protocol (HTTP, HTTPS, GRPC, TCP, TLS 等)。
- hosts: 一个或多个主机名，支持通配符。
- tls: (可选) 配置 TLS 模式（单向 SIMPLE 或双向 MUTUAL）及引用的证书 Secret。
效果 (输出)：应用此配置后 (kubectl apply -f ...)，Istio 控制平面会指令匹配 selector 的 Envoy 代理（即 istio-ingressgateway Pods）监听指定的端口，并准备接收匹配 hosts 的流量。它只负责“开门”，不负责“指路”。