• HTTP、gRPC、WebSocket 和 TCP 网络流量的自动负载均衡
• 细粒度的网络流量行为控制， 包括丰富的路由规则、重试、故障转移和故障注入等
• 可选策略层和配置 API 支持访问控制、速率限制以及配额管理
• 自动度量、日志记录和跟踪所有进出的流量
• 强大的身份认证和授权机制实现服务间的安全通信

• 数据平面主要由一系列的智能代理（默认为 Envoy）组成，管理微服务之间的网络通信
• 控制平面负责管理和配置代理来路由流量，并配置 Mixer 以进行策略部署和遥测数据收集

• ​Envoy：Lyft 开源的高性能代理，用于调解服务网格中所有服务的入站和出站流量。它支持动态服务发现、负载均衡、TLS 终止、HTTP/2 和 gPRC 代理、熔断、健康检查、故障注入和性能测量等丰富的功能。Envoy 以 sidecar 的方式部署在相关的服务的 Pod 中，从而无需重新构建或重写代码。
• Mixer：负责访问控制、执行策略并从 Envoy 代理中收集遥测数据。Mixer 支持灵活的插件模型，方便扩展（支持 GCP、AWS、Prometheus、Heapster 等多种后端）。
• Pilot：动态管理 Envoy 实例的生命周期，提供服务发现、智能路由和弹性流量管理（如超时、重试）等功能。它将流量管理策略转化为 Envoy 数据平面配置，并传播到 sidecar 中。
• ​Pilot 为 Envoy sidecar 提供服务发现功能，为智能路由（例如 A/B 测试、金丝雀部署等）和弹性（超时、重试、熔断器等）提供流量管理功能。它将控制流量行为的高级路由规则转换为特定于 Envoy 的配置，并在运行时将它们传播到 sidecar。Pilot 将服务发现机制抽象为符合 Envoy 数据平面 API 的标准格式，以便支持在多种环境下运行并保持流量管理的相同操作接口。
• Citadel 通过内置身份和凭证管理提供服务间和最终用户的身份认证。支持基于角色的访问控制、基于服务标识的策略执行等。

• Pod 要关联服务并且必须属于单一的服务，不支持属于多个服务的 Pod
• 端口必须要命名，格式为 <协议>[-<后缀>]，其中协议包括 http、http2、grpc、mongo 以及 redis。否则会被视为 TCP 流量
• 推荐所有 Deployment 中增加 app 标签，用来在分布式跟踪中添加上下文信息

以下步骤假设命令行终端在 安装部署 时下载的 istio-${ISTIO_VERSION} 目录中。

• ​https://istio.io/​
• ​Istio - A modern service mesh​
• ​https://www.envoyproxy.io/​
• ​https://github.com/nginmesh/nginmesh​
• ​WHAT’S A SERVICE MESH? AND WHY DO I NEED ONE?​
• ​A SERVICE MESH FOR KUBERNETES​
• ​Service Mesh Pattern​
• ​Request Routing and Policy Management with the Istio Service Mesh​