❤️ プロジェクトを支援する
JA
EN English UK Українська PL Polski ES Español DE Deutsch FR Français PT Português TR Türkçe JA 日本語 KO 한국어 RU Русский

Istio

Istio は、開発者が分散アプリケーションネットワーキングやポリシー施行の複雑さを抽象化しながら、マイクロサービスを管理、保護、監視するための透過的に統合されたプラットフォームを提供するオープンソースのサービスメッシュです。.

🌐 用語 他の言語で:
English Deutsch Español Français 日本語 한국어 Polski Português Русский Türkçe Українська

Istio は、サービスを保護、接続、監視するための透明な方法を提供するオープンソースのサービスメッシュプラットフォームです。ネットワーク層を抽象化することで、マイクロサービスアーキテクチャの複雑さを管理するように設計されています。Istio は通常、Kubernetes クラスター内にデプロイされた一連のマイクロサービスとして実行されます。そのアーキテクチャは、コントロールプレーンとデータプレーンの 2 つの主要コンポーネントで構成されます。コントロールプレーン (例: Pilot, Citadel, Galley) は、データプレーン内のプロキシを管理および構成します。データプレーンは、各サービスインスタンスの横にサイドカーとしてデプロイされた Envoy プロキシで構成されます。これらの Envoy プロキシは、サービス間のすべてのネットワークトラフィックをインターセプトし、ポリシーを施行し、テレメトリを収集します。主な機能には、トラフィック管理 (例: ルーティング、負荷分散、フォールトインジェクション)、セキュリティ (例:mutual TLS 認証、認可ポリシー)、およびオブザーバビリティ (例: メトリクス、ログ、分散トレーシング) が含まれます。トレードオフには、サイドカープロキシによる運用上の複雑さとリソースオーバーヘッドの導入が含まれますが、これは分散システムの管理における大きな利点によって相殺されることがよくあります。Istio により、開発者はネットワークの懸念事項ではなくビジネスロジックに集中でき、カナリアデプロイメント、A/B テスト、レジリエンスパターンなどの高度な機能をすぐに利用できます。

        graph LR
  Center["Istio"]:::main
  Rel_advanced_propulsion_systems["advanced-propulsion-systems"]:::related -.-> Center
  click Rel_advanced_propulsion_systems "/terms/advanced-propulsion-systems"
  Rel_microservices["microservices"]:::related -.-> Center
  click Rel_microservices "/terms/microservices"
  Rel_service_mesh["service-mesh"]:::related -.-> Center
  click Rel_service_mesh "/terms/service-mesh"
  classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
  classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
  classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
  classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
  linkStyle default stroke:#4b5563,stroke-width:2px;
🕸️ Open in Universe

🧠 理解度チェック

1 / 3

🧒 5歳でもわかるように説明

コンピューターシステムで実行されているさまざまなアプリのための、超スマートな交通管制官のようなもので、アプリ同士が安全に、効率的に、迷子にならずに通信できるようにします。

🤓 Expert Deep Dive

Istio のアーキテクチャは、Envoy プロキシをサイドカーとして活用し、アプリケーションポッドに注入して、すべての着信および発信トラフィックをインターセプトおよび管理します。歴史的に Pilot (トラフィック管理)、Citadel (セキュリティ)、Galley (構成検証) で構成されていたコントロールプレーンは、istiod のような多くの機能を統合するコンポーネントとともに進化しました。Pilot は xDS API (Discovery Service) を介して Envoy プロキシを構成し、動的なルーティング、負荷分散、フォールトインジェクションを可能にします。Citadel は SPIFFE/SPIRE ID を使用して強力なサービス間認証と認可を提供し、証明書のローテーションを管理します。Galley は構成の取り込みと検証を処理します。トレードオフには、各サービスインスタンスの Envoy サイドカーを実行することによる大幅なリソースオーバーヘッド (CPU/メモリ) と、追加のネットワークホップによる遅延の増加が含まれます。脆弱性は、認可ポリシーの誤構成、Envoy プロキシ自体の潜在的なエクスプロイト、または Istio コントロールプレーンコンポーネント内の問題から生じる可能性があります。動的なマイクロサービス環境全体で一貫したポリシー施行を確保することは、重要な課題です。

📚 出典

1. Service mesh
2. OpenShift
3. Istvaeones