[新产品/新功能] 公开预览：Application Gateway for Containers 与 Istio 服务网格集成

**发布时间:** 2025-11-18 **厂商:** Azure **类型:** Updates ---  [新产品/新功能] 公开预览：Application Gateway for Containers 与 Istio 服务网格集成   # 产品功能分析 ## 新功能/新产品概述 Azure 发布了 **Application Gateway for Containers (AGC)** 的一项新功能预览，通过一个可选的服务网格扩展，实现了与 **Istio 服务网格 (Service Mesh)** 的原生集成。此功能的核心目标是简化和保护从外部客户端到在 Kubernetes 集群内 Istio 服务网格中运行的微服务之间的 **南北向流量 (North-South Traffic)**。**Application Gateway for Containers** 作为一个托管的、高度可扩展的 **入口网关 (Ingress Gateway)**，通过此扩展能够深度参与到 Istio 的流量管理和安全体系中，从而为用户提供一个统一、无缝的流量入口解决方案。该产品主要面向在 Azure Kubernetes Service (AKS) 上使用 Istio 进行服务治理和保护的云原生应用开发者和平台运维团队。它将 Azure 强大的托管网络能力与开源服务网格的灵活性相结合，旨在取代或增强传统的 Ingress Controller 或自管理的 Istio Gateway。 ## 关键客户价值 - **统一的入口解决方案** - 用户可以通过单一的 **Application Gateway for Containers** 实例，同时为集群内处于 Istio 网格中和网格外的服务提供流量负载均衡。这极大地简化了网络拓扑，降低了架构复杂性，避免了为不同类型的服务维护多套入口系统的开销。 - **降低运维开销** - 该集成功能可以自动化处理入口网关与后端服务之间的 **双向认证 (mTLS)** 配置。运维团队无需再为每个服务手动编写和维护繁琐的 Istio 认证策略，从而消除了配置膨胀，减少了因人为错误导致的安全风险，并加快了应用的交付速度。 - **托管的证书信任与轮换** - Azure 负责管理 AGC 与 Istio 服务网格之间建立信任关系所需的证书生命周期，包括证书的颁发、分发和自动轮换。这确保了入口网关与网格内部服务之间的通信始终是加密和可信的，解决了证书管理这一复杂且关键的安全难题，保障了业务的连续性和安全性。 ## 关键技术洞察 - 此集成的核心是一个 **服务网格扩展 (service mesh extension)**，它很可能以 **Kubernetes Operator** 的模式在集群中运行。该控制器负责监听 Kubernetes Ingress 资源和 Istio 自定义资源（如 `Gateway` 和 `VirtualService`）的变化，并自动在这两者之间进行配置转换和同步，实现了声明式API的无缝对接。 - 通过自动化 **双向认证 (mTLS)** 的握手和配置，该功能将零信任安全模型从网络边缘延伸至服务本身。AGC 作为网格的一个可信成员，确保了所有进入集群的流量在第一跳就被纳入了服务网格的安全边界之内，实现了端到端的加密与身份验证。 - 该方案将数据平面的高性能（由 Azure 的托管负载均衡器提供）与控制平面的灵活性（由 Istio 提供）有效结合。用户既能享受到 Istio 强大的流量路由、灰度发布、故障注入等高级功能，又能获益于 Azure 托管服务带来的高可用性、弹性伸缩和安全防护能力。   # 公开预览：Application Gateway for Containers 与 Istio 服务网格集成 **发布时间:** 2025-11-18 **厂商:** Azure **类型:** 更新 --- Application Gateway for Containers 现已通过一个可选的服务网格 (service mesh) 扩展支持与 Istio 服务网格集成。该功能简化了外部客户端与服务网格内部服务之间的安全南北向通信 (north-south communication)。 - **单一解决方案：** 通过一个入口网关 (ingress gateway) 为网格内外的服务提供流量负载均衡。 - **降低运维开销：** 通过自动化重复的双向认证 (mutual authentication) 定义，消除配置冗余。 - **证书信任与轮换：** 托管证书的信任与轮换，以维持与服务网格的安全认证。 **了解更多：** - [Application Gateway for Containers + Istio service mesh](https://aka.ms/agc/istio) - [Application Gateway for Containers Overview](https://aka.ms/agc)