ASMIstioKubernetes 2.北向API基于K8sCRD實現，完全聲明式，標準化 3.數據面與控制面通過xDSgRPC標準化協議通信，支持訂閱模式華為云ASM，

3rd SM產品在運維能力上針對現有oy速定位。ASM產品的發展路線從Sidecar和節點模式NodeProxy逐漸演進到下一代L4/L7旨在提升用戶資源利用率的同時，實現更快的L4層快速路徑數據治理以及更具彈性的L7

從OS層面觀察內核數據發送無延遲，HTTP最后判斷由于Istioingressgateway網關處理較大并發時，用戶消息被分片處理，且Envoy事件處理不線上問題、測試環境無法穩定重現、即使重現在Envoy可以結合td抓包查看客戶端到oy、oy之間、oy到目標服務之間包時間戳的差異（需要NT校準各個部分的系統時間）。需要將更詳細的觀測狀態記錄到AccessLog中，作為日常觀測手段，可以快速對不同時延類問題進行核心實踐：增強Envoy

打通Envoy請求處理鏈路中L4~L7增強Envoy是否出現HTTP消息上游連接池在HTTP協議中是否被處理HTTP響應時收到的HTTP頭部和數據部分是否存在較消息分片、EnvoyEnvoy判斷HTTP大小，以及EnvoyL4接收及發送的數據量和Envoy處理中自身增加的只有HTTPHeader上面例子OWNSO部分[C56:R:<21:36.106>0,0,96]H<21:36.106>0表示OS接收開始的時間戳，以及接收用時ms，96H表示本地接收到的數據經過HTTP解碼器作為HTTPEnvoy內HTTP添加部分：1271-96=1175如果觀察到日志中只有頭部而沒有數據部分，并且整個接收字節數較大，那么可以推斷存在較大的HTTP頭部。在這種情況下，可能會觸發一些HTTP服務器處理框架中的HTTP頭部長度校驗限制。管理員可以將這個問判斷EnvoyEnvoy啟動參數：concurrency參數啟動4使用命令：awk‘{print$29}’4.log|sort|uniq-cIstio1.8outboundEnvoy判斷是否單個消息太大導致TCP分片，或HTTP由于HTTP請求及響應消息較大，導致出現同一個HTTPHTTP響應頭部與數據部分存在延時Envoy的處理過程中，HTTP頭部和數據部分為獨立回調，并且每個回調在完成后會單獨發送到L4連接的發送緩沖區中，當多個客戶端頻繁發送請求時，可能會導致HTTP消息的頭部和數據部分被分別發送，增加某HTTP消息時延。通過分析分片日志，可以觀察到同一個HTTP消息的每個分片的接收時間，以及在服務器端發送響應時是否分開發送HTTP頭部和減小請求端單個HTTP優化服務器端的處理邏輯，以減少處理時間，確保HTTP判斷Envoy之間是否啟動了TLS在線上配置過程中，如網格默認沒有啟用mTLS，導致新增的服務沒有配置mTLS，從而導致明文傳輸，增加了安全風險?？梢酝ㄟ^監控Envoy日志來發現此類情況。在下面的日志中（例如2023-11-28T01:43:00.757Z），DOWNSTREAM_READ_DURATION中：[C676:R:<43:00.757>0,0,1167]H,D,E，表示客戶端發起的請求是明文內容，其中的RUPSTREAM_WRITE_DURATIONC677~C677:S:0,<43:00.759>0.2336]d中，C677~C677表示上游連接池在收到客戶請求后新創建了一個C677連接，并且實際使用的也是C677連接。S表示該連接使用了TLS。在接下來的2023-11-28T01:43:09.310ZSREAMWREDRA中：0~677:S:0,<43:09.311>0,2336]677可以優化連接池的性能和資源利用情況。Envoy每個連接都可以配置緩存的水位大小。默認情況下，低水位線為512K，高水位線1M。當前連接內的請求未完成處理時，如（42）線程上游連接日志SREAMREADDRA顯示在<18:00.647>0,0,11137]H,D,E1時接收服務端響應時，由于上游發送處理較慢無法發送到后端服務時，觸發水位關閉，連續關閉次數為1。因此上游發送可以在<18:00.680>時繼續發送數據。此時可以判斷出是由于E聽器或上游r的rcffrm參數控制連接水位。根因推測為下游寫response較慢導致上游的讀出現了水位限制判斷Envoy

下游接收DOWNSTREAM_READ_DURATION<53:08.802>到上游發送UPSTREAM_WRITE_DURATION有萬分之一的概率，在WAF上看到502而正常ACK報文與ClientHello報文間隔小于10ms。

開啟TLS協議，并會根據客戶端發送的第一個ClientHelloIstio在1.3之后版本默認關閉了協議嗅探功能。kubectleditcmistionistio-system可將上傳較大圖片，網關偶現413requestdatatoolargewatermarkexceeded”，初步判

現象：Istio1.8修改EnvoyFilter內容，45s后websocket連對比使用EnvoyFIlter前后的Envoydump文件配置內容，

如果不支持，則調用startDrainSequence啟動老Listener下線流程，并在到達Drain時間后，調用removeFilterChains關閉此Listener->filterChain關聯的所有活動連接。通過增強Envoy的運維功能，可以將線上時延類問題的定位范圍縮小到原來的1/10此運維增強日志擴展了EnvoyAccessLog，可以在線上業務日志增強功能不僅是對AccessLog本身的增強，關鍵狀態以最精簡買的集群資源的利用率和單個網格應用的部署規模。在進行Nodroy節點級模式探索時，遇到如金融用戶或游戲用戶需求：，其中有些服務需要保證其高的服務優先級。容器自動調度機制，同一節點上可能有不同優先級用戶。很難規劃NodeProxy節點的內存和CPUNodroy需要在每個節點上運行完整的代理，同樣會占用一定的節點買的資源不受影響，并且能夠在流量增減時進行可控的7彈性擴縮容。提供根據服務元數據進行L4優先級和QoS能力核心實踐：NodeProxy節點模式與SidecarNodeProxy模 NodeProxy節點模式優化方案解決每Pod支持元數據進行靈活的L4NodeProxy之間共享TCP

總Sidecar內存占用總Sidecar內存占用30pods/30*0.04=50pods/50*0.04=100pods/100*0.04=100pods/100*0.08=100pods/100*0.14=100pods/100*0.18=4*0.3=Istio1.8.4-r3,k8s1.19隨著網格內和服務數量的上升，ry對內存占用下降可以達到70%以上。L4/L7Sidecar核心實踐：ASML4/L7Sidecar NodeProxyNodeProxyNodeProxy固定L7需要兩側都為NodeProxy核心實踐：ASM網格數據面L4/L7L4/L7L4攔截區分快慢路徑L7可卸載nodenodenodenodeL4P99時延64連接（未加入網格64連接64連接（kmeshKmesh200pods/1001000pods/5005000pods/25002.5wpods/1.25w10wpods/5w

Istio1.19,k8s分析：m相比未加入網格的直連情況性能持平（甚至從測試結果看略優），相比mb的四層處理，占用降低90%的60%，QS超過后者60%核心實踐：部分L7L4L7編排(灰度/路由L7編排(限流協議棧發送(sockmap/TLSKmesh核心實踐：L4/L7

默認所有流量被kmeshL4攔 模式一：跳過kmesh攔 kmeshL4默認接管

只繞過kmesh

攔截，恢復Kubernetes逃生通道*前面的優化項已經在kmesh在運維方面