Istio 在 5G 核心 CNFs 中的使用 - Faseela Kundattil 和 Ingo Meirick

5G核心网络中Istio服务网格的应用

5G系统架构

• 控制面与用户面分离：5G系统由控制面和用户面组成。
• 网络功能（NFs）：由3GPP标准定义，包含更小的功能单元NF服务。NFs采用云原生设计原则实现，称为云原生网络功能（CNFs）。
• 服务间接口：不同的NF通过统一的服务基础接口（SBI）连接，基于HTTP2/API。

使用Istio的原因

• 安全性：mTLS内部和外部通信安全，认证和授权工作负载，自动证书签发和轮换。
• 流量管理：基于L7的负载均衡和路由，处理入口和出口流量，提高弹性及可靠性。
• 可观测性：提供指标、跟踪和日志记录。

云原生电信堆栈中的服务网格

• CNFs在容器即服务（CaaS）平台上运行：基于Kubernetes。
• 多厂商支持：CNF和Kubernetes平台可以来自不同的供应商。
• 多租户支持：服务网格作为CNF的一部分。
• 外部服务通信：部分NFs无法集成到服务网格中。
• 生命周期管理：CNF和服务网格的联合生命周期管理，支持长时间升级窗口。

服务网格特性

• 安全性：mTLS内部通信，认证和授权，自动证书签发和轮换。
• 流量管理：基于L7的负载均衡和路由，提高弹性和可靠性。
• 可观测性：提供指标、跟踪和日志记录。

技术细节

• 出口（mTLS）处理：通过边车代理处理，避免额外跳转通过出口网关。
• 增强功能：允许在DestinationRule中引用Kubernetes密钥，并仅应用于特定的工作负载。

多租户支持

• 原因：服务网格包含在CNF中。
• 实现方式：扩展Istio发现选择器定义租户边界，限制边车注入和根CA配置。

双栈支持

• 原因：双栈支持对5G CNFs至关重要。
• 当前解决方案：使用envoy的ipv4兼容模式，设置IP族设置和边车本地IP地址版本，强制设置ip6tables。
• 期望改进：分析新的双栈支持提案，以适应上游社区的需求。

使用EnvoyFilter

• 原因：增强功能，如全局速率限制、更好的负载均衡、HTTP Tap过滤器等。
• 支持：通过Istio原生API支持。

未来计划

• 多租户支持：增强。
• 双栈支持：增强。
• 非HTTP协议支持：例如Postgres数据库。
• 性能提升：通过eBPF和gRPC代理减少服务网格开销。
• 外部CA集成：增强优雅终止逻辑，特别是在节点失败或关闭时。