控制面（ Control plane ）

控制面是整個服務網格的控制中樞，負責整個網格的管理，包括sidecar注入，服務發現和服務治理配置分發以及證書管理功能等。

數據面（ Data plane ）

數據面是實際執行流量治理的代理服務器，在istio里面采用Envoy作為流量代理服務器，Envoy會攔截進出業務服務的流量并執行相應的流量治理策略。

sidecar 注入（ sidecar injection ）

在業務pod內部增加一個sidecar，用于實現流量攔截和代理功能，稱為sidecar注入；在K8S的使用場景下，一般采用webhook機制實現業務無感知的sidecar注入。

虛擬服務（ Virtual Service ）

虛擬服務是istio定義的流量治理對象，能夠實現對指定服務配置路由規則的功能，匹配到該路由規則的請求將根據配置被轉發到相應的目標。

目標規則（ Destination Rule ）

目標規則時istio定義的用于管理流量轉發目標服務的對象，比如可以使用目標規則設置要轉發的目標服務的版本、超時重試策略、熔斷策略等。

對等身份認證（ Peer Authentication ）

在服務網格內，服務之間通信都要經過sidecar，對等身份認證策略定義了sidecar之間的通信安全策略，可以是明文傳輸，或者強制TLS加密通信，或者兩種都可以。

請求身份認證（ Request Authentication ）

請求身份認證定義了服務對于收到的請求的身份認證策略，比如可以配置服務按照jwt策略對請求的身份進行認證，認證之后可以基于請求者的身份做進一步的訪問授權策略。

授權策略（ Authorization Policy ）

授權策略支持對請求是否有權訪問當前資源進行限制，可以基于請求身份認證中獲取的用戶身份信息，或者請求的其他信息對請求的放通或者拒絕做限制。