[zh] Sync reference/glossary (#15589)

2024-08-21 18:38:24 +08:00 · 2024-08-21 18:38:24 +08:00 · bcd123f924
parent 0340869d3d
commit bcd123f924
22 changed files with 68 additions and 53 deletions
--- a/content/zh/docs/reference/_index.md
+++ b/content/zh/docs/reference/_index.md
@ -2,6 +2,5 @@
 title: 参考
 description: 参考部分包含详细的权威参考资料，如命令行选项、配置选项和 API 调用参数。
 weight: 60
-icon: reference
 test: n/a
 ---
--- a/content/zh/docs/reference/glossary/annotation.md
+++ b/content/zh/docs/reference/glossary/annotation.md
@ -3,5 +3,6 @@ title: Annotation
 test: n/a
 ---

-注解（Annotation）指的是附加到 Pod 等某个资源的 [Kubernetes 注解](https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/annotations/)。
+注解（Annotation）指的是附加到 Pod 等某个资源的
+[Kubernetes 注解](https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/annotations/)。
 有关 Istio 专用的有效注解列表，请参见 [Resource Annotations](/zh/docs/reference/config/annotations/)。
--- a/content/zh/docs/reference/glossary/attribute.md
+++ b/content/zh/docs/reference/glossary/attribute.md
@ -3,8 +3,10 @@ title: Attribute
 test: no
 ---

-属性控制着网格中服务运行时的行为，是一堆有名字的、有类型的元数据，它们描述了 Ingress 和 Egress 流量，以及这些流量所在的环境。
-一个 Istio 属性包含了一段特定的信息，例如 API 请求的错误代码、API 请求的延迟或 TCP 请求的原始 IP 地址。例如：
+属性控制着网格中服务运行时的行为，是一堆有名字的、有类型的元数据，
+它们描述了 Ingress 和 Egress 流量，以及这些流量所在的环境。
+Istio 属性包含了一段特定的信息，例如 API 请求的错误代码、
+API 请求的延迟或 TCP 请求的原始 IP 地址。例如：

 {{< text yaml >}}
 request.path: xyz/abc
@ -14,4 +16,4 @@ source.ip: 192.168.0.1
 destination.workload.name: example
 {{< /text >}}

-Istio 的[策略和遥测](/zh/docs/reference/config/policy-and-telemetry/)功能会用到属性。
+这些属性由 Istio 的[策略和遥测](/zh/docs/reference/config/policy-and-telemetry/)功能来使用。
--- a/content/zh/docs/reference/glossary/auto-mtls.md
+++ b/content/zh/docs/reference/glossary/auto-mtls.md
@ -3,7 +3,7 @@ title: 自动 mTLS
 test: n/a
 ---

-自动 mTLS 是 Istio 的一个特性，用以发送
-[双向 TLS 流量](/zh/docs/tasks/security/authentication/authn-policy/#auto-mutual-tls)，
-其中客户端和服务器都能够处理 Mutual TLS 的流量。
-当客户端或服务器无法处理此类流量时，Istio 将其会降级为纯文本。
+自动 mTLS 是 Istio 的一个特性，
+用以发送[双向 TLS 流量](/zh/docs/tasks/security/authentication/authn-policy/#auto-mutual-tls)，
+其中客户端和服务器都能够处理双向 TLS 流量。
+当客户端或服务器无法处理此类流量时，Istio 会将其降级为纯文本。
--- a/content/zh/docs/reference/glossary/cni.md
+++ b/content/zh/docs/reference/glossary/cni.md
@ -4,7 +4,7 @@ test: n/a
 ---

 [容器网络接口（CNI）](https://www.cni.dev/) 是 Kubernetes 用于配置集群网络的标准。
-它是使用**插件**实现的，其中有两种类型：
+它是使用**插件**实现的，有两种类型的插件：

 * **interface** 插件，创建网络接口，由集群运营商提供
 * **chained** 插件，可以配置创建的接口，可以由集群上安装的软件提供
@ -14,5 +14,5 @@ Istio 可以在 Sidecar 和 Ambient 模式下与所有遵循 CNI 标准的 CNI
 为了配置网格流量重定向，Istio 包含一个 [CNI 节点代理](/zh/docs/setup/additional-setup/cni/)。
 此代理会安装一个链式 CNI 插件，该插件在所有已配置的 CNI 接口插件之后运行。

-CNI 节点代理对于 {{< gloss "sidecar" >}}Sidecar{{< /gloss >}} 模式是可选的，
-而对于 {{< gloss "ambient" >}}Ambient{{< /gloss >}} 模式是必需的。
+CNI 节点代理对于 {{< gloss >}}sidecar{{< /gloss >}} 模式是可选的，
+而对于 {{< gloss >}}ambient{{< /gloss >}} 模式是必需的。
--- a/content/zh/docs/reference/glossary/crds.md
+++ b/content/zh/docs/reference/glossary/crds.md
@ -4,4 +4,4 @@ test: n/a
 ---

 [自定义资源定义 (CRD)](https://kubernetes.io/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
-是默认的 Kubernetes API 扩展。Istio 使用 Kubernetes CRD API 来配置，即使是在非 Kubernetes 环境下部署的 Istio 也是如此。
+是默认的 Kubernetes API 扩展。即使是在非 Kubernetes 环境下部署的 Istio，也会使用 Kubernetes CRD API 来配置。
--- a/content/zh/docs/reference/glossary/data-plane.md
+++ b/content/zh/docs/reference/glossary/data-plane.md
@ -3,7 +3,10 @@ title: Data Plane
 test: n/a
 ---

-数据平面模式是指[数据平面](/zh/docs/reference/glossary/#data-plane)使用的部署模式。
-Istio 目前支持三种模式：[Sidecar 模式](/zh/docs/reference/glossary/#sidecar)、
-[Ambient 模式](/zh/docs/reference/glossary/#ambient)和
-[无代理](/zh/docs/reference/glossary/#proxyless)。
+数据平面是网格中直接处理并路由工作负载实例之间流量的那一部分。
+
+在 {{< gloss >}}sidecar{{< /gloss >}} 模式下，Istio 的数据平面使用部署为 Sidecar
+的 [Envoy](/zh/docs/reference/glossary/#envoy) 代理来调解和控制网格服务的所有收发流量。
+
+在 {{< gloss >}}ambient{{< /gloss >}} 模式下，Istio 的数据平面使用以 DaemonSet 部署的节点级
+{{< gloss >}}ztunnel{{< /gloss >}} 代理来调解和控制网格服务的所有收发流量。
--- a/content/zh/docs/reference/glossary/dataplane-mode.md
+++ b/content/zh/docs/reference/glossary/dataplane-mode.md
@ -4,4 +4,6 @@ test: n/a
 ---

 数据平面模式是指[数据平面](/zh/docs/ference/glossary/#data-Plane)使用的是哪种部署模式。
-Istio 当前支持三种模式: [Sidecar](/zh/docs/reference/glossary/#sidecar)、[Ambient](/zh/docs/reference/glossary/#ambient) 和 [Proxyless](/zh/docs/reference/glossary/#proxyless)。
+Istio 当前支持三种模式：[Sidecar 模式](/zh/docs/reference/glossary/#sidecar)、
+[Ambient 模式](/zh/docs/reference/glossary/#ambient) 和
+[无代理模式](/zh/docs/reference/glossary/#proxyless)。
--- a/content/zh/docs/reference/glossary/envoy.md
+++ b/content/zh/docs/reference/glossary/envoy.md
@ -3,5 +3,6 @@ title: Envoy
 test: n/a
 ---

-Envoy 是在 Istio 里使用的高性能代理，用于为所有[服务网格](/zh/docs/reference/glossary/#service-mesh)里的[服务](/zh/docs/reference/glossary/#service)调度进出的流量。
+Envoy 是在 Istio 里使用的高性能代理，
+用于为所有[服务网格](/zh/docs/reference/glossary/#service-mesh)里的[服务](/zh/docs/reference/glossary/#service)调度进出的流量。
 [了解更多关于 Envoy](https://www.envoyproxy.io/)。
--- a/content/zh/docs/reference/glossary/external-control-plane.md
+++ b/content/zh/docs/reference/glossary/external-control-plane.md
@ -3,7 +3,7 @@ title: External Control Plane
 test: n/a
 ---

-External Control Plane 是从外部管理运行在自己的 [Cluster](/zh/docs/reference/glossary/#cluster)
-或者其他基础设施中的网格工作负载的 [Control Plane](/zh/docs/reference/glossary/#control-plane)。
-Control Plane 可以部署在一个 Cluster 中，尽管不能部署在它所控制的网格的一部分 Cluster 中。
-它的目的是将 Control Plane 与网格的 Data Plane 完全分离。
+外部控制平面（External Control Plane）是从外部管理运行在自己的[集群](/zh/docs/reference/glossary/#cluster)
+或者其他基础设施中的网格工作负载的[控制平面](/zh/docs/reference/glossary/#control-plane)。
+控制平面可以部署在一个集群中，尽管不能部署在它所控制的网格的一部分集群中。
+但它的目的是将控制平面与网格的数据平面完全分离开来。
--- a/content/zh/docs/reference/glossary/failure-domain.md
+++ b/content/zh/docs/reference/glossary/failure-domain.md
@ -5,4 +5,4 @@ test: n/a

 故障域是计算环境中物理或者逻辑的一部分，当关键设备或服务遇到问题时，它也会受到负面影响。

-对于 Istio 部署而言，故障域可能包含平台中的多个可用性区域。
+对于 Istio 部署而言，故障域可能包含平台中的多个可用区。
--- a/content/zh/docs/reference/glossary/hbone.md
+++ b/content/zh/docs/reference/glossary/hbone.md
@ -3,6 +3,6 @@ title: HBONE
 test: n/a
 ---

-基于 HTTP 的上层网络环境（HTTP-Based Overlay Network Environment，HBONE）
+HBONE（HTTP-Based Overlay Network Environment，即基于 HTTP 的上层网络环境）
 是在 Istio 组件之间使用的安全隧道化协议。
 [了解有关 HBONE 的更多信息](/zh/docs/ambient/architecture/hbone/)。
--- a/content/zh/docs/reference/glossary/identity.md
+++ b/content/zh/docs/reference/glossary/identity.md
@ -3,27 +3,24 @@ title: Identity
 test: n/a
 ---

-身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。在服务之间的通信开始时，双方使用身份信息交换证书来实现相互认证的目的。
+身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。
+在服务之间的通信开始时，双方使用身份信息交换证书来实现相互认证的目的。

 客户端根据其安全的命名信息检查服务器的身份，以便确定服务器是否被授权运行服务。

 服务器检查客户端的身份，以确定客户端可以访问的信息。服务器基于客户端的身份，来确定配置的策略。

-通过使用身份，服务器可以审核访问信息的时间和特定客户端访问的信息内容。还可以根据客户使用的服务向他们收费，并拒绝任何未付款的客户访问服务。
+通过使用身份，服务器可以审核访问信息的时间和特定客户端访问的信息内容。
+还可以根据客户使用的服务向他们收费，并拒绝任何未付款的客户访问服务。

-Istio 身份模型非常灵活，粒度足以代表单个用户、单个服务，或者一组服务。在没有第一阶级服务身份的平台，Istio 可以使用其他的身份为服务实例进行分组，例如服务名称。
+Istio 身份模型非常灵活，粒度足以代表单个用户、单个服务或者一组服务。
+在没有第一阶级服务身份的平台，Istio 可以使用其他的身份为服务实例进行分组，例如服务名称。

 Istio 在不同的平台上支持以下服务身份：

- Kubernetes: Kubernetes 服务账户
-
- GKE/GCE: GCP 服务账户
-
- GCP: GCP 服务账户
-
- AWS: AWS IAM 用户/角色 账户
-
- 本地 （非 Kubernetes）：用户账户、客户服务账户、服务名称、Istio 服务账户或者 GCP 服务账户。
-  客户服务账户指现有的服务账户，就像客户身份目录中管理的身份。
-
-通常，[信任域](/zh/docs/reference/glossary/#trust-domain)指定身份所属的网格。
+- Kubernetes：Kubernetes 服务账户
+- GKE/GCE：GCP 服务账户
+- GCP：GCP 服务账户
+- AWS：AWS IAM 用户/角色 账户
+- 本地（非 Kubernetes）：用户账户、自定义服务账户、服务名称、Istio 服务账户或者 GCP 服务账户。
+  自定义服务账户指现有的服务账户，就像客户身份目录中管理的身份。
--- a/content/zh/docs/reference/glossary/injection.md
+++ b/content/zh/docs/reference/glossary/injection.md
@ -3,7 +3,8 @@ title: Injection
 test: n/a
 ---

-注入或 Sidecar 注入是指在创建时使用 [动态 Webhook](https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers/) 来修改 Pod 规范。
-注入可用于为网格服务添加 Envoy Sidecar 配置或配置[网关](/zh/docs/reference/glossary/#gateway) 的 Envoy 代理。
+注入或 Sidecar 注入是指在创建时使用[动态 Webhook](https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers/)
+来修改 Pod 规约。注入可用于为网格服务添加 Envoy Sidecar
+配置或配置[网关](/zh/docs/reference/glossary/#gateway) 的 Envoy 代理。

 有关更多信息，请参阅[安装 Sidecar](/zh/docs/setup/additional-setup/sidecar-injection)。
--- a/content/zh/docs/reference/glossary/mesh-federation.md
+++ b/content/zh/docs/reference/glossary/mesh-federation.md
@ -3,5 +3,7 @@ title: Mesh Federation
 test: n/a
 ---

-网格联邦是在网格之间公开服务的一种行为，并且能跨越网格边界进行通信。每一个网格或许会公开其一部分的服务，使一个或多个其他网格使用此公开的服务。
-您可以使用网格联邦来启用网格之间的通信，可参阅[多个网格部署](/zh/docs/ops/deployment/deployment-models/#multiple-meshes)。
+网格联邦是在网格之间公开服务的一种行为，并且能跨越网格边界进行通信。
+每一个网格或许会公开其一部分的服务，使一个或多个其他网格使用此公开的服务。
+您可以使用网格联邦来启用网格之间的通信，
+可参阅[多个网格部署](/zh/docs/ops/deployment/deployment-models/#multiple-meshes)。
--- a/content/zh/docs/reference/glossary/micro-segmentation.md
+++ b/content/zh/docs/reference/glossary/micro-segmentation.md
@ -3,4 +3,5 @@ title: Micro-Segmentation
 test: n/a
 ---

-Micro-segmentation 是一种安全技术，可在云部署中创建安全区域，使组织能够将工作负载彼此隔离，并分别保证它们的安全。
+Micro-segmentation 是一种安全技术，可在云部署中创建安全区域，
+使组织能够将工作负载彼此隔离，并分别保证这些工作负载的安全。
--- a/content/zh/docs/reference/glossary/multi-mesh.md
+++ b/content/zh/docs/reference/glossary/multi-mesh.md
@ -4,5 +4,6 @@ test: n/a
 ---

 Multi-mesh 是由两个或多个[服务网格](/zh/docs/reference/glossary/#service-mesh)组成的部署模型。
-每个网格都有独立的命名管理和身份管理，但是您可以通过[网格联邦](/zh/docs/reference/glossary/#mesh-federation)来暴露网格之间的服务，
+每个网格都有独立的命名管理和身份管理，
+但是您可以通过[网格联邦](/zh/docs/reference/glossary/#mesh-federation)来暴露网格之间的服务，
 最终构成一个多网格部署。
--- a/content/zh/docs/reference/glossary/multicluster.md
+++ b/content/zh/docs/reference/glossary/multicluster.md
@ -3,4 +3,5 @@ title: Multicluster
 test: n/a
 ---

-Multicluster 是一种部署模型，由具有多个[集群](/zh/docs/reference/glossary/#cluster)的[网格](/zh/docs/reference/glossary/#service-mesh)组成。
+Multicluster 是一种部署模型，
+由具有多个[集群](/zh/docs/reference/glossary/#cluster)的[网格](/zh/docs/reference/glossary/#service-mesh)组成。
--- a/content/zh/docs/reference/glossary/network.md
+++ b/content/zh/docs/reference/glossary/network.md
@ -3,5 +3,6 @@ title: Network
 test: n/a
 ---

-Istio使用基于一般连接性的网络简化定义。
-如果[工作负载实例](/zh/docs/reference/glossary/#workload-instance)在没有网关的情况下能够直接通信，那么它们就会在同一个网络上。
+Istio 使用基于一般连接性的网络简化定义。
+如果[工作负载实例](/zh/docs/reference/glossary/#workload-instance)在没有网关的情况下能够直接通信，
+那么它们就会在同一个网络上。
--- a/content/zh/docs/reference/glossary/pilot.md
+++ b/content/zh/docs/reference/glossary/pilot.md
@ -3,4 +3,5 @@ title: Pilot
 test: n/a
 ---

-Pilot 是 Istio 里的一个组件，它控制 [Envoy](/zh/docs/reference/glossary/#envoy) 代理，负责服务发现、负载均衡和路由分发。
+Pilot 是 Istio 里的一个组件，它控制 [Envoy](/zh/docs/reference/glossary/#envoy)
+代理，负责服务发现、负载均衡和路由分发。
--- a/content/zh/docs/reference/glossary/routing-rules.md
+++ b/content/zh/docs/reference/glossary/routing-rules.md
@ -3,6 +3,6 @@ title: Routing Rules
 test: n/a
 ---

-您在[虚拟服务](/zh/docs/concepts/traffic-management/#virtual-services)中配置的路由规则，遵循服务网格定义了请求的路径。
-使用路由规则，您可以定义将寻址到虚拟服务主机的流量路由到指定目标的工作负载。
+您在[虚拟服务](/zh/docs/concepts/traffic-management/#virtual-services)中配置的路由规则，
+遵循服务网格定义了请求的路径。使用路由规则，您可以定义将寻址到虚拟服务主机的流量路由到指定目标的工作负载。
 路由规则使您可以控制流量，以实现如 A/B 测试、金丝雀发布以及按百分比分配流量的分阶段发布等任务。
--- a/content/zh/docs/reference/glossary/ztunnel.md
+++ b/content/zh/docs/reference/glossary/ztunnel.md
@ -3,5 +3,7 @@ title: ztunnel
 test: n/a
 ---

-Ztunnel 指的是 [Ambient](/zh/docs/reference/glossary/#ambient) 数据面模式中的节点代理组件。
+Ztunnel 指的是 [Ambient](/zh/docs/reference/glossary/#ambient) 数据平面模式中的节点代理组件。
 Ztunnel 在每个节点上运行，使用 [HBONE](/zh/docs/reference/glossary/#hbone) 协议安全地传输流量。
+
+更多细节请参阅 [Ambient 数据平面文档](/zh/docs/ambient/architecture/data-plane/)。