[zh] Sync Ambient multicluster blog into Chinese (#16785)

* Sync Ambient multicluster blog into Chinese * Update content/zh/blog/2025/ambient-multicluster/index.md Co-authored-by: my-git9 <xin.li@daocloud.io> --------- Co-authored-by: my-git9 <xin.li@daocloud.io>
2025-08-25 19:40:20 +08:00 · 2025-08-25 19:40:20 +08:00 · c8e627168d
parent 46778aed74
commit c8e627168d
2 changed files with 100 additions and 0 deletions
--- a/content/zh/blog/2025/ambient-multicluster/index.md
+++ b/content/zh/blog/2025/ambient-multicluster/index.md
@ -0,0 +1,100 @@
 ---
 title: Ambient 模式的多集群支持介绍（Alpha 版）
 description: Istio 1.27 增加了 Alpha 版 Ambient 多集群支持，扩展了熟知的 Ambient 轻量级模块化架构，以提供跨集群的安全连接、发现和负载均衡。
 date: 2025-08-04
 attribution: Jackie Maertens (Microsoft), Keith Mattix (Microsoft), Mikhail Krinkin (Microsoft), Steven Jin (Microsoft); Translated by Wilson Wu (DaoCloud)
 keywords: [ambient,multicluster]
 ---
 多集群一直是 Ambient 模式中呼声最高的功能之一，从 Istio 1.27 开始，
 它已进入 Alpha 阶段！我们力求在保留 Ambient 用户喜爱的模块化设计的同时，
 充分利用多集群架构的优势，避免其复杂性。此版本带来了多集群网格的核心功能，
 并为即将发布的版本中更丰富的功能奠定了基础。
 ## 多集群的强大功能和复杂性 {#the-power---complexity-of-multicluster}
 多集群架构可以提高故障恢复能力，缩小影响范围，并实现跨数据中心的扩展。
 然而，集成多个集群会带来连接性、安全性和运维方面的挑战。
 在单个 Kubernetes 集群中，每个 Pod 都可以通过唯一的 Pod IP 或服务 VIP 直接连接到另一个 Pod。
 但在多集群架构中，这些保证就失效了；不同集群的 IP 地址空间可能会重叠，
 即使没有重叠，底层基础架构也需要进行配置以路由跨集群流量。
 跨集群连接也带来了安全挑战。Pod 之间的流量会超出集群边界，
 Pod 也会接受来自集群外部的连接。如果没有集群边缘的身份验证和强加密，
 外部攻击者可能会利用易受攻击的 Pod 或拦截未加密的流量。
 多集群解决方案必须安全地连接集群，并通过简单的声明性 API 来实现，
 这些 API 可以跟上频繁添加和删除集群的动态环境。
 ## 关键组件 {#key-components}
 Ambient 多集群是基于 Ambient 的扩展，新增了组件并精简了 API，
 以便使用 Ambient 的轻量级模块化架构安全地连接集群。
 它基于{{< gloss "namespace sameness" >}}命名空间相同性{{< /gloss >}}模型构建，
 因此服务可以在不同集群之间保留其现有的 DNS 名称，让您无需更改应用代码即可控制跨集群通信。
 ### 东西向网关 {#east-west-gateways}
 每个集群都有一个东西向网关，该网关具有全局可路由的 IP 地址，
 作为跨集群通信的入口点。ztunnel 连接到远程集群的东西向网关，
 并通过其命名空间名称识别目标服务。然后，东西向网关将连接负载均衡到本地 Pod。
 使用东西向网关的可路由 IP 地址无需进行集群间路由配置，
 而使用命名空间名称而非 IP 地址寻址 Pod 则消除了 IP 空间重叠的问题。
 这些设计选择共同实现了跨集群连接，即使在添加或删除集群时也无需更改集群网络或重启工作负载。
 ### 双倍 HBONE {#double-hbone}
 Ambient 多集群使用嵌套的 [HBONE](/zh/docs/ambient/architecture/hbone)
 连接来高效地保护穿越集群边界的流量。外部 HBONE 连接会加密发往东西向网关的流量，
 并允许源 ztunnel 和东西向网关相互验证身份。
 内部 HBONE 连接则对流量进行端到端加密，
 从而允许源 ztunnel 和目标 ztunnel 相互验证身份。
 同时，HBONE 层允许 ztunnel 有效地重用跨集群连接，最大限度地减少 TLS 握手。
 {{< image link="./mc-ambient-traffic-flow.png" caption="Istio Ambient 多集群流量" >}}
 ### 服务发现和范围 {#service-discovery-and-scope}
 将服务标记为全局服务可以实现跨集群通信。Istiod 配置东西向网关以接受全局服务流量并将其路由到本地 Pod，
 并编程 ztunnel 以将全局服务流量负载均衡到远程集群。
 网格管理员通过 `ServiceScope` API 为全局服务定义基于标签的标准，
 应用开发者则相应地标记他们的服务。默认的 `ServiceScope` 是：
 {{< text yaml >}}
 serviceScopeConfigs:
  - servicesSelector:
      matchExpressions:
        - key: istio.io/global
          operator: In
          values: ["true"]
    scope: GLOBAL
 {{< /text >}}
 这意味着任何带有 `istio.io/global=true` 标签的服务都是全局的。虽然默认值很简单，
 但 `ServiceScope` API 可以使用 AND 和 OR 的组合来表达复杂的条件。
 默认情况下，ztunnel 会在所有端点（甚至远程端点）之间均匀地进行流量负载均衡，
 但可以通过服务的 `trafficDistribution` 字段进行配置，
 仅在没有本地端点时才跨越集群边界。因此，用户可以控制流量是否以及何时跨越集群边界，
 而无需更改应用程序代码。
 ## 局限性和路线图 {#limitations-and-roadmap}
 尽管当前的 Ambient 多集群实现已具备多集群解决方案的基础功能，
 但仍有大量工作要做。我们希望改进以下领域：
 * 所有集群的服务和 waypoint 配置必须统一。
 * 不支持跨集群 L7 故障转移（L7 策略应用于目标集群）。
 * 不支持直接 Pod 寻址或无头服务。
 * 仅支持多主部署模型。
 * 仅支持每集群单网络部署模型。
 我们还希望改进我们的参考文档、指南、测试和性能。
 如果您想尝试 Ambient 多集群，请遵循[本指南](/zh/docs/ambient/install/multicluster)。
 请注意，此功能目前处于 Alpha 测试阶段，尚未准备好投入生产使用。
 我们欢迎您提交错误报告、想法、评论和用例——您可以通过
 [GitHub](https://github.com/istio/istio) 或
 [Slack](https://istio.slack.com/) 联系我们。
--- a/content/zh/blog/2025/ambient-multicluster/mc-ambient-traffic-flow.png
+++ b/content/zh/blog/2025/ambient-multicluster/mc-ambient-traffic-flow.png