_CORE
Služby
AI & agentní systémy Podnikové informační systémy Cloud & Platform Engineering Datová platforma & integrace Bezpečnost & compliance QA, testování & observabilita IoT, automatizace & robotika Mobilní & digitální produkty
Odvětví
Bankovnictví & finance Pojišťovnictví Veřejná správa Obrana & bezpečnost Zdravotnictví Energetika & utility Telco & média Průmysl & výroba Logistika & e-commerce Retail & věrnostní programy
Reference Technologie
Lab
Blog Know-how Nástroje
O nás Spolupráce Kariéra
CS EN DE
Pojďme to probrat

Istio tutorial

12. 02. 2025 Aktualizováno: 27. 03. 2026 2 min čtení advanced

Istio je nejrozšířenější service mesh pro Kubernetes. Vkládá sidecar proxy (Envoy) ke každému podu a tím přebírá kontrolu nad veškerou síťovou komunikací mezi službami. Získáte tak mTLS šifrování, pokročilé traffic management (canary, circuit breaker, retry), detailní observability a bezpečnostní politiky — to vše bez změny aplikačního kódu. Pro enterprise prostředí s desítkami mikroslužeb je to zásadní infrastrukturní vrstva.

Instalace

curl -L https://istio.io/downloadIstio | sh -
istioctl install --set profile=demo
kubectl label namespace default istio-injection=enabled

Po povolení injection Istio automaticky přidá Envoy sidecar kontejner ke každému novému podu v namespace. Profil demo je vhodný pro testování, pro produkci použijte profil default nebo custom s optimalizovanými resource limity.

Traffic management

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
spec:
  hosts: [myapp]
  http:
  - route:
    - destination: { host: myapp, subset: v2 }
      weight: 20
    - destination: { host: myapp, subset: v1 }
      weight: 80

Canary deployment na úrovni service mesh — 20 % provozu jde na novou verzi, 80 % na stávající. Istio podporuje routing podle HTTP headers, cookies nebo query parametrů, což umožňuje směrovat specifické uživatele nebo testovací provoz na novou verzi. Circuit breaker chrání služby před kaskádovými selháními a automatické retry zvyšují resilience.

mTLS

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
spec:
  mtls: { mode: STRICT }

Mutual TLS šifruje veškerou komunikaci mezi pody a zároveň autentizuje obě strany. V STRICT módu je nešifrovaná komunikace odmítnuta. Istio automaticky rotuje certifikáty a spravuje celý PKI lifecycle bez zásahu administrátora.

Observability

  • Kiali — vizuální dashboard zobrazující topologii služeb a health
  • Jaeger — distribuovaný tracing pro sledování requestů napříč službami
  • Grafana — metriky latence, error rate a throughput per služba
istioctl dashboard kiali

Istio pro enterprise

Začněte s traffic management a mTLS — to přinese největší hodnotu. Observability přidávejte postupně. Istio má vyšší resource overhead (sidecar per pod), proto vyhodnoťte i lehčí alternativy jako Linkerd pro jednodušší prostředí.

istioservice meshkubernetes
Sdílet:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Další know-how

Service Mesh vysvětlení

Sidecar proxy, traffic management, observability a security.

Istio — service mesh pro Kubernetes mikroslužby

Istio přináší mutual TLS, traffic management a observability do Kubernetes bez změny aplikačního kódu.

Secrets Management — HashiCorp Vault, SOPS a správa tajemství

Kompletní průvodce secrets managementem v roce 2026. HashiCorp Vault, Mozilla SOPS, External Secrets Operator,...

Zero Trust mikrosegmentace — identita jako nový perimetr

Mikrosegmentace v zero trust architektuře. Service mesh identity, mTLS, SPIFFE/SPIRE a policy-based access control...