到相同的POD内，第一个连接目标为9080，第二个连接目标为8080。由于目标服务端口不同，通过五元 组规则可知，src-ip:src-port可以相同。而由于目标POD内流量被自动DNAT拦截入15006端口，此时目标 dst-ip:dst-port被临时替换为envoy-ip:15006，此时将无法区分两个连接的流量。因此当第一个连接建立成 功后，第二个连接的SYNC包将被当作重复包丢弃，导致第二个连接建立失败。 解决

#5 广州站感谢 • 蚂蚁金服 • ServiceMesher 社区 • Istio贡献者们关于我自己 • HPE（前惠普）软件分析师 • 从业第二十个年头，中老年乙方技术人员 • Istio、Kubernetes项目成员 • Istio.io全球贡献第二 • Kubernetes权威指南系列作者之一 • 自动化、马拉松爱好者今天要讲的东西 • Istio 不能做什么 • Istio 能做什么 •

朱经惠，ETC车宝平台工程师。 • 喜欢开源，个人开源项目”Jaeger PHP Client”。 • 喜欢研究源码，对NSQ，Jaeger，Istio（控制平面）等go语言开源项目进行 过研究。 • 除了代码还喜欢爬山和第二天睡醒后全身酸疼的感觉。目录Pilot-Agent——管理生命周期（PA） u启动envoy u热重启envoy u监控envoy u优雅关闭envoy启动envoy ü监听/etc/certs目录