[zh] Sync install/external-controlplane/ (#16699)

Signed-off-by: windsonsea <[email protected]>

Author: windsonsea

content/zh/docs/setup/install/external-controlplane/external-controlplane.svg

@@ -1,21 +1,20 @@
 ---
 title: 使用外部控制平面安装 Istio
-description: 安装外部控制平面和从集群。
-weight: 80
+description: 使用外部控制平面和从集群数据平面安装 Istio。
+weight: 50
 aliases:
     - /zh/docs/setup/additional-setup/external-controlplane/
     - /latest/zh/docs/setup/additional-setup/external-controlplane/
 keywords: [external,control,istiod,remote]
 owner: istio/wg-environments-maintainers
-test: no
+test: yes
 ---
 
 本指南将引导您完成安装{{< gloss "external control plane">}}外部控制平面{{< /gloss >}}，
-然后将一个或多个{{< gloss "remote cluster" >}}从集群{{< /gloss >}}连接到该平面的过程。
-
+然后将一个或多个{{< gloss "remote cluster" >}}从集群{{< /gloss >}}连接到这个外部控制平面。
 外部控制平面[部署模型](/zh/docs/ops/deployment/deployment-models/#control-plane-models)
-允许网格操作员在与组成网格的数据平面集群（或多个集群）分开的外部集群上安装和管理控制平面。
-这种部署模型可以将网状网络运营商和网状网络管理员明确区分。网格操作员可以安装和管理 Istio 控制平面，
+允许网格运维人员在与组成网格的数据平面集群（或多个集群）分开的外部集群上安装和管理控制平面。
+这种部署模型可以确保网格运维人员和网格管理员有明确的分工。网格运维人员可以安装和管理 Istio 控制平面，
 而网格管理员只需配置网格即可。
 
 {{< image width="75%"
@@ -26,10 +25,10 @@ test: no
 在从集群中运行的 Envoy 代理（Sidecar 和 Gateway）通过 Ingress Gateway
 访问外部 Istiod，向外暴露了需要被发现，CA，注入和验证的端点。
 
-虽然外部控制平面的配置和管理是由外部集群中的网格操作员完成的，
-但连接到外部控制平面的第一个从集群充当了网格本身的配置集群。除了网状服务本身之外，
-网格管理员还将使用配置集群来配置网状资源（Gateway、虚拟服务等）。外部控制平面将从
-Kubernetes API Server 远程访问此配置，如上图所示。
+虽然外部控制平面的配置和管理是由外部集群中的网格运维人员完成的，
+但连接到外部控制平面的第一个从集群充当了网格本身的配置集群。除了网格服务本身之外，
+网格管理员还将使用配置集群来配置网格资源（Gateway、虚拟服务等）。外部控制平面将从
+Kubernetes API 服务器远程访问此配置，如上图所示。
 
 ## 准备开始  {#before-you-begin}
 
@@ -38,19 +37,20 @@ Kubernetes API Server 远程访问此配置，如上图所示。
 本指南要求您有任意两个[受支持版本的 Kubernetes](/zh/docs/releases/supported-releases#support-status-of-istio-releases)
 集群：{{< supported_kubernetes_versions >}}。
 
-第一个集群将托管安装在 `external-istiod` 命名空间中的{{< gloss "external control plane">}}外部控制平面{{< /gloss >}}。
+第一个集群将托管安装在 `external-istiod`
+命名空间中的{{< gloss "external control plane">}}外部控制平面{{< /gloss >}}。
 Ingress Gateway 也安装在 `istio-system` 命名空间中，以提供对外部控制平面的跨集群访问。
 
-第二个集群是将运行网格应用程序工作负载的{{< gloss "remote cluster">}}从集群{{< /gloss >}}。
-它的 Kubernetes API Server 还提供了外部控制平面（Istiod）用来配置工作负载代理的网状配置。
+第二个集群是将运行网格应用工作负载的{{< gloss "remote cluster">}}从集群{{< /gloss >}}。
+它的 Kubernetes API 服务器还提供了外部控制平面（Istiod）用来配置工作负载代理的网格配置。
 
-### API Server 访问  {#API-server-access}
+### API 服务器访问  {#api-server-access}
 
-外部控制平面集群必须可以访问从集群中的 Kubernetes API Server。
-许多云提供商通过网络负载均衡器（NLB）公开访问 API Server。
-如果无法直接访问 API Server，则需要修改安装过程以启用访问权限。
+外部控制平面集群必须可以访问从集群中的 Kubernetes API 服务器。
+许多云提供商通过网络负载均衡器（NLB）公开访问 API 服务器。
+如果无法直接访问 API 服务器，则需要修改安装过程以启用访问权限。
 例如，在[多集群配置](#adding-clusters)中使用的[东西向](https://en.wikipedia.org/wiki/East-west_traffic)
-Gateway 也可以用于启用对 API Server 的访问。
+Gateway 也可以用于启用对 API 服务器的访问。
 
 ### 环境变量  {#environment-variables}
 
@@ -74,9 +74,9 @@ $ export REMOTE_CLUSTER_NAME=<您的从集群名称>
 
 ## 集群配置  {#cluster-configuration}
 
-### 网格操作步骤  {#mesh-operator-steps}
+### 网格运维人员步骤  {#mesh-operator-steps}
 
-网格操作员负责在外部集群上安装和管理外部 Istio 控制平面。
+网格运维人员负责在外部集群上安装和管理外部 Istio 控制平面。
 这包括在外部集群上配置 Ingress Gateway，允许从集群访问控制平面，并在从集群上安装所需的
 Webhook、ConfigMap 和 Secret，以便使用外部控制平面。
 
@@ -135,8 +135,8 @@ Webhook、ConfigMap 和 Secret，以便使用外部控制平面。
 
 1. 使用带有 TLS 的公共主机名配置您的环境来暴露 Istio Ingress Gateway 服务。
 
-   将 `EXTERNAL_ISTIOD_ADDR` 环境变量设置为主机名，将 `SSL_SECRET_NAME`
-   环境变量设置为包含 TLS 证书的 Secret：
+    将 `EXTERNAL_ISTIOD_ADDR` 环境变量设置为主机名，将 `SSL_SECRET_NAME`
+    环境变量设置为包含 TLS 证书的 Secret：
 
     {{< text syntax=bash snip_id=none >}}
     $ export EXTERNAL_ISTIOD_ADDR=<您的外部 istiod 主机>
@@ -165,7 +165,7 @@ Webhook、ConfigMap 和 Secret，以便使用外部控制平面。
     这样做还需要对配置进行一些其他更改。请务必按照以下说明中的所有相关步骤进行操作。
     {{< /tip >}}
 
-#### 设置从集群  {#set-up-the-remote-cluster}
+#### 设置从配置集群  {#set-up-the-remote-config-cluster}
 
 1. 使用 `remote` 配置文件配置从集群上安装的 Istio。这将安装一个使用外部控制平面注入器的注入 Webhook，
    而不是本地部署的注入器。因为这个集群也将作为配置集群，所以安装从集群上所需的 Istio CRD 和其他资源时将
@@ -193,7 +193,7 @@ Webhook、ConfigMap 和 Secret，以便使用外部控制平面。
     {{< /text >}}
 
     {{< tip >}}
-    如果您的集群名称包含`/`（斜杠）字符，请在 `injectionURL` 中将其替换为 `--slash--`，
+    如果您的集群名称包含 `/`（斜杠）字符，请在 `injectionURL` 中将其替换为 `--slash--`，
     例如 `injectionURL: https://1.2.3.4:15017/inject/cluster/`<mark>`cluster--slash--1`</mark>`/net/network1`。
     {{< /tip >}}
 
@@ -268,7 +268,7 @@ Webhook、ConfigMap 和 Secret，以便使用外部控制平面。
 1. 创建 Istio 配置以在外部集群的 `external-istiod` 命名空间中安装控制平面。
     请注意，istiod 配置为使用本地安装的 `istio` ConfigMap，并且 `SHARED_MESH_CONFIG`
     环境变量设置为 `istio`。这指示 istiod 将网格管理员在配置集群的 ConfigMap
-    中设置的值与网格操作员在本地 ConfigMap 中设置的值合并，如果有任何冲突，这将优先考虑：
+    中设置的值与网格运维人员在本地 ConfigMap 中设置的值合并，如果有任何冲突，这将优先考虑：
 
     {{< text syntax=bash snip_id=get_external_istiod_iop >}}
     $ cat <<EOF > external-istiod.yaml
@@ -326,11 +326,15 @@ Webhook、ConfigMap 和 Secret，以便使用外部控制平面。
               value: istio
       values:
         global:
+          externalIstiod: true
           caAddress: $EXTERNAL_ISTIOD_ADDR:15012
           istioNamespace: external-istiod
           operatorManageWebhooks: true
           configValidation: false
           meshID: mesh1
+          multiCluster:
+            clusterName: ${REMOTE_CLUSTER_NAME}
+          network: network1
     EOF
     {{< /text >}}
 
@@ -468,7 +472,7 @@ Webhook、ConfigMap 和 Secret，以便使用外部控制平面。
     $ kubectl apply -f external-istiod-gw.yaml --context="${CTX_EXTERNAL_CLUSTER}"
     {{< /text >}}
 
-### 网格管理步骤  {#mesh-admin-steps}
+### 网格管理员步骤  {#mesh-admin-steps}
 
 现在 Istio 已启动并运行，网格管理员只需在网格中部署和配置服务，包括 Gateway（如果需要）。
 
@@ -611,7 +615,7 @@ $ helm install istio-egressgateway istio/gateway -n external-istiod --kube-conte
 
 {{< tabset category-name="config-api" >}}
 
-{{< tab name="Istio APIs" category-value="istio-apis" >}}
+{{< tab name="Istio API" category-value="istio-apis" >}}
 
 确认 Istio Ingress Gateway 正在运行：
 
@@ -641,7 +645,7 @@ $ kubectl get crd gateways.gateway.networking.k8s.io --context="${CTX_REMOTE_CLU
 
 {{< tabset category-name="config-api" >}}
 
-{{< tab name="Istio APIs" category-value="istio-apis" >}}
+{{< tab name="Istio API" category-value="istio-apis" >}}
 
 {{< text bash >}}
 $ kubectl apply -f @samples/helloworld/helloworld-gateway.yaml@ -n sample --context="${CTX_REMOTE_CLUSTER}"
@@ -663,7 +667,7 @@ $ kubectl apply -f @samples/helloworld/gateway-api/helloworld-gateway.yaml@ -n s
 
 {{< tabset category-name="config-api" >}}
 
-{{< tab name="Istio APIs" category-value="istio-apis" >}}
+{{< tab name="Istio API" category-value="istio-apis" >}}
 
 {{< text bash >}}
 $ export INGRESS_HOST=$(kubectl -n external-istiod --context="${CTX_REMOTE_CLUSTER}" get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
@@ -695,11 +699,12 @@ $ export GATEWAY_URL=$INGRESS_HOST:80
 ## 将集群添加到网格（可选） {#adding-clusters}
 
 本节介绍如何通过添加另一个从集群将现有的外部控制平面网格扩展到多集群。
-这使您可以轻松分发服务并使用[位置感知路由和故障转移](/zh/docs/tasks/traffic-management/locality-load-balancing/)，以支持应用程序的高可用性。
+这使您可以轻松分发服务并使用[位置感知路由和故障转移](/zh/docs/tasks/traffic-management/locality-load-balancing/)，
+以支持应用的高可用性。
 
 {{< image width="75%"
     link="external-multicluster.svg"
-    caption="多从集群的外部控制平面"
+    caption="外部控制平面带多个从集群"
     >}}
 
 与第一个从集群不同，添加到同一外部控制平面的第二个以及后续集群不提供网格配置，而仅提供端点配置的来源，
@@ -733,7 +738,8 @@ $ export SECOND_CLUSTER_NAME=<您的第二个从集群名称>
     EOF
     {{< /text >}}
 
-1. 如果您使用的是 `EXTERNAL_ISTIOD_ADDR` 的 IP 地址，而不是合适的 DNS 主机名，请修改配置以指定发现地址和路径，而不是注入 URL：
+1. 如果您使用的是 `EXTERNAL_ISTIOD_ADDR` 的 IP 地址，而不是合适的 DNS
+   主机名，请修改配置以指定发现地址和路径，而不是注入 URL：
 
     {{< warning >}}
     在生产环境中不推荐这样做。