Я не совсем понимаю, где находится обычный сервис k8s и коляска istio.
Недавно я узнал об istio и его "sidecar / envoy / proxy" внутри модуля. И я с уверенностью могу сказать, что коляска istio находится внутри капсулы. Но где находится обычная служба k8s и с кем связываются в первую очередь из приложения, службы или прокси / сопроводительного файла?
Диаграмма в моей голове выглядит примерно так: 
Services - это внутренние абстрактные объекты REST, такие как loadbalancer, clusterip, nodeport и т. д. Их определение хранится на сервере Kubernetes API (etcd).
Сервисы обычно реализуются Kube-proxy, а также назначаются конечным точкам путем сопоставления селекторов и меток.
На каждом узле запущен экземпляр kube-proxy, которым управляет etcd. Сервисы большую часть времени хранятся в виде наборов правил в iptables.
Сервисы Istio, которые используются в сервисной сетке, расположены в плоскости управления Istio и могут использоваться как шлюзы, исходящие, входящие, виртуальные сервисы и т. Д.
В состав плоскости управления istio также входят: Citadel: для управления ключами и сертификатами Pilot: для распространения политик аутентификации и защиты информации об именах на прокси-серверы Mixer: для управления авторизацией и аудитом
Как вы упомянули, прокси-серверы sidecar (прокси-сервер посланника) вводятся в модули рядом с контейнером приложения.
Вот график из документации istio. 
Сервисы K8s - это правила iptable. Вы можете получить их, подключив ssh к узлу и запустив:
sudo iptables-save | grep YOUR_SERVICE_NAME
Контейнер Istio sidecar - это Envoy прокси. Я не знаю, что вы хотите с этим делать, но вы можете:
Envoy прокси-контейнеру:kubectl exec -it YOUR_POD_NAME -c istio-proxy sh
kubectl logs YOUR_POD_NAME -c istio-proxy
и т. д. и т. д.
