Service-Mesh

译者序转移，用 专人专事** 来应答复杂度，以晋升效率 在做技术选型的时候，简略性 （管制复杂度）也是咱们的一个重要考量，不能因为要解决一个问题而引入了更多问题最近看到一篇文章，笔者深认为然：复杂度只能无限隐没和转移，不可能齐全（甚至是大部分）隐没，所以咱们做软件架构往往谋求的是 **注释服务网格是一项热门技术，有时甚至被吹捧为微服务胜利的必要条件。然而，像许多形象一样，服务网格能够节俭施行工夫，但不能节俭学习工夫。事实上，许多小平台团队都因为服务网格所减少的复杂性而感到不堪重负，尤其是在部署实现后的运维工作中。 天然地，人们会问：额定的复杂性是否真的超过了收益? 在这篇文章中，咱们提出了一些在采纳服务网格之前值得思考的代替计划。 服务网格最受欢迎的劣势有: 认证;Ingress 加密;集群内网络加密;通信隔离。对于每一个劣势，咱们都将展现相应的代替计划。在咱们的教训中，这些计划更靠近系统管理员曾经相熟的计划。对于不足专业知识或平台工程的团队来说，这些计划可能更具吸引力。 在某些状况下，你会须要服务网格，例如，当你须要让多个kubernetes 集群之间的 Pod 到 Pod 的通信更加平安巩固之时。通过排除不满足你需要的解决方案，你将进一步压服本人为什么一开始会抉择服务网格。 劣势 1：应用 OAuth2 代理进行认证许多利用团队须要在其微服务后面增加一个认证层。举个例子，齐全实现 OAuth2 或 OpenID 波及许多简单的工作，利用团队更心愿“某些组件”间接向其应用程序提供具备正确申明的 JWT token，以便他们能专一于利用特定的访问控制，而不是编写许多通用的、非业务差异化的样板代码。 咱们以前在博客中介绍了如何将 Istio 与 OAuth2 代理集成来达到这个目标。然而，如果这是你想通过 Istio 实现的惟一目标，那么采纳它则有点过犹不及。 代替计划：Nginx Ingress Controller这是一个我认为更简略的解决方案，特地是对曾经习惯于 Nginx 的团队来说。如果你仅仅须要传统的 oauth2 代理，Nginx Ingress Controller 曾经可能和它进行集成了。你只需应用 auth-url 注解，Controller 会实现其余的工作。下图阐明了此计划的原理： 我认为这个解决方案更简略的起因是，它实际上只影响流量如何进入你的 Kubernetes 集群。Pod 到 Pod 的通信工作形式与以前雷同。 作为额定的益处，如果你相熟 Nginx 然而放心 Ingress Controller 带来的自动化（译注：你放心配置文件不可控），你能够间接查看 Nginx 是如何配置的，输出下方命令即可: kubectl exec -ti \-n ingress-nginx \$(kubectl get pod \-n ingress-nginx \-l app.kubernetes.io/component=controller \-o name \| head -1 \) \-- \cat /etc/nginx/nginx.conf默认状况下，你的应用程序不能取得 JWT token。要确保你的应用程序获取细粒度的访问控制所需的申明，你必须做到两点:• 给 Oauth2 代理增加 --set-authorization-header 命令行选项：这能够确保 Oauth2 代理生成 HTTP 认证 header。• 给你的 Ingress 增加以下注解: nginx.ingress.kubernetes.io/auth-response-headers: “authorization”。这确保了 Nginx Ingress Controller 会将 Oauth2 代理增加的 HTTP A认证 header 转发到你的应用程序。 ...

作者@lingsamuel，API7.ai 云原生技术专家，Apache APISIX Committer。 作者@林志煌，API7.ai 技术工程师，Apache APISIX contributor。 服务网格是一种技术架构，它用于治理微服务零碎中各个服务之间的通信，旨在解决微服务间的流量（也称为东西向流量）。 在云原生利用中，一个利用的背地可能存在着成千盈百个服务，各个服务可能又有着若干个实例，各个实例的状态也始终在变动。在如此简单的服务运行环境中，如何保障用户的牢靠拜访以及维持业务的安稳运行成为一个很大的挑战，服务网格的治理计划便应运而生。 服务网格就像是微服务间的 TCP/IP，负责服务间的网络调用、限流限速、监控等。服务网格目前次要利用在 Kubernetes 平台上，其最经典的一种实现模式是 Sidecar 模式：将一些通用性能形象到 Sidecar 容器中，并将 Sidecar 容器与服务容器挂载在同一个 Pod 里。因为 Sidecar 容器与服务容器并行，且各个 Sidecar 间互相通信，独特形成了网格模式的网络，因而称之为服务网格。当然，Sidecar 并非惟一的一种服务网格实现模式，除此之外还有 DaemonSet 模式及 Ambient mesh 模式。 为什么须要服务网格？在服务网格风行之前，很多微服务架构的服务治理都是通过微服务框架配合管制平台实现的，这种形式存在以下几个问题： 框架与业务耦合，整体复杂度与运维难度很高，且开发者须要对公共库有肯定的理解，没法只专一于业务实现。须要保护多种语言版本的框架，减少了保护的老本。微服务框架自身的降级老本比拟高，在降级时往往须要进行业务重启等操作。线上存在很多版本的框架，会导致简单的兼容性思考。面对以上这些问题，原 Twitter 工程师 Willian Morgan 提出了 Service Mesh 的概念，即服务网格。服务网格通过 Sidecar 模式实现在不侵入业务服务的状况下将基础设施与业务逻辑解耦，实现跨语言对立更新公布及运维。 服务网格将流量治理、可观测性和平安通信等性能下沉到根底组件，因而开发者无需关怀通信层和服务治理的具体实现，与通信相干的所有工作间接交给服务网格，让开发者可能更关注于业务的开发。基于服务网格的这些特点，后面提到的几个问题都可能失去无效解决。 服务网格是如何工作的？服务网格不会为利用的运行时环境退出新性能，任何架构中的利用还是须要相应的规定来指定申请如何从 A 点达到 B 点。但服务网格的不同之处在于，它从各个服务中提取逻辑治理的服务间通信，并将其形象为一个基础架构层。 目前服务网格大多数采纳是数据面 + 管制面的架构模式，如下图所示： 其中管制面用于治理和配置数据面以及在运行时执行策略。单个网格中管制立体的所有实例共享雷同的配置资源。次要聚焦于平安、可观测性、流量管控等策略的解决和下发，同时还可能收集和集中数据立体的遥测数据，供运维人员应用。 而数据面通常以代理的模式实现，是由一个个的网络代理 Sidecar 组成，Sidecar 与业务利用实例并行，通过拦挡业务数据流以管控业务利用的流量。 在后面的介绍中有提到服务网格是将 Sidecar 设计模式在 Kubernetes 进行实现，通过容器化的形式实现了封装，Sidecar 主张以额定的容器来扩大或加强主容器，这个额定的容器被称为 Sidecar 容器，它与业务容器在同一个 Pod 中。而服务网格即是一个个 Sidecar 代理所形成的网格局网络。 ...

一、引言继 2019 年的 《蚂蚁团体 Service Mesh 落地实际与挑战》之后，蚂蚁团体在 Service Mesh 方向曾经持续摸索演进近 3 年，这 3 年里有哪些新的变动，以及对将来的思考是什么，值此 SOFAStack 开源 4 周年之际，欢送大家一起进入《蚂蚁团体 Service Mesh 停顿回顾与瞻望》章节探讨交换。 本次交换将以如下秩序开展： 二、蚂蚁团体 Service Mesh 发展史 2018 年 3 月份蚂蚁团体的 Service Mesh 起步，MOSN 数据面诞生，起步就保持走外围开源，外部能力走扩大的路线。2019 年 6.18 咱们在三大合并部署利用上接入了 MOSN 并且顺利撑持了 6.18 大促。2019 年双 11 蚂蚁所有大促利用安稳的度过双大促。2020 年 MOSN 对内沉稳倒退把接入利用覆盖率晋升至 90%，对外商业化开始展露头角。蚂蚁团体全站 90% 规范利用实现 Mesh 化接入。在商业版本中，SOFAStack“双模微服务”架构也在江西农信、中信银行等泛滥大型金融机构胜利落地实际。2021 年随着 Mesh 化的逐渐成熟，多语言场景的逐渐丰盛，Mesh 化的对中间件协定的间接撑持带来的扩展性问题也逐渐凸显，Dapr 的利用运行时概念也逐渐崛起，这一年咱们开源了 Layotto，冀望通过对利用运行时 API 的对立来解决利用和后端中间件具体实现耦合的问题，进一步解耦利用和基础设施，解决利用在多云运行时的厂商绑定问题。2022 年随着 Mesh 化落地的基础设施能力逐步完善，咱们开始思考 Mesh 化如果给业务带来更多价值，在 Mesh 1.0 时代，咱们把中间件相干的能力尽可能做了下沉，晋升了基础设施的迭代效率，在 Mesh 2.0 时代，咱们冀望能有一种机制能够让业务侧绝对通用的能力，也能够做到按需下沉，并且具备肯定的隔离性，防止下沉的能力影响 Mesh 数据代理主链路。这部分将在看将来局部做一些介绍。图示的形式简诉一下 Service Mesh 架构演进的几个阶段： ...

一、导读网易数帆轻舟微服务团队很早就开始应用 Istio 做服务网格。在实际过程中，咱们开发了很多 Istio 周边模块，不便了本身及网易团体外部客户应用 Istio。为了回馈社区，咱们零碎整顿了这些模块，并抉择了一部分，在2021年初开源出 Slime 我的项目。 Slime 我的项目旨在解决 Istio 应用上的痛点，不便用户应用 Istio 的高级性能，并始终保持能够无缝对接 Istio，无需任何的定制化革新的准则，极大升高了应用门槛。 这一年多来，Slime 在架构、性能、工程方面做了很多变动和尝试，失去了很大晋升，并且在2021年12月受邀退出 Istio 生态，正式成为 Istio Ecosystem - integrations 的成员。 明天，本文将会介绍 Slime 现阶段的次要能力，以懒加载和智能限流模块为主，并展望未来倒退，心愿能让更多的 ServiceMesher 理解 Slime，参加 Slime，一起更轻松地应用服务网格。 二、懒加载2.1 背景Istio 的全量推送性能问题，是所有 Istio 使用者都要面对的问题。 家喻户晓，晚期 Istio 的配置下发十分毛糙，间接全量推送。这意味着，随着服务网格中业务规模的不断扩大，管制面须要下发的内容越来越多，数据面须要接管的内容也一直增长，这必然带来性能问题。集群中往往有多个业务零碎。一个业务零碎的利用感知所有业务零碎的配置，这意味着推送大量冗余配置，也是不合理的。如下图左侧所示，A 只和 B 有关系，却被推送了 C 和 D 的配置。 另一个问题是，推送的频率会很高。当一个服务发生变化，管制面要告诉数据面所有SidecarProxy。 于是，Istio 1.1版本提供了解决方案 - Sidecar CRD （本文会称之为 SidecarScope，以和 Envoy 实现的 SidecarProxy 做辨别）。用户能够在 SidecarScope 中形容 SidecarProxy 须要关怀的服务信息，借此屏蔽无关的服务配置下发。后果如上图右侧所示，服务配置了 SidecarScope 后，收到的配置精简了，不再蕴含无关的配置。同时，不相干服务的配置变动也不会再告诉，缩小了推送频率。 一个典型的 SidecarScope 样例如下，样例示意容许匹配的 SidecarProxy 感知 Namespace prod1 和 istio-system 中的所有服务以及 Namespace prod2 中 ratings 服务配置信息。 ...

前言Envoy 是一款面向 Service Mesh 的高性能网络代理服务。它与应用程序并行运行，通过以平台无关的形式提供通用性能来形象网络。当基础架构中的所有服务流量都通过 Envoy 网格时，通过统一的可观测性，很容易地查看问题区域，调整整体性能。 Envoy也是istio的外围组件之一，以 sidecar 的形式与服务运行在一起，对服务的流量进行拦挡转发，具备路由，流量管制等等弱小个性。本系列文章，咱们将不局限于istio，envoy的官网文档，从源码级别切入，分享Envoy启动、流量劫持、http 申请解决流程的进阶利用实例，深度剖析Envoy架构。 本篇是Envoy申请流程源码解析的第二篇,次要分享Envoy的outbound方向上篇，蕴含启动监听和建设连贯。注：本文中所探讨的issue和pr基于21年12月。 envoy当中基于libevent进行封装了各种文件，定时器事件等操作，以及dispatch对象的散发，和提早析构，worker启动，worker listener绑定等局部不在这里作解读，后续有空能够独自再进行剖析。跳过envoy当中的事件循环模型，这里以申请触发开始。 outbound方向filter解析 启动监听通过xDS或者动态配置，取得Envoy代理的监听器信息如果监听器bind_to_port，则间接调用libevent的接口，绑定监听，回调函数设置为ListenerImpl::listenCallback 对于reuseport https://github.com/envoyproxy...https://github.com/envoyproxy...https://lwn.net/Articles/542629/https://tech.flipkart.com/lin... 多个 server socket 监听雷同的端口。每个 server socket 对应一个监听线程。内核 TCP 栈接管到客户端建设连贯申请(SYN)时，按 TCP 4 元组(srcIP,srcPort,destIP,destPort) hash 算法，抉择一个监听线程，唤醒之。新连贯绑定到被唤醒的线程。所以绝对于非SO_REUSEPORT， 连贯更为均匀地散布到线程中（hash 算法不是相对均匀） envoy当中是反对在listener去设置开启这个个性，然而热重启场景时，对内核版本有肯定要求（4.19-rc1） https://www.envoyproxy.io/doc... 验证察看 默认未开启，通过envoyfilter进行开启后，可见15001的端口被开启 须要重启 POD 而对于没有利用reuseport 大抵的均匀 对于相对的链接均衡， 能够试试 Listener 的配置connection_balance_config：exact_balance，不过因为有锁，对高频新连贯应该有肯定的性能损耗。目前只实用于 TCP 监听器 建设连贯DispatcherImpl通过libevent，接管到申请，调用ListenerImpl::listenCallbackclient向envoy发动连贯，envoy的worker接管eventloop的callback， 触发 Envoy::Network::ListenerImpl::listenCallback(port: 15001)15001的useOriginalDst": true,accept_filters_中会带有OriginalDstFilter在OriginalDstFilter.OnAccept中用os_syscalls.getsockopt(fd, SOL_IP, SO_ORIGINAL_DST, &orig_addr, &addr_len)获取在iptables批改之前dst ip iptables与getsockopt 在newconnection当中，还会通过 getBalancedHandlerByAddress寻找到理论的虚构listener ...

服务网格的 2021，“稳” 字当先。不论是原生社区倒退，还是行业实际落地，都以 “稳固” 为第一要义。少了前几年大跃进式的架构演进、性能更迭，多了更求实、更落地的行业摸索与实际，2021 年的服务网格正从当年那个狂奔的“少年”、“流量明星”，成长为真正的“实力派”，逐渐进入成熟期，被更多行业、企业和标准化组织所接收。本文将从社区停顿、实际落地、行业标准、技术生态等角度回顾服务网格的 2021，帮忙读者理解过来一年服务网格的整体停顿，为企业选型、落地服务网格提供一些参考。 社区停顿：稳固求实 2021 年，Istio 社区如约每三个月推出一个版本：1.9，1.10，1.11，1.12。稳固的版本公布周期显示出 Istio 社区倒退进入常态化，也为企业抉择适合的版本提供了便当。总的来说，2021 年 Istio 社区没有公布特地重大的架构调整或者创新能力，更多在接入性、运维性、API 等方面提供更好的原生反对： 1.9 —— 更好用的虚拟机集成（Beta）、申请分类（Beta）、Kubernetes Service API 反对（Alpha）、与内部受权零碎的整合（Experimental）等。其中虚拟机集成连续了 1.8 版本引入智能 DNS （解决跨环境服务名解析问题）后虚拟机接入的体验继续优化，进一步加强服务网格纳管非容器环境的能力。 1.10 —— Kubernetes 资源发现选择器、稳固的修订版标签、Sidecar 网络变动等。其中 Kubernetes 资源发现选择器能够限度 Istiod 从 Kubernetes 接管和解决的配置集，配合 Sidecar CRD/API 资源，进一步优化了 Istiod 到 Envoy 的配置量。 1.11 —— CNI 插件（Beta）、内部管制立体（Beta）、网关注入、对订正和标签部署的更新、反对 Kubernetes 多集群服务（实验性）。其中 CNI 插件 为用户提供了 Kubernetes 环境下代替 istio-init 容器的计划（不须要更高 Kubernetes 权限）；内部管制立体 能够为用户提供部署在管控集群的网格管制面；对订正和标签部署的更新 能够让用户灰度进行 Istio 本身的部署、降级，升高 Istio 本身的运维危险。 1.12 —— WebAssembly API、遥测 API、Kubernetes Gateway API。其中减少了 WasmPlugin 作为 WebAssembly API，改善 Istio 应用 WebAssembly 进行插件扩大的体验。 ...

*Service Mesh* 是下一代的微服务架构根底。蚂蚁团体从 2018 年初就开始了技术摸索并进行了落地试点。目前， Service Mesh 笼罩了蚂蚁数千个利用，实现了外围链路全笼罩。 蚂蚁团体通过 Service Mesh 的大规模落地，向云原生走出了松软的一步，验证了可行性，真切看到了基础设施下沉后无论是对业务还是对基础设施团队都带来了研发和运维效率的晋升，老本的升高。 与此同时，蚂蚁也在踊跃将成熟的技术凋谢给社会，目前已将自研数据面 MOSN 开源，欢送开源爱好者一起共建。 https://github.com/mosn/mosn ｜前言｜微服务架构是当今互联网和金融机构渐趋支流的零碎架构模式，其外围是集成服务通信、服务治理性能的服务框架，微服务框架在继续演进同时，服务网格（Service Mesh）作为一种新型的微服务架构，因架构灵便、普适性强，被认为具备较好发展前景。 中国工商银行（后简称工行）被动摸索服务网格畛域，从 2019 年开始服务网格技术预研工作，通过对服务网格技术深入研究和实际后，于 2021 年建设了服务网格平台。服务网格与现有微服务架构交融倒退，助力工行利用架构向分布式、服务化转型，承载将来开放平台外围银行零碎。 PART. 1 业界服务网格倒退现状自 2016 年服务网格技术诞生以来，业界涌现了诸多的开源产品，如 Istio（Google + IBM + Lyft）、Linkerd（Twitter）、Consul（Hashicorp）等。其中以 Istio 社区活跃度和认可度最高，被作为服务网格的标杆开源产品。 服务网格是一个专门解决服务通信的基础设施层。它通过在业务 Pod 中注入 Sidecar 容器，接管业务容器的通信流量，同时 Sidecar 容器与网格平台的管制立体对接，基于管制立体下发的策略，对代理流量施行治理和管控，将原有服务框架的治理能力上层到 Sidecar 容器中，从而实现了根底框架能力的下沉，与业务零碎解耦。 图 1：服务网格示意图 Sidecar 容器接管后端服务通信的进出流量后，通过标准协议进行服务间通信，可实现跨语言、跨协定的服务互访。此外，Sidecar 容器可对代理的流量进行管控，如对立的服务路由、平安加密、监控采集等。 图 2：服务网格申请流转过程示意图 PART. 2 服务网格技术在工行的摸索与实际工行从 2015 年开启了 IT 架构转型工程，截止目前分布式体系已笼罩 240 余个要害利用，生产已有约超 48 万个提供方分布式服务节点，日均服务调用量超 127 亿，逐渐实现了超过主机性能容量的集群解决能力。工行分布式服务平台在稳固撑持已有业务零碎的安稳运行同时，也存在一些业界共性的挑战，诸如： （1）跨语言技术栈的互联互通需研发多套根底框架，技术研发和保护老本高。 （2）多产品线下，各利用应用了不同版本的根底框架，推动各利用降级框架周期较长，生产并行运行多版本的根底框架，兼容压力较大。 为解决以后痛点，工行踊跃引入服务网格技术，摸索解耦业务零碎与基础设施，欠缺服务治理能力。 ...

微服务的网络架构微服务架构中，每个功能模块仅负责一小块职责，微服务之间通过HTTP/TCP交互。 微服务之间的网络交互，须要限流、熔断、服务发现等等服务治理的性能，每个微服务外部都要集成相干的lib代码。 业务代码开发过程中，个别应用框架来实现上述的性能，比方spring cloud，提供了hystrix、Eureka等熔断、服务发现等性能。 service mesh: v1kubernetes时代来了，咱们把微服务部署在一个个的Pod中。 服务之间的网络交互，通过各自pod内的sidecar container来实现，sidecar内集成了服务熔断、服务发现的性能。 这样业务代码的开发，不用再关注服务熔断、服务发现等性能，专一于实现业务即可。 服务之间的交互，交由sidecar之间进行，最终所有的服务组成如下的一个“网格”： service mesh: v2sevice mesh的v1是通过sidecar代理实现服务之间的交互，service mesh v2则引入了集中的管制面治理，lstio是service mesh v2的典型代表。 control Plane能够进行全局的流量管控、路由下发，从control Plane的角度看，网络的流量变成如下的样子： 参考1.https://zhuanlan.zhihu.com/p/...2.https://philcalcado.com/2017/...

【导读】服务网格（Service Mesh）的概念自2017年初提出之后，受到了业界的宽泛关注，作为微服务的下一代倒退架构在社区迅速发酵，并且孵化出了诸如Istio等广受业界关注的面向于云原生(Cloud Native)的微服务架构。 那么，服务网格在百度的落地状况又如何呢？ 近日，在百度技术沙龙上，百度服务网格技术负责人乔元才发表了『服务网格在百度外围业务大规模落地实际』的主题演讲。 1. 从微服务到服务网格何谓微服务？据维基百科的定义：微服务是一种软件架构格调，它是以专一于繁多责任与性能的小型性能区块为根底，利用模块化的形式组合出简单的大型应用程序，各性能区块应用与语言无关的API集互相通信。 Service Mesh 最早在2016年9月29日由开发 Linkerd 的 Buoyant 公司首次提出，Service Mesh 是用于解决服务间通信的基础设施层，它负责通过形成古代云原生应用程序的简单拓扑构造来牢靠地传递申请。 因而 Service Mesh 也被称为微服务时代的TCP协定。 第一代微服务的常见架构如下图所示： 在黄色的容器内有服务A、服务B。A和B都蕴含本人的业务逻辑，如果想要A调用B，同时试图对这个服务进行治理，通常会在业务的外部集成一个SDK，来实现服务发现、负载平衡、服务路由、重试、熔断限流等性能。 然而，这个架构存在三个次要问题： 第一，开发成本。因为A和B的服务曾经是微服务了，它们可能是由不同语言开发的而且各自的框架可能也不同，如果心愿把绿色的局部进行降级或者提供新的性能，就须要反复的迭代和开发。 第二，降级老本。因为SDK的局部跟业务耦合在一起，在新增一些能力时须要重新部署业务的模块。 第三，部署老本。因为相干治理的性能须要耦合在业务的配置外面，所以很难做到实时的下发配置，服务间拓扑关系和治理配置无奈对立治理。 Service Mesh 是如何解决这些问题的? 如下图左侧所示，它通过将SDK 、开发框架提供的服务治理能力下沉到一个和业务过程独立的轻量级网络代理中，由这个网络代理作为微服务通信的基础设施层，它能够提供业务无关、语言无关、独立演进，通明降级的个性。这个轻量级的网络过程被称作Sidecar代理，是服务网格的数据面。 同时如右侧所示，通过一个对 Sidecar 进行对立管制和治理的服务管制立体，来提供对微服务治理和运维的对立入口。 这种架构实现了服务治理技术和业务逻辑的解耦，是云原生时代微服务治理技术的倒退方向，也失去了越来越多的公司的关注。 2. 百度微服务治理的现状和痛点 百度在服务网格以及微服务相干的摸索大略能够追溯到2013年，过后在外部独立部署了流量转发零碎，同时在一些业务有所推广施行；2016年 Service Mesh 这个概念被首次提出，因为百度自身有相干需要，便尝试引入Mesh的概念，于是外部自研了一套遵循社区 Mesh 概念的通过 Golang 开发的蕴含管制面和数据面的 BMesh 零碎，在搜寻服务前端服务上线，不过没有在特地多业务推广；直到2019年，百度外部做了拥抱开源的决定，心愿基于社区计划：Istio + Envoy 进行深度定制开发。 目前，百度外围业务线已全面完成了微服务架构革新，基于微服务构建了包含百度信息流、百度App、百度地图、百度小程序等外围业务的利用架构；微服务模块大量采纳C++、Golang、PHP、Java等语言来开发和疾速迭代；而且百度长期积淀了许多自研和二次开发的开源微服务框架：bRPC、GDP、ODP、SpringCloud等， 这些微服务间通信除了规范的HTTP、GRPC协定外，宽泛地采纳了大量的公有协定，比方baidu-std、Nshead等。 所以百度的外围业务线造成了多开发语言、多开发框架和多通信协议形成的简单的异构零碎，传统的基于入侵的微服务框架曾经不能满足这种简单零碎的服务治理要求——降级Mesh火烧眉毛！ 在降级之前，有一些重点问题须要综合思考： 革新老本各种各样的微服务框架网格化革新和适配各种各样的通信协议反对性能问题和资源问题因为Sidecar的引入，微服务间的通信链路变长，业务提早减少，甚至某些敏感业务无奈承受Sidecar带来的额定损耗。Sidecar本身会耗费资源，减少业务的老本。规模问题随着Sidecar规模的增长，开源的管制立体计算开销变大，导致Mesh配置下发工夫变长，甚至无奈工作。3. 百度服务网格整体计划如何解决这些问题？ 在服务网格的技术选型问题上，百度抉择了开源的 Istio + Envoy 作为网格管制面和数据面，在其上进行深度的定制和开发。 然而 Istio + Envoy 的社区计划和K8S的技术生态进行了深度绑定。而在百度外部有自研的根底技术平台，包含对标 K8S 的 PaaS部署零碎、Trace零碎、监控零碎和Naming零碎等，这些都是业务模块包含 Istio + Envoy 部署运行的依赖零碎。所以，将 Istio + Envoy 和外部依赖零碎进行了深度的技术交融，买通了公司根底技术平台，升高了业务接入老本。 ...

写在最前这篇是对于如何应用 Flomesh[1] 服务网格来强化 Spring Cloud 的服务治理能力，升高 Spring Cloud 微服务架构落地服务网格的门槛，实现“自主可控”。 文档在 github[2] 上继续更新，欢送大家一起探讨：https://github.com/flomesh-io...。 架构 Architect 环境搭建搭建 Kubernetes 环境，能够抉择 kubeadm 进行集群搭建。也能够抉择 minikube、k3s、Kind 等，本文应用 k3s。 应用 k3d[3] 装置 k3s[4]。k3d 将在 Docker 容器中运行 k3s，因而须要保障曾经装置了 Docker。 $ k3d cluster create spring-demo -p "81:80@loadbalancer" --k3s-server-arg '--no-deploy=traefik'装置 Flomesh从仓库 https://github.com/flomesh-io/flomesh-bookinfo-demo.git 克隆代码。进入到 flomesh-bookinfo-demo/kubernetes目录。 所有 Flomesh 组件以及用于 demo 的 yamls 文件都位于这个目录中。 装置 Cert Manager$ kubectl apply -f artifacts/cert-manager-v1.3.1.yamlcustomresourcedefinition.apiextensions.k8s.io/certificaterequests.cert-manager.io createdcustomresourcedefinition.apiextensions.k8s.io/certificates.cert-manager.io createdcustomresourcedefinition.apiextensions.k8s.io/challenges.acme.cert-manager.io createdcustomresourcedefinition.apiextensions.k8s.io/clusterissuers.cert-manager.io createdcustomresourcedefinition.apiextensions.k8s.io/issuers.cert-manager.io createdcustomresourcedefinition.apiextensions.k8s.io/orders.acme.cert-manager.io creatednamespace/cert-manager createdserviceaccount/cert-manager-cainjector createdserviceaccount/cert-manager createdserviceaccount/cert-manager-webhook createdclusterrole.rbac.authorization.k8s.io/cert-manager-cainjector createdclusterrole.rbac.authorization.k8s.io/cert-manager-controller-issuers createdclusterrole.rbac.authorization.k8s.io/cert-manager-controller-clusterissuers createdclusterrole.rbac.authorization.k8s.io/cert-manager-controller-certificates createdclusterrole.rbac.authorization.k8s.io/cert-manager-controller-orders createdclusterrole.rbac.authorization.k8s.io/cert-manager-controller-challenges createdclusterrole.rbac.authorization.k8s.io/cert-manager-controller-ingress-shim createdclusterrole.rbac.authorization.k8s.io/cert-manager-view createdclusterrole.rbac.authorization.k8s.io/cert-manager-edit createdclusterrole.rbac.authorization.k8s.io/cert-manager-controller-approve:cert-manager-io createdclusterrole.rbac.authorization.k8s.io/cert-manager-webhook:subjectaccessreviews createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-cainjector createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-controller-issuers createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-controller-clusterissuers createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-controller-certificates createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-controller-orders createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-controller-challenges createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-controller-ingress-shim createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-controller-approve:cert-manager-io createdclusterrolebinding.rbac.authorization.k8s.io/cert-manager-webhook:subjectaccessreviews createdrole.rbac.authorization.k8s.io/cert-manager-cainjector:leaderelection createdrole.rbac.authorization.k8s.io/cert-manager:leaderelection createdrole.rbac.authorization.k8s.io/cert-manager-webhook:dynamic-serving createdrolebinding.rbac.authorization.k8s.io/cert-manager-cainjector:leaderelection createdrolebinding.rbac.authorization.k8s.io/cert-manager:leaderelection createdrolebinding.rbac.authorization.k8s.io/cert-manager-webhook:dynamic-serving createdservice/cert-manager createdservice/cert-manager-webhook createddeployment.apps/cert-manager-cainjector createddeployment.apps/cert-manager createddeployment.apps/cert-manager-webhook createdmutatingwebhookconfiguration.admissionregistration.k8s.io/cert-manager-webhook createdvalidatingwebhookconfiguration.admissionregistration.k8s.io/cert-manager-webhook created留神: 要保障 cert-manager 命名空间中所有的 pod 都失常运行： ...

Service Mesh作为下一代微服务技术的代名词，老成持重却深得人心一举成名，大有一统微服务时代的趋势。 那么到底什么是Service Mesh？ 一言以蔽之：Service Mesh是微服务时代的TCP协定。 有了这样一个理性的初步认知，咱们再来看到底什么是Service Mesh。 提到Service Mesh，就不得不提微服务。依据维基百科的定义： 微服务 (Microservices) 是一种软件架构格调，它是以专一于繁多责任与性能的小型性能区块 (Small Building Blocks) 为根底，利用模块化的形式组合出简单的大型应用程序，各性能区块应用与语言无关 (Language-Independent/Language agnostic) 的 API 集互相通信。目前业界跟微服务相干的开发平台和框架更是举不胜举：Spring Cloud， Service Fabric，Linkerd，Envoy，Istio ... 这些纷纷的产品和Sevice Mesh有什么样的关联？哪些属于Service Mesh的领域？ 为了理清这些简约的产品和概念，咱们先来理解下微服务和Service Mesh技术的历史倒退脉络。 理解分明了技术的次要脉络，就能清晰的晓得上述的各个平台、框架属于技术脉络中的哪个结点，其间的关系也就高深莫测。 Phil Calçado的文章《Pattern: Service Mesh》，具体的介绍了从开发者视角来看，服务开发模式和Service Mesh技术的演化过程，集体认为是十分经典的学习Service Mesh的材料。这里借用文章的脉络，联合本人的了解并予以简化，试图说分明ServiceMesh的概念和这项技术诞生的历史偶然性。你能够把本文当做原文的一个中译版本来浏览。 时代0：开发人员设想中，不同服务间通信的形式，形象示意如下： 时代1：原始通信时代 然而事实远比设想的简单，在理论状况中，通信须要底层可能传输字节码和电子信号的物理层来实现，在TCP协定呈现之前，服务须要本人解决网络通信所面临的丢包、乱序、重试等一系列流控问题，因而服务实现中，除了业务逻辑外，还夹杂着对网络传输问题的解决逻辑。 时代2：TCP时代 为了防止每个服务都须要本人实现一套类似的网络传输解决逻辑，TCP协定呈现了，它解决了网络传输中通用的流量管制问题，将技术栈下移，从服务的实现中抽离进去，成为操作系统网络层的一部分。 时代3：第一代微服务 在TCP呈现之后，机器之间的网络通信不再是一个难题，以GFS/BigTable/MapReduce为代表的分布式系统得以蓬勃发展。这时，分布式系统特有的通信语义又呈现了，如熔断策略、负载平衡、服务发现、认证和受权、quota限度、trace和监控等等，于是服务依据业务需要来实现一部分所需的通信语义。 时代4：第二代微服务 为了防止每个服务都须要本人实现一套分布式系统通信的语义性能，随着技术的倒退，一些面向微服务架构的开发框架呈现了，如Twitter的Finagle、Facebook的Proxygen以及Spring Cloud等等，这些框架实现了分布式系统通信须要的各种通用语义性能：如负载平衡和服务发现等，因而肯定水平上屏蔽了这些通信细节，使得开发人员应用较少的框架代码就能开发出强壮的分布式系统。 时代5：第一代Service Mesh 第二代微服务模式看似完满，但开发人员很快又发现，它也存在一些实质问题： 其一，尽管框架自身屏蔽了分布式系统通信的一些通用性能实现细节，但开发者却要花更多精力去把握和治理简单的框架自身，在理论利用中，去追踪和解决框架呈现的问题也绝非易事；其二，开发框架通常只反对一种或几种特定的语言，回过头来看文章最开始对微服务的定义，一个重要的个性就是语言无关，但那些没有框架反对的语言编写的服务，很难融入面向微服务的架构体系，想就地取材的用多种语言实现架构体系中的不同模块也很难做到；其三，框架以lib库的模式和服务联编，简单我的项目依赖时的库版本兼容问题十分辣手，同时，框架库的降级也无奈对服务通明，服务会因为和业务无关的lib库降级而被迫降级；因而以Linkerd，Envoy，NginxMesh为代表的代理模式（边车模式）应运而生，这就是第一代Service Mesh，它将分布式服务的通信形象为独自一层，在这一层中实现负载平衡、服务发现、认证受权、监控追踪、流量管制等分布式系统所须要的性能，作为一个和服务对等的代理服务，和服务部署在一起，接管服务的流量，通过代理之间的通信间接实现服务之间的通信申请，这样上边所说的三个问题也迎刃而解。 如果咱们从一个全局视角来看，就会失去如下部署图： 如果咱们临时略去服务，只看Service Mesh的单机组件组成的网络： 置信当初，大家曾经了解何所谓Service Mesh，也就是服务网格了。它看起来的确就像是一个由若干服务代理所组成的盘根错节的网格。 时代6：第二代Service Mesh 第一代Service Mesh由一系列独立运行的单机代理服务形成，为了提供对立的下层运维入口，演化出了集中式的控制面板，所有的单机代理组件通过和控制面板交互进行网络拓扑策略的更新和单机数据的汇报。这就是以Istio为代表的第二代Service Mesh。 只看单机代理组件(数据面板)和控制面板的Service Mesh全局部署视图如下： ...

导读：百度过来基于rpc框架的服务治理存在各种框架能力档次不齐、业务本身服务治理效率低、全局可观测性有余等诸多问题。本文介绍了百度外部落地service mesh的实际过程，以根底稳定性能力治理和流量调度治理能力为业务落地点，具体论述了外部落地的service mesh整体技术计划以及一系列关键技术，如性能的极致优化、扩大的高级策略、周边服务治理零碎等。 全文6835字，预计浏览工夫13分钟。 一、背景百度大部分产品线已实现微服务的革新， 数万个微服务对架构服务治理能力提出了更高的要求。传统的服务治理个别通过rpc框架去解决，多年以来百度外部也衍生出多种语言的rpc框架，比方c++、go、php等等框架，根底服务治理能力和rpc框架耦合，rpc框架能力参差不齐，给公司整体服务治理能力和效率晋升带来较多的痛点及挑战： 1.高级架构能力无奈多语言、多框架复用 如某产品线近2年产生数次雪崩case，底层依赖的php、golang等框架须要反复建设来定制动静熔断、动静超时等高级能力，而这些能力在其余rpc框架已反对； 如罕用架构降级、止损能力各个产品线反复建设，接口计划差别大，从运维层面，运维同学冀望根底的架构止损能力在不同产品线之间可能通用化，接口标准化，升高运维老本； 2.架构容错能力治理周期长，根底能力覆盖度低 随着混沌工程全面落地，对架构能力有了更高要求。少数模块对单点异样，慢节点等异样不足根底容忍能力，推动每个模块独立修复，老本高，上线周期长。 如某产品线治理革新花了2个季度实现；举荐某类召回服务经常出现超时、重试配置等不合理的问题，集中管理调整老本比拟高。 3.可观测性有余，是否有通用机制晋升产品线可观测性？ 比方某举荐业务短少整体模块调用关系链和流量视图，线上故障靠人肉教训定位、新机房搭建周期长，效率低。 二、service mesh解决什么问题？为彻底解决以后业务服务治理的痛点和问题，咱们引入了service mesh，基本思路解耦治理能力和框架，治理能力下沉到sidecar。外部联结多个部门通过单干共建形式建设通用的service mesh架构， 提供通用的根底稳定性能力和对立的流量管制接口。 咱们冀望service mesh在厂内业务落地解决什么问题？总结为两点： 1、根底稳定性能力的要害组件 – 为微服务提供通用的根底故障容错能力、根底故障检测能力、对立的干涉和管制接口； 2、流量治理的外围零碎 – 实现各产品线整体的连贯托管、全局流量的可观测、精密调度能力； 附service mesh定义：Linkerd CEO William Morgan于2016年9月29日公开提出，service mesh是用于解决服务间通信的基础设施层，用于在云原生利用简单的服务拓扑中实现牢靠的申请传递。在实践中，service mesh通常是一组与利用一起部署，但对利用通明的轻量级网络代理。 三、技术挑战咱们在落地service mesh理论过程中，面临以下几大挑战： · 低侵入：百度大大小小有上百个产品线，模块数量级达到万级别，实例数达到百万级别，如何让业务在不改代码前提下无缝迁徙，低侵入接入是咱们在设计方案思考第一因素； · 高性能：百度外围产品线在线服务对提早要求极高，比方举荐、搜寻等外围产品线，提早上涨几毫秒会间接影响用户的体验和公司支出，从业务角度不能承受接入mesh后带来的性能进化。因而咱们在落地过程中，投入很大精力来优化mesh的提早，升高接入mesh后的性能损耗； · 异构零碎交融：首先咱们须要解决厂内多语言框架互通问题，其次须要对立接口和协定，买通厂内多个服务治理零碎，如服务发现、流量调度、故障止损等零碎； · mesh可靠性：在线业务对可靠性要求极高，要求咱们在落地过程中，充分考虑本身稳定性，防止出重大case。 总结：咱们的需要是实现一套低侵入、高性能、齐备的治理能力，可能解决业务理论问题service mesh架构。 四、整体架构· 技术选型：咱们底层以开源istio+envoy组件为根底，基于厂内理论业务场景，适配厂内组件。抉择基于开源定制的次要起因是兼容社区，跟开源放弃标准协议，排汇社区的高级feature同时可能反哺到社区。 咱们外部落地的mesh整体架构如下 ，包含以下外围组件： · Mesh控制中心： · 接入核心：sidecar的注入，治理sidecar版本，对立上线入口； · 配置核心：稳定性治理和流量治理入口，托管连贯、路由配置、通信等策略； · 运维核心：mesh的日常运维，如干涉去劫持操作； · 控制面板：istio-pilot组件，负责路由治理、通信策略等性能； · 数据面板：envoy组件，负责流量转发、负载平衡等性能； · 依赖组件：交融厂内服务发现组件naming service、外部各种rpc框架适配、监控零碎、底层paas反对； · 周边治理生态：基于mesh对立治理接口衍生出的服务治理生态，如智能调参零碎、 故障主动定位&止损零碎、故障治愈、混沌工程（基于mesh的精细化故障注入）。 接下来咱们从接入形式、性能优化、稳定性治理、流量治理、周边零碎协同、稳定性保障等关键技术来解析： 4.1 接入形式社区采纳的iptables流量劫持计划， iptables规定过多会导致性能问题，尤其在厂内数万个实例转发下受限iptables线性匹配规定，转发提早十分大，不能满足在线低提早的场景。 咱们的解决思路：基于本地lookbackip地址计划，envoy买通外部服务发现组件，劫持服务发现申请，通过回传lookback地址通明劫持业务流量。同时本地naming agent定期探活envoy，一旦envoy出现异常，主动回退到直连模式，防止envoy故障导致流量失落。 同时针对一些不走流量劫持的业务，咱们设计了proxyless计划，即通过rpc框架适配istio规范的xds，接入pilot服务治理的通路，托管服务治理策略和参数散发失效。无论业务流量是否被劫持，都通过mesh标准化的干涉入口实现服务治理的对立管控和治理。目前proxyless计划已在外部c++等rpc框架实现适配，在搜寻、举荐等业务线落地。 总结：咱们通过基于服务发现流量劫持和proxyless两种通明迁徙的的接入计划，实现业务模块无需批改代码即可接入mesh的低侵入形式，升高业务接入mesh的老本。 4.2 性能极致优化咱们在落地过程发现社区版本envoy提早、资源耗费较大，在一些大扇出简单场景下，流量劫持带来的提早上涨靠近5ms，cpu耗费占比20%以上，无奈满足厂内在线业务高吞吐、低提早场景。咱们剖析evnoy底层模型，实质起因是envoy 是一个单过程多线程的libevent线程模型，一个event-loop只能应用一个核，一个回调卡住就会卡住整个线程，容易产生高延时，导致吞吐长尾控制能力比拟差。 ...

Service Mesh作为下一代微服务技术的代名词，老成持重却深得人心一举成名，大有一统微服务时代的趋势。 那么到底什么是Service Mesh？ 一言以蔽之：Service Mesh是微服务时代的TCP协定。 有了这样一个理性的初步认知，咱们再来看到底什么是Service Mesh。 提到Service Mesh，就不得不提微服务。依据维基百科的定义： 微服务 (Microservices) 是一种软件架构格调，它是以专一于繁多责任与性能的小型性能区块 (Small Building Blocks) 为根底，利用模块化的形式组合出简单的大型应用程序，各性能区块应用与语言无关 (Language-Independent/Language agnostic) 的 API 集互相通信。目前业界跟微服务相干的开发平台和框架更是举不胜举：Spring Cloud， Service Fabric，Linkerd，Envoy，Istio ... 这些纷纷的产品和Sevice Mesh有什么样的关联？哪些属于Service Mesh的领域？ 为了理清这些简约的产品和概念，咱们先来理解下微服务和Service Mesh技术的历史倒退脉络。 理解分明了技术的次要脉络，就能清晰的晓得上述的各个平台、框架属于技术脉络中的哪个结点，其间的关系也就高深莫测。 Phil Calçado的文章《Pattern: Service Mesh》，具体的介绍了从开发者视角来看，服务开发模式和Service Mesh技术的演化过程，集体认为是十分经典的学习Service Mesh的材料。这里借用文章的脉络，联合本人的了解并予以简化，试图说分明ServiceMesh的概念和这项技术诞生的历史偶然性。你能够把本文当做原文的一个中译版本来浏览。 时代0：开发人员设想中，不同服务间通信的形式，形象示意如下： 时代1：原始通信时代 然而事实远比设想的简单，在理论状况中，通信须要底层可能传输字节码和电子信号的物理层来实现，在TCP协定呈现之前，服务须要本人解决网络通信所面临的丢包、乱序、重试等一系列流控问题，因而服务实现中，除了业务逻辑外，还夹杂着对网络传输问题的解决逻辑。 时代2：TCP时代 为了防止每个服务都须要本人实现一套类似的网络传输解决逻辑，TCP协定呈现了，它解决了网络传输中通用的流量管制问题，将技术栈下移，从服务的实现中抽离进去，成为操作系统网络层的一部分。 时代3：第一代微服务 在TCP呈现之后，机器之间的网络通信不再是一个难题，以GFS/BigTable/MapReduce为代表的分布式系统得以蓬勃发展。这时，分布式系统特有的通信语义又呈现了，如熔断策略、负载平衡、服务发现、认证和受权、quota限度、trace和监控等等，于是服务依据业务需要来实现一部分所需的通信语义。 时代4：第二代微服务 为了防止每个服务都须要本人实现一套分布式系统通信的语义性能，随着技术的倒退，一些面向微服务架构的开发框架呈现了，如Twitter的Finagle、Facebook的Proxygen以及Spring Cloud等等，这些框架实现了分布式系统通信须要的各种通用语义性能：如负载平衡和服务发现等，因而肯定水平上屏蔽了这些通信细节，使得开发人员应用较少的框架代码就能开发出强壮的分布式系统。 时代5：第一代Service Mesh 第二代微服务模式看似完满，但开发人员很快又发现，它也存在一些实质问题： 其一，尽管框架自身屏蔽了分布式系统通信的一些通用性能实现细节，但开发者却要花更多精力去把握和治理简单的框架自身，在理论利用中，去追踪和解决框架呈现的问题也绝非易事；其二，开发框架通常只反对一种或几种特定的语言，回过头来看文章最开始对微服务的定义，一个重要的个性就是语言无关，但那些没有框架反对的语言编写的服务，很难融入面向微服务的架构体系，想就地取材的用多种语言实现架构体系中的不同模块也很难做到；其三，框架以lib库的模式和服务联编，简单我的项目依赖时的库版本兼容问题十分辣手，同时，框架库的降级也无奈对服务通明，服务会因为和业务无关的lib库降级而被迫降级；因而以Linkerd，Envoy，NginxMesh为代表的代理模式（边车模式）应运而生，这就是第一代Service Mesh，它将分布式服务的通信形象为独自一层，在这一层中实现负载平衡、服务发现、认证受权、监控追踪、流量管制等分布式系统所须要的性能，作为一个和服务对等的代理服务，和服务部署在一起，接管服务的流量，通过代理之间的通信间接实现服务之间的通信申请，这样上边所说的三个问题也迎刃而解。 如果咱们从一个全局视角来看，就会失去如下部署图： 如果咱们临时略去服务，只看Service Mesh的单机组件组成的网络： 置信当初，大家曾经了解何所谓Service Mesh，也就是服务网格了。它看起来的确就像是一个由若干服务代理所组成的盘根错节的网格。 时代6：第二代Service Mesh 第一代Service Mesh由一系列独立运行的单机代理服务形成，为了提供对立的下层运维入口，演化出了集中式的控制面板，所有的单机代理组件通过和控制面板交互进行网络拓扑策略的更新和单机数据的汇报。这就是以Istio为代表的第二代Service Mesh。 ...

什么是servicemesh 《Pattern: Service Mesh》

1. 背景随着互联网业务一直倒退， 业务服务以及服务实例呈快速增长的趋势，然而传统微服务架构尽管能在一些场景满足服务高性能， 高可用， 可治理等需要，但同时也面临着耦合性高，灵活性差，治理简单，可运维性低，不足多语言反对等问题。而现在云原生场景下，Service Mesh则越来越成为热议的话题。 ESA Mesh是OPPO互联网自研的Service Mesh组件， 隶属于ESA Stack微服务体系的一部分。ESA Mesh致力于提供云原生场景适宜公司的Mesh计划，解决公司跨语言调用难，多语言服务治理生态匮乏，服务治理不对立等诸多问题。提供云原生场景下弹性易用的微服务架构根底组件，层层冲破微服务落地难，Service Mesh落地难上难的窘境。 2. Service Mesh的前世今生随着近几年来云原生生态的一直壮大，CNCF基金会中的会员以及包容的我的项目越来越多，CNCF为云原生进行了定位。 以下是CNCF对云原生的从新定义（中英对照）： Cloud native technologies empower organizations to build and run scalable applications in modern,dynamic environments such as public, private, and hybrid clouds. Containers, service meshes,microservices, immutable infrastructure, and declarative APIs exemplify this approach.云原生技术有利于各组织在私有云、公有云和混合云等新型动静环境中，构建和运行可弹性扩大的利用。云原生的代表技术包含容器、服务网格、微服务、不可变基础设施和申明式API。 可见Service Mesh（服务网格）在CNCF的定义中未然成为云原生时代不可或缺的一部分， 并且同时与容器，微服务有着密不可分的关系。 最后的网络计算机交互最后人们想要让不同计算机之间进行通信时， 最简略的模型是这样的。 尽管要真正实现计算机之间的交互须要十分多的网络细节， 然而上图仍然是用户最原始的需要：一个计算机上的服务调用另一个计算机上的服务。 然而实际上的交互须要更多的网络细节上 上图中网络通讯的细节是通过Networking Stack实现， 然而早年间这层网络细节依然是须要人们人为的去治理网络连接等细节，直到计算机开始变得不是那么的低廉，开始逐步遍及，计算机与计算机之间的连贯需要开始了爆发式的增长，如何让计算机能发现其余的计算机， 如何无效管制计算机之间的流量， 特地是如何进行流量管制等成了普遍性的问题。 于是为了满足流量管制的性能需要， 人们在本人的利用中开发了流量管制的性能， 然而此性能逻辑的代码与业务逻辑交错于一处。 ...

在这篇文章中，我将通过深入研究Maesh我的项目背地的技术细节，探索服务网格接口（Service Mesh Interface，SMI）标准的高级概念，是什么使该我的项目在其余我的项目中唯一性，以及它们对SMI标准的奉献。此外，我还会介绍这个生态系统中的其余合作伙伴。对于不相熟SMI的读者，在深刻探讨技术局部之前，我将简要介绍一下该项目标历史和指标。 SMI我的项目简介 微软于2019年5月在KubeCon欧洲大会向全世界发表了SMI我的项目。该项目标指标是为宽泛采纳的日常用例定义一组API形象。在撰写本文时，该接口涵盖了拜访控制策略、指标（遥测）、流量和路由（流量转移）。在2020年4月，微软慷慨地将这个我的项目捐献给了CNCF沙箱，为社区提供了一个中立的家。 微软Brendan Burns在2019年3月对SMI标准做出了最后的提交，明确了我的项目的用意：人们应该可能应用和定义服务网格配置，而不须要紧紧绑定到任何特定的实现。我的项目的指标是建设一套标准规范，涵盖服务网格最宽泛应用的各个方面。 该标准没有规定采纳SMI API的组织必须受到束缚。供应商可能构建超出SMI API范畴的扩大或性能。激励采纳者用一种与供应商无关的办法来实现他们的用例，并通过对我的项目的奉献来倒退SMI标准。只管这个我的项目还很年老，但许多组织目前正在这样做，包含Containous以及Maesh我的项目。 谁参加了SMI标准？ 好消息是，在实现SMI标准时，有多个提供者在不同水平上参加进来。为了更好地了解这些供应商以及他们与生态系统的关系，我将简要介绍他们是谁以及他们解决了什么问题。 服务网格实现 有一类软件通过应用SMI组定义的API间接实现SMI。每个实现都有其独特的属性。例子包含： Istio：应用边车（sidecar）运行EnvoyLinkerd：应用自定义的边车代理实现Consul Connect：利用边车代理，如Envoy和用于测试的内置代理，也反对用户定义的代理（HAproxy）Maesh：应用自定义代理实现（Traefik）应用每个节点（DaemonSet）代理的办法治理立体 尽管这些工具可能不能间接实现SMI所涵盖的性能，但它们通过采纳和治理反对SMI标准的技术，在生态系统中扮演着重要的角色： Weaveworks Flagger：作为Kubernetes部署的管制立体，同时反对多个服务网格实现Service Mesh Hub：作为多个服务网格实现的治理立体RIO：作为Linkerd的治理立体介绍Maesh：一个更简略的服务网格 SMI标准的一个新实现是Maesh，它装置在Kubernetes集群上，并实现多个SMI API，以反对在集群上运行的服务之间进行货色通信。咱们对服务网络有一个独特的认识，它提供了采纳的灵活性、更低的性能开销和更少的破坏性降级。 陈腐的办法 作为团队构建Maesh的终点，实现SMI API十分有意义。API对已被宽泛采纳的个性提供了明确的共识，从而确保工程师不会浪费时间解决无限的用例。而后，咱们可能专一于激发我的项目灵感的愿景，摈弃了服务网格景观中一些先前的假如。 在下面的图中，留神到显著不足边车代理。这是设计好的，让咱们看一下。 深刻理解技术畛域 在深刻理解Maesh中的技术细节以及如何实现无际车的服务网格之前，读者能够先理解一下本节中探讨的一些组件和配置，这可能会对你有所帮忙。 DNS存根（DNS stubbing）：这个性能是由CoreDNS裸露进去的，CoreDNS是部署在大多数Kubernetes发行版中的默认DNS提供商，它容许定义公有DNS区域，通常称为“存根域”（stub domain）kube-dns：Kubernetes中的CoreDNS组件，负责解决公有（外部）DNS申请kube-proxy：在每个Kubernetes节点上操作，负责负载平衡和代理外部UDP、TCP和SCTP数据包，用于服务对服务的通信该团队决定采纳一种办法，即应用DNS存根为CoreDNS打补丁，因而kube-dns将在外部解决特定于maesh的域查问。在Kubernetes中匹配规范DNS模式的申请将持续通过kube-proxy进行路由。相同，匹配存根条目标申请，service-name.local.maesh的，将通过它部署的Traefik代理进行路由。 Maesh部署的控制器解决SMI对象的接管，并配置每个Traefik代理节点（部署为DaemonSet），容许独立的pod无需任何批改即可操作。这种办法满足了最后的三个指标，不须要边车代理： 确保用户能够降级服务网格而不中断缩小操作的开销提供方便地抉择进入或退出服务网格的灵活性下一步 Maesh我的项目目前正在采纳mTLS来进行东西方的平安通信，但也在为SMI我的项目奉献UDP通信类型标准的过程中。Containous很快乐能成为这一致力的一部分，咱们也很期待看到其余SMI合作伙伴正在打算的翻新。 Maesh我的项目是开源的，总是对贡献者凋谢。咱们正在开发v1.4，其中包含实现一些最新的激动人心的更新，比方在流量标准中减少了HTTP头路由和流量宰割。如果你想理解更多对于奉献的信息，请在任何未解决的问题向咱们介绍你本人。 申明：这篇文章的作者受雇于Containous，Maesh我的项目的创建者和维护者。Kevin Crawley@notsureifkevin 点击浏览网站原文。 CNCF (Cloud Native Computing Foundation)成立于2015年12月，隶属于Linux  Foundation，是非营利性组织。 CNCF（云原生计算基金会）致力于培养和保护一个厂商中立的开源生态系统，来推广云原生技术。咱们通过将最前沿的模式民主化，让这些翻新为公众所用。扫描二维码关注CNCF微信公众号。

作者：Eliza Weisman 局部因为Linkerd的性能数字和一流的平安审计报告，最近对Linkerd2-proxy（Linkerd应用的底层代理）的趣味激增。作为一名Linkerd2维护者，我大部分工夫都在Linkerd2-proxy上工作，所以这个主题十分贴近我的心田。在本文中，我将更具体地介绍Linkerd2-proxy是什么以及它是如何工作的。 代理能够说是服务网格中最要害的组件。它能够随应用程序的部署而扩大，因而低附加提早和低资源耗费至关重要。它也是解决应用程序所有敏感数据的中央，因而安全性至关重要。如果代理速度慢、臃肿或不平安，那么服务网格也是如此。 当初的Linkerd2-proxy就是为了满足这些严格的要求而设计的。事实上，我认为它可能是服务网格用例和世界上最令人兴奋的一些技术的最佳代理。正如William Morgan最近所说的，Linkerd2-proxy是古代网络编程的最先进的状态： 不像Envoy、NGINX和haproxy这样的通用代理，开源的Linkerd2-proxy被设计为只做一件事，并且比任何人做得都好：成为一个服务网格边车（sidecar）代理。事实上，咱们认为Linkerd2-proxy代表了平安、古代网络编程的最新技术。它是齐全异步的，用古代类型平安和内存平安的语言编写。它充分利用了古代Rust网络生态系统，与亚马逊的Firecracker等我的项目共享根底。它对古代网络协议（如gRPC）有原生反对，能够基于实时提早实现负载平衡申请，并对零配置应用进行协定检测。它是齐全开源的、通过审计的和大规模宽泛测试的。 所以，如果你想理解最先进的网络编程是什么样子的，请持续浏览！ 为什么应用Rust呢？ 谈到Linkerd2-proxy，如果不探讨Rust，那就不残缺。当咱们在2017年开始着手Linkerd2-proxy的开发时，咱们无意识地决定应用Rust，只管过后Rust的网络生态系统十分十分早。为什么咱们抉择这条冒险的路线，而不是保持应用Scala，或者一些更“传统”的代理语言，如C++或C？ 决定应用Rust的起因有几个。首先，服务网格代理有一些十分严格的要求：因为它是作为每个pod根底上的边车部署的，所以它必须领有尽可能小的内存和CPU占用。因为应用程序的大部分或所有网络流量都要通过代理，所以它须要有最小的提早开销，尤其是最坏状况下的尾部提早。兴许最重要的是，因为代理解决应用程序数据（可能包含难以置信的敏感数据，如金融交易或集体衰弱），因而必须保障平安。 让咱们顺次从资源耗费开始。在咱们编写Linkerd2-proxy之前，咱们构建了Linkerd 1.x。Linkerd的第一个版本有一个用Scala编写的代理组件，并利用强壮的Scala和Java网络生态系统来实现大规模的卓越性能。然而，因为它运行在Java虚拟机上，所以它占用了相当大的资源。（JVM擅长于“伸”，但不善于“缩”，正如William在他的InfoQ文章中对于决定从新实现Linkerd的文章中所写的那样。）只管Linkerd社区在调优JVM的内存应用以最小化内存占用方面做得很好，但在按pod服务网格部署模型中，要求这么做还是太多了。所以咱们晓得咱们须要一种能够编译成原生二进制文件的语言，比方Rust、Go和C++。 当初，谈一谈提早。咱们从Linkerd 1中学到的另一个教训。通知咱们抉择Rust的是垃圾收集的影响。在垃圾收集运行时中，GC必须偶然遍历内存中的对象图，以找到不再应用且能够回收的对象。这个过程须要工夫，而且可能在不可预测的点产生。如果申请是在垃圾收集器通过期间传入的，那么它可能具备显著的提早。这个尖尖的、不可预测的提早配置文件与咱们对服务网格代理的冀望相同。因而，只管咱们喜爱Go（Linkerd 2.x管制立体是用它写的），Go，也是一种垃圾收集语言。这就给咱们留下了没有垃圾收集的语言，比方Rust和C++。 最初，是谈平安。确保服务之间的平安和公有通信是服务网格的次要价值支柱。然而，在数据门路中插入另一个跳也会向攻击者裸露一个新的攻击面。在咱们思考进步应用程序的安全性之前，咱们必须确保咱们没有使它变得更糟。咱们曾经确定，垃圾收集语言不适宜Linkerd2-proxy的用例，然而Scala、Java、Ruby和Go所有依赖垃圾收集一个要害起因是：确保内存平安与手动内存治理的语言，像C和C++，比看起来要艰难得多。 为什么内存平安如此重要？很简略：绝大多数可利用的安全漏洞——Chromium和Windows中70%的重大安全漏洞，以及最近内存中一些最重大的安全漏洞，如heartbleed——都是由缓冲区溢出和开释后应用等内存安全漏洞造成的。与C和C++不同，Rust解决了这些问题，但它是在编译时解决的，不会受到垃圾收集的性能影响。换句话说，Rust让咱们避开了大量潜在的数据立体破绽，否则这些破绽会困扰Linkerd。 思考到所有这些因素，Rust是Linkerd2-proxy的惟一抉择。它提供了闪电般的性能、可预感的低提早和咱们晓得服务网格代理须要的平安属性。它还为咱们提供了古代语言个性，如模式匹配和富裕表现力的动态类型零碎，以及工具，如内置的测试框架和包管理器，使在其中编程变得十分欢快。 Rust的生态系统 令人高兴的是，自2017年以来，Rust网络生态系统曾经蓬勃发展——这在很大水平上要归功于Buoyant公司在几个要害我的项目上的投资。明天，Linkerd2-proxy是建设在一些根底的Rust网络库上的： Tokio：Rust的异步运行时Hyper：疾速、平安、正确的HTTP实现Rustls：平安的古代TLS实现Tower：模块化和可组合的网络软件组件库让咱们一一来看一下。 Tokio是一个构建疾速、牢靠、轻量级网络应用的平台。它提供了一个与操作系统的非阻塞I/O性能、高性能计时器和任务调度集成的事件循环。对于相熟Node的读者。能够认为Tokio表演的角色相似于C库libuv——事实上，应用Tokio是Node创建者Ryan Dahl抉择在他的下一代JavaScript运行时Deno应用Rust的次要起因之一。自从Linkerd在2016年首次应用Tokio以来，它曾经在TiKV、微软Azure的iot-edge和Facebook的Mononoke等开源我的项目，以及从AWS到Discord等公司中失去了迅速而宽泛的采纳。 Hyper是Rust当先的异步HTTP实现，以其最佳的类内性能和正确性而著称。和Tokio一样，Hyper因大规模应用而久经沙场。 为了应用互相TLS来爱护网络通信，Linkerd代理应用rustls，这是TLS协定的一种实现，构建在ring和webpki之上，这些库提供了底层的加密性能。一项由CNCF资助的独立平安审计发现，这个加密堆栈的品质十分高，来自Cure53的审计人员“对所出现的软件印象十分粗浅”。 明天，这些组件形成了Rust网络生态系统的外围构建块，毫不夸大地说，大部分开发都是由Linkerd2-proxy驱动的。2017年，当咱们开始Linkerd2-proxy的工作时，还没有一个可生产的HTTP/2或gRPC实现，所以咱们率先开发了h2库和tower-gRPC。当初，h2加强了Hyper的HTTP/2反对，而tower-gRPC（当初被称为Tonic）曾经成为Rust最风行的gRPC库。受Linkerd 1.x提供能源的Scala库Finagle的启发，咱们还推动了Tower的开发，这是一个用于以模块化、可组合的形式实现网络服务和中间件的形象层。 申请的生命周期 有了这些构建块，让咱们来讨论一下代理实际上做了什么。作为一个服务网络，Linkerd的最大益处之一能够总结为“零配置就能工作”：如果你把Linkerd增加到一个失常运行的应用程序，它应该持续运行，用户不应该做任何配置。（如果你是从其余服务网我的项目来的Linkerd，这看起来很神奇。） Linkerd是如何实现这一惊人壮举的？当然是应用了Linkerd2-proxy。因而，让咱们合成通过代理的申请的生命周期。代理在不进行配置的状况下如何智能地解决通信量，同时对网格化的应用程序放弃通明？ 第一步是协定检测。要使零配置成为事实，当代理收到申请时，咱们须要确定正在应用的协定。所以咱们做的第一件事是从连贯的客户端读取几个字节，而后问几个问题： “这是HTTP申请吗？”“这是TLS客户端Hello message吗？”如果申请是客户端hello，则查看服务器名称批示（server name indication，SNI）值，该值蕴含客户端心愿终止的服务器的主机名。如果SNI值表明TLS连贯是为注入的应用程序筹备的，代理将间接转发音讯。透明性的一个重要局部是，如果代理接管到一个音讯，它不能做任何聪慧的事件，它应该间接发送它——在这种状况下，音讯是加密的，而代理没有解密它的密钥，所以咱们没有别的方法。相似地，未知协定中的TCP流量将通明地转发到其原始目的地。 另一方面，如果加密连贯是为咱们提供的，作为Linkerd的主动互TLS个性的一部分呢？网格中的每个代理都有本人独特的加密身份，代理在启动时为其生成要害资料，并且从不来到pod边界或写入磁盘。管制立体的身份服务对这些身份进行签名，以批示对代理进行身份验证，以便为注入代理的pod的Kubernetes ServiceAccount服务流量。如果SNI名称与代理的服务帐户匹配，那么咱们对其进行解密，并将其作为服务网格的一部分进行解决。 接下来，如果申请被网格化，代理会做什么？让咱们思考这样一种状况，网格化的客户机向其代理发送出站申请。代理执行咱们下面探讨的协定检测，并确定这是一个HTTP/1、HTTP/2或gRPC申请协定，Linkerd了解并能够智能路由。因而，当初咱们须要确定申请的去向。Linkerd依据指标权限（target authority）来路由HTTP流量，指标权限是HTTP/1.1和1.0申请的Host: header或申请URL的权限局部的值，或者HTTP/2中的:authority头字段的值。代理查看申请，并依据应用的协定版本查找指标权限，并执行DNS查问以确定该名称的标准模式。 当代理晓得了申请的指标权限，它就通过从Linkerd管制立体的指标服务中查找权限来执行服务发现。是否征询管制立体取决于一组搜寻后缀：默认状况下，代理被配置为查问位于默认Kubernetes集群本地区.cluster.local的服务。然而能够为应用自定义域的集群笼罩此性能。指标服务向代理提供组成该权限的Kubernetes服务的所有端点的地址，以及特定于链接的元数据和配置重试、超时和其余策略的服务配置文件。所有这些数据都流到代理，所以如果有任何变动——例如。如果一个服务被放大或放大，或者服务概要配置被编辑——管制立体将在产生时将新状态推送到代理。 而后，代理将在管制立体提供的一组端点上对申请进行负载平衡。当申请被转发到目的地时，代理会应用一种名为指数加权挪动均匀（exponentially weighted moving averages，EWMA）的负载平衡算法来计算负载估算。实质上，这意味着代理在一个无限的工夫窗口内放弃一个挪动均匀提早，以便在提早产生时对其做出反馈，并且该负载预计是基于向该端点运行的申请的数量进行加权的。在传统上，负载平衡决策通常是通过抉择预计负载最低的端点来做出的，比方应用有序堆。然而，放弃端点的有序汇合从最小到最大的负载在计算上是低廉的，所以Linkerd实现了“两种抉择的能力”（power of two choices，P2C）负载平衡。在这种办法中，咱们通过从两个随机抉择的可用端点中抉择负载较少的端点来做出每个负载平衡决策。只管这仿佛违反直觉，但从数学上来说，这至多在规模上与总是抉择负载最小的正本一样无效，而且它防止了多个负载均衡器都将流量发送到负载最小的正本、导致重载的问题。此外，这种快捷方式效率更高，因而在速度上有很大差异。 当指标端点有本人的Linkerd代理时，管制立体将向代理批示它能够发动互相TLS，以确保连贯是平安和公有的。同样的，当HTTP/1.x申请在网格中发送，代理将通明地将它们降级为HTTP/2，这样多个申请能够在一个连贯上多路复用，并由指标代理降级为HTTP/1，这样降级对应用程序是不可见的。与Linkerd的智能、反对协定的负载平衡相结合，这是网状流量通常比非网状流量具备更低提早的起因之一，只管采纳了额定的网络跳数。 把它们放在一起，代理中的根本逻辑流程看起来如下： 只管Linkerd2-proxy提供了很多性能，但咱们尽可能放弃它的简略和最低限度。最重要的是，代理的模块化体系结构意味着大多数个性能够实现为小的、自蕴含的模块，并插入到堆栈的适当地位，放弃整体代码复杂度低。 代理是要害 明天，Linkerd是惟一一个以数据立体代理为个性的服务网格，它是为服务网格用例显式地从头设计的。通过关注服务网格的独特需要，充分利用Rust令人印象粗浅的性能、平安保障和尖端的异步网络栈，咱们置信Linkerd2-proxy是Linkerd胜利的秘诀。 那么，你是否想参加一个在世界各地的要害零碎中应用的最前沿的开源Rust我的项目？好消息，Linkerd是开源的，所以你能够！在GitHub上退出咱们，并查看Slack上的#contributors频道。咱们心愿你能退出。 Linkerd实用于所有人 Linkerd是一个社区我的项目，由CNCF托管。Linkerd致力于凋谢治理。如果你有性能要求、问题，或评论，咱们心愿你退出咱们快速增长的社区！Linkerd代码托管在GitHub上，咱们在Slack、Twitter和邮件列表上有一个蓬勃发展的社区。快来退出咱们乐趣满满的我的项目吧！ 点击浏览网站原文。 CNCF (Cloud Native Computing Foundation)成立于2015年12月，隶属于Linux  Foundation，是非营利性组织。 ...

微软近期开源了一个新的名为 Open Service Mesh 的我的项目并筹备捐献给 CNCF 。 根本介绍Open Service Mesh (OSM) is a lightweight, extensible, Cloud Native service mesh that allows users to uniformly manage, secure, and get out-of-the-box observability features for highly dynamic microservice environments.Open Service Mesh（OSM）是一个轻量级，可扩大的云原生服务网格，它使用户可能对立治理，爱护和取得针对高度动静微服务环境的开箱即用的可察看性功能。 OSM 在 Kubernetes 上运行基于 Envoy 的管制立体，能够应用 SMI API 进行配置。它通过以 sidecar 的模式注入 Envoy 代理来工作。 管制面负责继续配置代理，以配置策略和路由规定等都放弃最新。代理次要负责执行访问控制的规定，路由管制，采集 metrics 等。（这和目前咱们常见到的 Service Mesh 计划根本都一样的） 显著个性基于 Service Mesh Interface (SMI) 的实现，次要包含 Traffic Access Control， Traffic Specs 和 Traffic Split 。剩下的 Traffic Metrics 正在开发中；服务间的通信加密应用 mTLS ；定义和执行服务间的拜访控制策略；通过 Prometheus 和 Grafana 实现其察看性；可与内部证书治理服务进行集成；Envoy sidecar 主动注入；上手体验只做介绍未免太过无趣，而且说实话，这么多 service mesh 实现，不亲自上手试试看，感觉不进去太多差别的。 ...

Open Service MeshOpen Service Mesh (OSM) 是微软开源的一个轻量级，可扩大的云原生 service mesh 解决方案。其遵循了SMI 标准。并且微软承诺，会尽快交给CNCF基金会治理，这就意味着这是一个社区主导的我的项目，而不是微软。 OSM 数据代理层，抉择了EnvoyProxy，联想到谷歌的Istio，aws的app mesh等service mesh 解决方案，能够看出Envoy 曾经成为了service mesh 事实上的数据层规范。 OSM具备的个性： 轻松通明地为部署配置流量转移通过启用mTLS爱护服务到服务的通信定义和执行服务的细粒度拜访控制策略对调试和监督服务的应用程序度量的可察看性和洞察力通过可插入接口与内部证书治理服务/解决方案集成通过启用Envoy代理的主动sidecar注入将应用程序利用到网格上其实OSM次要蕴含了以下几个组件： 代理管制立体-解决来自服务网格Sidecar代理的gRPC连贯证书管理器-解决证书的发行和治理端点提供商-可能自省参加计算平台的组件；这些检索反对网格中服务的计算的IP地址网格标准-SMI Spec的Go SDK的封装；其提供了简略的办法来检索SMI Spec资源，形象出集群和存储细节网格目录-服务网格的心脏；这是地方组件，它从所有其余组件收集输出，并将配置分派到代理管制立体 装置装置部署osm最简略的形式就是通过 osm CLI。 从 release 页面 下载最新版本的osm： wget https://github.com/openservicemesh/osm/releases/download/v0.2.0/osm-v0.2.0-linux-amd64.tar.gz目前最新版本是v0.2.0 。解压缩，并且将osm加到 PATH中。 mv ./osm /usr/local/bin/osm 而后间接应用osm装置即可。 osm installOSM installed successfully in namespace [osm-system] with mesh name [osm]可有看到，新创建了一个命名空间osm-system，里边蕴含了所有osm组件。并且创立了一个形象的mesh对象，名称为mesh。该mesh 咱们会在接下来的demo中用到。 接下来咱们看下，到底部署了那些资源对象。 kubectl get all -n osm-systemNAME READY STATUS RESTARTS AGEpod/osm-controller-6d9878c747-t8ht7 1/1 Running 0 81spod/osm-grafana-dc99fdd69-9pkdv 1/1 Running 0 81spod/osm-prometheus-c7cb9764f-xwdgv 1/1 Running 0 81spod/zipkin-f98fd66f9-fh9hw 1/1 Running 0 82sNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEservice/osm-controller ClusterIP 10.100.219.192 <none> 15128/TCP,443/TCP 82sservice/osm-grafana ClusterIP 10.100.214.129 <none> 3000/TCP 82sservice/osm-prometheus ClusterIP 10.100.16.75 <none> 7070/TCP 82sservice/zipkin ClusterIP 10.100.8.183 <none> 9411/TCP 82sNAME READY UP-TO-DATE AVAILABLE AGEdeployment.apps/osm-controller 1/1 1 1 82sdeployment.apps/osm-grafana 1/1 1 1 82sdeployment.apps/osm-prometheus 1/1 1 1 82sdeployment.apps/zipkin 1/1 1 1 82sNAME DESIRED CURRENT READY AGEreplicaset.apps/osm-controller-6d9878c747 1 1 1 82sreplicaset.apps/osm-grafana-dc99fdd69 1 1 1 82sreplicaset.apps/osm-prometheus-c7cb9764f 1 1 1 82sreplicaset.apps/zipkin-f98fd66f9 1 1 1 82s包含的组件： ...

Open Service MeshOpen Service Mesh (OSM) 是微软开源的一个轻量级，可扩大的云原生 service mesh 解决方案。其遵循了SMI 标准。并且微软承诺，会尽快交给CNCF基金会治理，这就意味着这是一个社区主导的我的项目，而不是微软。 OSM 数据代理层，抉择了EnvoyProxy，联想到谷歌的Istio，aws的app mesh等service mesh 解决方案，能够看出Envoy 曾经成为了service mesh 事实上的数据层规范。 OSM具备的个性： 轻松通明地为部署配置流量转移通过启用mTLS爱护服务到服务的通信定义和执行服务的细粒度拜访控制策略对调试和监督服务的应用程序度量的可察看性和洞察力通过可插入接口与内部证书治理服务/解决方案集成通过启用Envoy代理的主动sidecar注入将应用程序利用到网格上其实OSM次要蕴含了以下几个组件： 代理管制立体-解决来自服务网格Sidecar代理的gRPC连贯证书管理器-解决证书的发行和治理端点提供商-可能自省参加计算平台的组件；这些检索反对网格中服务的计算的IP地址网格标准-SMI Spec的Go SDK的封装；其提供了简略的办法来检索SMI Spec资源，形象出集群和存储细节网格目录-服务网格的心脏；这是地方组件，它从所有其余组件收集输出，并将配置分派到代理管制立体 装置装置部署osm最简略的形式就是通过 osm CLI。 从 release 页面 下载最新版本的osm： wget https://github.com/openservicemesh/osm/releases/download/v0.2.0/osm-v0.2.0-linux-amd64.tar.gz目前最新版本是v0.2.0 。解压缩，并且将osm加到 PATH中。 mv ./osm /usr/local/bin/osm 而后间接应用osm装置即可。 osm installOSM installed successfully in namespace [osm-system] with mesh name [osm]可有看到，新创建了一个命名空间osm-system，里边蕴含了所有osm组件。并且创立了一个形象的mesh对象，名称为mesh。该mesh 咱们会在接下来的demo中用到。 接下来咱们看下，到底部署了那些资源对象。 kubectl get all -n osm-systemNAME READY STATUS RESTARTS AGEpod/osm-controller-6d9878c747-t8ht7 1/1 Running 0 81spod/osm-grafana-dc99fdd69-9pkdv 1/1 Running 0 81spod/osm-prometheus-c7cb9764f-xwdgv 1/1 Running 0 81spod/zipkin-f98fd66f9-fh9hw 1/1 Running 0 82sNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEservice/osm-controller ClusterIP 10.100.219.192 <none> 15128/TCP,443/TCP 82sservice/osm-grafana ClusterIP 10.100.214.129 <none> 3000/TCP 82sservice/osm-prometheus ClusterIP 10.100.16.75 <none> 7070/TCP 82sservice/zipkin ClusterIP 10.100.8.183 <none> 9411/TCP 82sNAME READY UP-TO-DATE AVAILABLE AGEdeployment.apps/osm-controller 1/1 1 1 82sdeployment.apps/osm-grafana 1/1 1 1 82sdeployment.apps/osm-prometheus 1/1 1 1 82sdeployment.apps/zipkin 1/1 1 1 82sNAME DESIRED CURRENT READY AGEreplicaset.apps/osm-controller-6d9878c747 1 1 1 82sreplicaset.apps/osm-grafana-dc99fdd69 1 1 1 82sreplicaset.apps/osm-prometheus-c7cb9764f 1 1 1 82sreplicaset.apps/zipkin-f98fd66f9 1 1 1 82s包含的组件： ...

Service Mesh Webinar 是由 ServiceMesher 社区和 CNCF 联结发动的线上直播流动，流动将不定期举办，为大家带来 Service Mesh 畛域的常识和实际分享。 本文依据7月22日晚 Service Mesh Webinar#2 有米科技高级后端工程师、MOSN Committer 姚昌宇，线上主题分享《基于 MOSN 和 Istio Service Mesh 的服务治理实际》整顿，文末蕴含本次分享的视频回顾链接以及 PPT 下载地址。 前言大家好, 欢送大家加入第二期 Service Mesh Webinar。本期的分享主题是《基于 MOSN 和 Istio  Service Mesh  的服务治理实际》。我是明天的分享嘉宾姚昌宇，来自有米科技，目前在公司也是负责服务治理相干的工作，我自身也是一名云原生爱好者，在空余工夫关注和参加 Service Mesh 社区，最近参加了 MOSN 新版本的开发，也是有了很多播种。这次受社区邀请来给大家做这次分享，心愿能给大家带来播种。 明天的分享将从以下几个方面进行： 第一局部会简略介绍一下什么是 Service Mesh、Service Mesh 能够给咱们带来什么红利以及我参加社区的过程和一些播种；第二局部是这次分享的重点，我会从一个开发者的角度，说说如何基于 MOSN 和 Istio 去做服务治理，两头会包含 MOSN 源码的剖析和 Istio 性能的实操，也是比拟多 Service Mesh 爱好者关注的如何落地的问题，比方流量的管制啊、服务监控等等的性能；第三局部会总结一下明天的分享以及 MOSN 一些近况和将来愿景的介绍；Service Mesh 简介以及社区共建实际分享Service Mesh 简介首先，什么是 Service Mesh 呢？置信这是泛滥爱好者刚接触 Service Mesh 时的最后疑难。Service Mesh 倒退了这么多年，网上介绍和剖析的文章也是很多，在这里我也再啰嗦一句。如果用一句话来概括 Service Mesh，我会说，它是一种微服务的通信计划，是一直演进而成的。 ...

Service Mesh Webinar 是由 ServiceMesher 社区和 CNCF 联结发动的线上直播流动，流动将不定期举办，为大家带来 Service Mesh 畛域的常识和实际分享。 本文依据7月22日晚 Service Mesh Webinar#2 有米科技高级后端工程师、MOSN Committer 姚昌宇，线上主题分享《基于 MOSN 和 Istio Service Mesh 的服务治理实际》整顿，文末蕴含本次分享的视频回顾链接以及 PPT 下载地址。 前言大家好, 欢送大家加入第二期 Service Mesh Webinar。本期的分享主题是《基于 MOSN 和 Istio  Service Mesh  的服务治理实际》。我是明天的分享嘉宾姚昌宇，来自有米科技，目前在公司也是负责服务治理相干的工作，我自身也是一名云原生爱好者，在空余工夫关注和参加 Service Mesh 社区，最近参加了 MOSN 新版本的开发，也是有了很多播种。这次受社区邀请来给大家做这次分享，心愿能给大家带来播种。 明天的分享将从以下几个方面进行： 第一局部会简略介绍一下什么是 Service Mesh、Service Mesh 能够给咱们带来什么红利以及我参加社区的过程和一些播种；第二局部是这次分享的重点，我会从一个开发者的角度，说说如何基于 MOSN 和 Istio 去做服务治理，两头会包含 MOSN 源码的剖析和 Istio 性能的实操，也是比拟多 Service Mesh 爱好者关注的如何落地的问题，比方流量的管制啊、服务监控等等的性能；第三局部会总结一下明天的分享以及 MOSN 一些近况和将来愿景的介绍；Service Mesh 简介以及社区共建实际分享Service Mesh 简介首先，什么是 Service Mesh 呢？置信这是泛滥爱好者刚接触 Service Mesh 时的最后疑难。Service Mesh 倒退了这么多年，网上介绍和剖析的文章也是很多，在这里我也再啰嗦一句。如果用一句话来概括 Service Mesh，我会说，它是一种微服务的通信计划，是一直演进而成的。 ...

简介： Service Mesh早已不是一个新兴的概念，但大家对Service Mesh的摸索仍然炽热。本文将顺次解说Service Mesh的定义（什么是Service Mesh）、起因（为什么须要Service Mesh）和现状（Service Mesh的支流实现），心愿通过浅显易懂的介绍，尽量帮忙大家更好地了解Service Mesh。 引言随着云原生时代的降临，微服务架构与容器化部署模式越来越风行，从原来的新潮词汇缓缓演变成为古代IT企业的技术标配。已经被认为天经地义的巨无霸单体利用，被拥抱了微服务的架构师们精心拆分成了一个又一个小而独立的微服务，接着再被拥抱了容器化的工程师们打包成了自带依赖的Docker镜像，最初通过某种神秘的DevOps流水线继续运送到火线 —— 也就是无人不知的 —— 风暴诞生·谷歌之子·打碎镣铐者·云时代操作系统·Kubernetes —— 之中部署和运行。 听下来仿佛所有都很美妙？显然不是，这世上永远没有收费的午餐。所有美妙的货色都会有它的阴暗面，微服务也不例外： 原来只须要部署和治理单个利用，当初一下裂变成了好几个，运维治理老本成倍回升。原来各个模块之间的交互能够间接走利用内调用（过程间通信），当初都给拆分到了不同过程甚至节点上，只能应用简单的RPC通信。难道辛辛苦苦落地了微服务，只能一边在老板背后强撑着“没问题，所有安好”，另一边默默忍受着研发与运维的私下埋怨？显然也不是。对于以“偷懒”著称的程序员们，方法总是比艰难多。比方下面第1个问题，云原生所提倡的DevOps和容器化，就是一剂简直完满的解药：通过自动化的CI/CD流水线，多利用的集成构建部署变得更加快捷；通过Docker镜像和K8s编排，多利用的资源调度运维治理也变得不那么苦楚。至于第2个问题，那就该看本文的配角 —— Service Mesh（服务网格），是如何力挽狂澜，近乎完满地解决微服务之间的通信问题了。 什么是 Service Mesh？Service Mesh 诞生从概念到落地？不，是从落地到概念。 工夫回到2016年9⽉29⽇，那是一个行将放假迎来普天同庆的日子（是说咱们）。在Buoyant公司外部一次对于微服务的分享会上，“Service Mesh” ，这个接下来几年占据各种云原生头条的 buzz word，就这么被造出来了。不得不说，起名真是门艺术，Micro-Services -> Service Mesh，如许承前启后和顺其自然啊，光看名字就能很形象地了解这玩意儿所做的事件：把微服务的各个service（服务）节点，用一张mesh（网格）连接起来。就这样，本来被拆散得七零八落的微服务们，又被 Service Mesh 这张大网严密得连贯到了一起；即便仍然天各一方（过程间隔离），但也找回了当年一起挤在单体利用内抱团撒欢的密切感（通信更容易）。 最难得的是，这么好的一个概念竟然不是从PPT里走进去的，人家是真的有货（这让宽广PPT创业者们情何以堪）：2016年1⽉15⽇，Service Mesh的第一个实现Linkerd [1]就曾经实现了首次公布，紧接着次年1月23日 退出了CNCF，同年4月25日公布了 1.0版本。对于Buoyant公司而言，这兴许只是无心插柳的一小步，但却是云原生畛域迈向成熟的一大步。几年后的明天，Service Mesh 概念早已深入人心，各种生产级实现和大规模实际也已遍地开花，但请不要遗记这所有背地的功臣、Service Mesh反动先驱、Buoyant公司CEO —— William Morgan，以及他对Service Mesh的定义和思考：What's a service mesh? And why do I need one?[2] Service Mesh 定义别废话了，我没工夫听你说这么多，请用一句话跟我解释 Service Mesh 是什么。 好的。A service mesh is a dedicated infrastructure layer for handling service-to-service communication. It’s responsible for the reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application. In practice, the service mesh is typically implemented as an array of lightweight network proxies that are deployed alongside application code, without the application needing to be aware. ...

简介： Service Mesh早已不是一个新兴的概念，但大家对Service Mesh的摸索仍然炽热。本文将顺次解说Service Mesh的定义（什么是Service Mesh）、起因（为什么须要Service Mesh）和现状（Service Mesh的支流实现），心愿通过浅显易懂的介绍，尽量帮忙大家更好地了解Service Mesh。 引言随着云原生时代的降临，微服务架构与容器化部署模式越来越风行，从原来的新潮词汇缓缓演变成为古代IT企业的技术标配。已经被认为天经地义的巨无霸单体利用，被拥抱了微服务的架构师们精心拆分成了一个又一个小而独立的微服务，接着再被拥抱了容器化的工程师们打包成了自带依赖的Docker镜像，最初通过某种神秘的DevOps流水线继续运送到火线 —— 也就是无人不知的 —— 风暴诞生·谷歌之子·打碎镣铐者·云时代操作系统·Kubernetes —— 之中部署和运行。 听下来仿佛所有都很美妙？显然不是，这世上永远没有收费的午餐。所有美妙的货色都会有它的阴暗面，微服务也不例外： 原来只须要部署和治理单个利用，当初一下裂变成了好几个，运维治理老本成倍回升。原来各个模块之间的交互能够间接走利用内调用（过程间通信），当初都给拆分到了不同过程甚至节点上，只能应用简单的RPC通信。难道辛辛苦苦落地了微服务，只能一边在老板背后强撑着“没问题，所有安好”，另一边默默忍受着研发与运维的私下埋怨？显然也不是。对于以“偷懒”著称的程序员们，方法总是比艰难多。比方下面第1个问题，云原生所提倡的DevOps和容器化，就是一剂简直完满的解药：通过自动化的CI/CD流水线，多利用的集成构建部署变得更加快捷；通过Docker镜像和K8s编排，多利用的资源调度运维治理也变得不那么苦楚。至于第2个问题，那就该看本文的配角 —— Service Mesh（服务网格），是如何力挽狂澜，近乎完满地解决微服务之间的通信问题了。 什么是 Service Mesh？Service Mesh 诞生从概念到落地？不，是从落地到概念。 工夫回到2016年9⽉29⽇，那是一个行将放假迎来普天同庆的日子（是说咱们）。在Buoyant公司外部一次对于微服务的分享会上，“Service Mesh” ，这个接下来几年占据各种云原生头条的 buzz word，就这么被造出来了。不得不说，起名真是门艺术，Micro-Services -> Service Mesh，如许承前启后和顺其自然啊，光看名字就能很形象地了解这玩意儿所做的事件：把微服务的各个service（服务）节点，用一张mesh（网格）连接起来。就这样，本来被拆散得七零八落的微服务们，又被 Service Mesh 这张大网严密得连贯到了一起；即便仍然天各一方（过程间隔离），但也找回了当年一起挤在单体利用内抱团撒欢的密切感（通信更容易）。 最难得的是，这么好的一个概念竟然不是从PPT里走进去的，人家是真的有货（这让宽广PPT创业者们情何以堪）：2016年1⽉15⽇，Service Mesh的第一个实现Linkerd [1]就曾经实现了首次公布，紧接着次年1月23日 退出了CNCF，同年4月25日公布了 1.0版本。对于Buoyant公司而言，这兴许只是无心插柳的一小步，但却是云原生畛域迈向成熟的一大步。几年后的明天，Service Mesh 概念早已深入人心，各种生产级实现和大规模实际也已遍地开花，但请不要遗记这所有背地的功臣、Service Mesh反动先驱、Buoyant公司CEO —— William Morgan，以及他对Service Mesh的定义和思考：What's a service mesh? And why do I need one?[2] Service Mesh 定义别废话了，我没工夫听你说这么多，请用一句话跟我解释 Service Mesh 是什么。 好的。A service mesh is a dedicated infrastructure layer for handling service-to-service communication. It’s responsible for the reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application. In practice, the service mesh is typically implemented as an array of lightweight network proxies that are deployed alongside application code, without the application needing to be aware. ...

前言 几乎所有人都在说 Service Mesh；貌似没人知道怎么落地 Service Mesh；但是大家都觉得其他人在大力做 Service Mesh；所以大家都宣称自己在做 Service Mesh。 上面只是开一个玩笑，但是从某种程度反映了一些实际情况：Service Mesh 是一种设计思想和理念，而不是具体的架构或者实现方式，虽然 Istio+Envoy 的配置似乎已经成了事实标准，当我们环顾四周，却发现理想太丰满，现实太骨感，因为各企业当前切实原因，导致各种形态的 Service Mesh 百花齐放。 蚂蚁金服的 Service Mesh 就属于上面提到的百花齐放中的一员，我们已经渡过探索期，全面进入生产应用。去年的双十一完成了交易支付核心链路，几十万容器规模的生产级验证。但是业界对于 Service Mesh 仍然有很多种不同的声音，一方面是众星捧月式的支持，另一方面是困惑和质疑，包括对价值、架构以及性能的质疑。那么我们对此是什么态度？双十一深度实践之后蚂蚁金服的 Service Mesh 路又在何方？Service Mesh 架构是终点吗？ 本文将结合蚂蚁金服内部实际场景以及思考，讲述继 2019 双十一之后，蚂蚁金服在 Service Mesh 路上的规划和持续演进。 蚂蚁金服 Service Mesh 实践回顾 上图是 2019 年蚂蚁金服双十一的实践架构，云原生网络代理 MOSN（https://github.com/mosn）作为蚂蚁金服自研数据面产品，承载了 Mesh 架构的东西向流量。对于控制平面，基于务实的前提我们探索出一套当前阶段切实可行的方案，基于传统服务发现体系落地了 Service Mesh 架构。 这里是数据化的落地总结，在满足业务的同时，我们真正做到了对业务的低侵入：极低的资源消耗以及快速迭代能力，业务和基础技术都享受到云原生 Mesh 化所带来的红利。 Service Mesh 前路漫漫 我们再来看看 InfoQ 发布的 2020 年 4 月份 Software Architecture and Design 趋势报告，Service Mesh 目前处于 Early Adoption 代，在云原生技术圈仍处于大热阶段，各种技术论坛我们都能见到 Mesh 架构的专场，本篇文章我们不过多讨论 Service Mesh 的选型、使用场景、合理性等等问题，需要的同学可以参考一下文末历史文章，有很多蚂蚁金服对 Service Mesh 的思考。 ...

前言 几乎所有人都在说 Service Mesh；貌似没人知道怎么落地 Service Mesh；但是大家都觉得其他人在大力做 Service Mesh；所以大家都宣称自己在做 Service Mesh。 上面只是开一个玩笑，但是从某种程度反映了一些实际情况：Service Mesh 是一种设计思想和理念，而不是具体的架构或者实现方式，虽然 Istio+Envoy 的配置似乎已经成了事实标准，当我们环顾四周，却发现理想太丰满，现实太骨感，因为各企业当前切实原因，导致各种形态的 Service Mesh 百花齐放。 蚂蚁金服的 Service Mesh 就属于上面提到的百花齐放中的一员，我们已经渡过探索期，全面进入生产应用。去年的双十一完成了交易支付核心链路，几十万容器规模的生产级验证。但是业界对于 Service Mesh 仍然有很多种不同的声音，一方面是众星捧月式的支持，另一方面是困惑和质疑，包括对价值、架构以及性能的质疑。那么我们对此是什么态度？双十一深度实践之后蚂蚁金服的 Service Mesh 路又在何方？Service Mesh 架构是终点吗？ 本文将结合蚂蚁金服内部实际场景以及思考，讲述继 2019 双十一之后，蚂蚁金服在 Service Mesh 路上的规划和持续演进。 蚂蚁金服 Service Mesh 实践回顾 上图是 2019 年蚂蚁金服双十一的实践架构，云原生网络代理 MOSN（https://github.com/mosn）作为蚂蚁金服自研数据面产品，承载了 Mesh 架构的东西向流量。对于控制平面，基于务实的前提我们探索出一套当前阶段切实可行的方案，基于传统服务发现体系落地了 Service Mesh 架构。 这里是数据化的落地总结，在满足业务的同时，我们真正做到了对业务的低侵入：极低的资源消耗以及快速迭代能力，业务和基础技术都享受到云原生 Mesh 化所带来的红利。 Service Mesh 前路漫漫 我们再来看看 InfoQ 发布的 2020 年 4 月份 Software Architecture and Design 趋势报告，Service Mesh 目前处于 Early Adoption 代，在云原生技术圈仍处于大热阶段，各种技术论坛我们都能见到 Mesh 架构的专场，本篇文章我们不过多讨论 Service Mesh 的选型、使用场景、合理性等等问题，需要的同学可以参考一下文末历史文章，有很多蚂蚁金服对 Service Mesh 的思考。 ...

Service Mesh Webinar 是由 ServiceMesher 社区和 CNCF 联合发起的线上直播活动，活动将不定期举行，为大家带来 Service Mesh 领域的知识和实践分享。本文根据5月28日晚 Service Mesh Webinar#1 多点生活平台架构组研发工程师陈鹏，线上主题分享《多点生活在 Service Mesh 上的实践 -- Istio + Mosn 在 Dubbo 场景下的探索之路》整理，文末包含本次分享的视频回顾链接以及 PPT 下载地址。 前言随着多点生活的业务发展，传统微服务架构的面临升级困难的问题。在云原生的环境下，Service Mesh 能给我们带来什么好处。如何使用社区解决方案兼容现有业务场景，落地成符合自己的 Service Mesh 成为一个难点。 今天主要给大家分享一下 Service Mesh 的一些技术点以及多点生活在 Service Mesh 落地过程中适配 Dubbo 的一些探索。 首先我们从三个方面入手： 为什么需要 Service Mesh 改造；探索 Istio 技术点；Dubbo 场景下的改造；为什么需要 Service Mesh 改造说到为什么需要改造，应该先说一下 Service Mesh 和传统微服务架构的一些特点。 微服务微服务一般有这些模块： 安全；配置中心；调用链监控；网关；监控告警；注册和发现；容错和限流；这些模块在传统的微服务架构中有的是和 SDK 结合在一起，有的是一个独立的中间件。 特点： 独立部署；模块的边界；技术多样性；正是由于技术多样性，我的微服务系统可以使用不同的语言进行开发，比如我一个商城系统，订单系统使用 Java 开发，库存系统使用 Go 开发，支付系统使用 Python 开发，微服务之间通过轻量级通信机制协作，比如：HTTP/GRPC 等。比如目前多点使用的 Dubbo(服务治理框架)，随着多点生活的业务发展，目前遇到最棘手的问题就是中间件在升级过程中，推进很慢，需要业务方进行配合，接下来我们看看 Service Mesh。 ...

Service Mesh Virtual Meetup 是 ServiceMesher 社区和 CNCF 联合主办的线上系列直播。本期为 Service Mesh Virtual Meetup#1 ，邀请了四位来自不同公司的嘉宾，从不同角度展开了 Service Mesh 的应用实践分享，分享涵盖如何使用 SkyWalking 来观测 Service Mesh，来自陌陌和百度的 Service Mesh 生产实践，Service Mesh 的可观察性和生产实践以及与传统微服务监控的区别。 本文根据5月14日晚，G7 微服务架构师叶志远的主题分享《Service Mesh 高可用在企业级生产中的实践》整理。文末包含本次分享的视频回顾链接以及 PPT 下载地址。 前言谈到 Service Mesh，人们总是想起微服务和服务治理，从 Dubbo 到 Spring Cloud (2016开始进入国内研发的视野，2017年繁荣)再到 Service Mesh (2018年开始被大家所熟悉)，正所谓长江后浪推前浪，作为后浪，Service Mesh 别无选择，而 Spring Cloud 对 Service Mesh 满怀羡慕，微服务架构的出现与繁荣，是互联网时代架构形式的巨大突破。Service Mesh 具有一定的学习成本，实际上在国内的落地案例不多，大多是云商与头部企业，随着性能与生态的完善以及各大社区推动容器化场景的落地，Service Mesh 也开始在大小公司生根发芽，弥补容器层与 Kubernetes 在服务治理方面的短缺之处。本次将以一个选型调研者的视角，来看看 Service Mesh 中的可观察性主流实践方案。 可观察性的哲学可观察性（Observability）不是一个新名词，它在很久之前就已经诞生了，但是它在 IT 领域却是一个新兴事物。可观察性在维基百科中原文是这样定义的：“In control theory, observability is a measure of how well internal states of a system can be inferred from knowledge of its external outputs. ”。云原生领域第一次出现这个词，是在云原生理念方兴未艾的2017年，在云原生的思潮之下，运用传统的描述方式已经不足以概括这个时代的监控诉求，而 Observability 就显得贴切许多。 ...

Service Mesh Virtual Meetup 是 ServiceMesher 社区和 CNCF 联合主办的线上系列直播。本期为 Service Mesh Virtual Meetup#1 ，邀请了四位来自不同公司的嘉宾，从不同角度展开了 Service Mesh 的应用实践分享，分享涵盖 Service Mesh 的可观察性和生产实践以及与传统微服务中可观察性的区别，还有如何使用 SkyWalking 来观测 Service Mesh，来自陌陌和百度的 Service Mesh 生产实践。 本文根据5月7日晚，美国 Service Mesh 服务商 Tetrate 创始工程师高洪涛的主题分享《Apache SkyWalking 在 Service Mesh 中的可观察性应用》整理。文末包含本次分享的视频回顾链接以及 PPT 下载地址。 前言本次演讲为大家分享的是 Apache SkyWalking 对 Service Mesh 可观测性方面的应用实践，共分为三个部分： 第一部分是 Apache SkyWalking 的相关背景；第二部分是 Service Mesh 场景下 SkyWalking 所面临的挑战；最后是针对 Service Mesh 场景方案的演化；SkyWalking 的历史沿革及其特点 SkyWalking 项目的建设目的是为了解决在微服务环境下，如何快速的定位系统稳定性问题。创始团队于2016年启动项目，经过一年的努力完善了最初的版本。2017年，团队启动将项目捐献给 Apache 基金会的流程。在 Apache 基金会孵化器内，经过了多轮系统升级迭代，并获得近乎翻倍的贡献者和关注度，于2019年顺利毕业。经过经年的升级与维护，SkyWalking 从最开始专注于分布式追踪系统的单一平台，发展为包含多个门类并拥有丰富的功能的全领域 APM 系统。 ...

作者丨敖小剑 2019 年，蚂蚁金服在 Service Mesh 领域继续高歌猛进，进入大规模落地的深水区。本文介绍了 Service Mesh 在蚂蚁金服的落地情况和即将来临的双十一大考，以及大规模落地时遇到的困难和解决方案，助你了解 Service Mesh 的未来发展方向和前景。 一、前言大家好，我是敖小剑，来自蚂蚁金服中间件团队，今天带来的主题是“诗和远方：蚂蚁金服 Service Mesh 深度实践”。在过去两年，我先后做过两次 Service Mesh 的演讲： 2017 年，当时 Service Mesh 在国内还属于蛮荒时代，我当时做了一个名为“Service Mesh: 下一代微服务”的演讲，开始在国内布道 Service Mesh 技术；2018 年，做了名为“长路漫漫踏歌而行：蚂蚁金服 Service Mesh 实践探索”的演讲，介绍蚂蚁金服在 Service Mesh 领域的探索性的实践，当时蚂蚁金服刚开始在 Service Mesh 探索。今天，有幸第三次，给大家带来的依然是蚂蚁金服在 Service Mesh 领域的实践分享。和去年不同的是，今年蚂蚁金服进入了 Service Mesh 落地的深水区，规模巨大，而且即将迎来双十一大促考验。 <u>备注：现场做了一个调研，了解听众对 Servicve Mesh 的了解程度，结果不太理想：在此之前对 Service Mesh 有了解的同学目测只有 10% 多点（肯定不到 20%）。Service Mesh 的技术布道，依然任重道远。</u> 今天给大家带来的内容主要有三块： 蚂蚁金服落地情况介绍：包括大家最关心的双十一落地情况；大规模落地的困难和挑战：分享一下我们过去一年中在大规模落地上遇到的问题；是否采用 Service Mesh 的建议：这个问题经常被人问起，所以借这个机会给出一些中肯的建议供大家参考。二、蚂蚁金服落地情况介绍（一）发展历程和落地规模 Service Mesh 技术在蚂蚁金服的落地，先后经历过如下几个阶段： ...

2019 年，蚂蚁金服在 Service Mesh 领域继续高歌猛进，进入大规模落地的深水区。本文整理自蚂蚁金服高级技术专家敖小剑在 QCon 全球软件开发大会（上海站）2019 上的演讲，他介绍了 Service Mesh 在蚂蚁金服的落地情况和即将来临的双十一大考，以及大规模落地时遇到的困难和解决方案，助你了解 Service Mesh 的未来发展方向和前景。前言大家好，我是敖小剑，来自蚂蚁金服中间件团队，今天带来的主题是“诗和远方：蚂蚁金服 Service Mesh 深度实践”。 在过去两年，我先后在 QCon 做过两次 Service Mesh 的演讲： 2017年，当时 Service Mesh 在国内还属于蛮荒时代，我当时做了一个名为“Service Mesh: 下一代微服务”的演讲，开始在国内布道 Service Mesh 技术；2018年，做了名为“长路漫漫踏歌而行：蚂蚁金服 Service Mesh 实践探索”的演讲，介绍蚂蚁金服在 Service Mesh 领域的探索性的实践，当时蚂蚁金服刚开始在 Service Mesh 探索。今天，有幸第三次来到 QCon，给大家带来的依然是蚂蚁金服在 Service Mesh 领域的实践分享。和去年不同的是，今年蚂蚁金服进入了 Service Mesh 落地的深水区，规模巨大，而且即将迎来双十一大促考验。 备注：现场做了一个调研，了解听众对 Servicve Mesh 的了解程度，结果不太理想：在此之前对 Service Mesh 有了解的同学目测只有10%多点（肯定不到20%）。Service Mesh 的技术布道，依然任重道远。今天给大家带来的内容主要有三块： 蚂蚁金服落地情况介绍：包括大家最关心的双十一落地情况；大规模落地的困难和挑战：分享一下我们过去一年中在大规模落地上遇到的问题；是否采用 Service Mesh 的建议：这个问题经常被人问起，所以借这个机会给出一些中肯的建议供大家参考；蚂蚁金服落地情况介绍发展历程和落地规模 Service Mesh 技术在蚂蚁金服的落地，先后经历过如下几个阶段： 技术预研 阶段：2017年底开始调研并探索 Service Mesh 技术，并确定为未来发展方向；技术探索 阶段：2018年初开始用 Golang 开发 Sidecar SOFAMosn，年中开源基于 Istio 的 SOFAMesh；小规模落地 阶段：2018年开始内部落地，第一批场景是替代 Java 语言之外的其他语言的客户端 SDK，之后开始内部小范围试点；规模落地 阶段：2019年上半年，作为蚂蚁金融级云原生架构升级的主要内容之一，逐渐铺开到蚂蚁金服内部的业务应用，并平稳支撑了618大促；全面大规模落地 阶段：2019年下半年，在蚂蚁金服内部的业务中全面铺开，落地规模非常庞大，而且准备迎接双十一大促；目前 ServiceMesh 正在蚂蚁金服内部大面积铺开，我这里给出的数据是前段时间（大概9月中）在云栖大会上公布的数据：应用数百个，容器数量（pod 数）超过10万。当然目前落地的pod数量已经远超过10万，这已经是目前全球最大的 Service Mesh 集群，但这仅仅是一个开始，这个集群的规模后续会继续扩大，明年蚂蚁金服会有更多的应用迁移到 Service Mesh。 ...

令人惊讶的是，在过去几年中，越来越多的开发人员转向利用托管服务来部署和运行可扩展的云原生应用程序。通过这种转变，微服务架构已成为构建云原生应用程序的标准，并且可以预见，到2022年，将有90％的新应用程序采用微服务架构。微服务架构提供了令人信服的好处，包括可伸缩性，松散的服务耦合和独立部署，但是这种方法的成本很高，需要了解和熟练掌握分布式系统。 开发人员希望专注于业务逻辑，频繁且增量地迁移遗留代码，同时依靠平台为应用程序提供所需的规模，弹性，可维护性，以及云原生架构的其他属性。但是，开发人员发现，云和边缘之间的可移植性受到限制，并且他们最终解决了相同的分布式系统问题，例如状态管理，弹性方法调用和事件处理。另外，许多编程运行时通常具有狭窄的语言支持和严格控制的功能集，这使得构建微服务体系结构具有挑战性。 为了使所有开发人员能够使用任何语言和框架轻松地构建便携式微服务应用程序，无论是编写新代码还是迁移现有代码，我们很高兴开源了Dapr。 构建事件驱动，无状态和有状态的应用程序 例如，在构建包含多个服务的电子商务应用程序时，您可能希望使用有状态的actor来抽象购物车服务，并为支付和物流服务调用无状态函数。编写此应用程序可能需要使用多种语言，开发人员框架和基础架构平台，以及与外部服务集成。了解和管理如此复杂的技术堆栈会使开发人员无法专注到核心业务上。 Dapr：云和边缘计算的微服务构件 Dapr是一个开源，可移植的，事件驱动的运行时，使开发人员可以轻松构建在云和边缘上运行的弹性，微服务架构的无状态和有状态应用程序。 Dapr包含所有编程语言和开发人员框架，并简化了构建应用程序（例如电子商务示例）的过程。 Dapr包含了一些构建，这些构件通过标准HTTP或gRPC API访问，所以支持各种编程语言。这些构件为所有开发人员提供了行之有效的行业最佳实践，并且每个构件都是独立的。您可以在应用程序中使用其中的一个或多个。此外，通过开源项目，我们欢迎社区添加新的构建基块，并将新的组件贡献到现有的组件中。 Dapr完全与平台无关，这意味着您可以在任何Kubernetes集群以及与Dapr集成的其他托管环境中本地运行应用程序。这使开发人员能够构建无需更改代码即可在云和边缘上运行的微服务应用程序。 Dapr构件目前处于Alpha状态 架构和构建微服务应用程序时需要许多功能。在Dapr的第一个开源alpha版本中，我们专注于提供一些最常用的构建块。 服务调用 - 弹性的服务到服务调用使方法调用（包括重试）可以在支持的托管环境中运行的任何远程服务上进行。状态管理 - 通过对键/值对的状态管理，可以轻松地编写长期运行，高可用的有状态服务以及同一应用程序中的无状态服务。状态存储是可插拔的，并且可以包括Azure Cosmos或Redis，以及组件路线图上的其他内容（例如AWS DynamoDB）。在服务之间发布和订阅消息传递 - 采用事件驱动的体系结构解决服务之间发布事件和订阅主题，以简化水平可伸缩性并使它们能够应对故障。事件驱动的资源绑定 - 资源绑定和触发器通过在事件驱动的体系结构上进一步构建规模，从而通过从任何外部资源（例如数据库，队列，文件系统，blob存储，webhooks等）接收事件或向其发送事件来实现规模和弹性。例如，可以触发代码通过Azure EventHub服务上的消息，然后将数据写入Azure CosmosDB。虚拟atcor - 种无状态和有状态对象的模式，通过方法和状态封装使并发变得简单。 Dapr在其虚拟actor运行时中提供了许多功能，包括并发，状态，用于actor激活/停用的生命周期管理以及计时器和提醒以唤醒actor。服务间的分布式追踪 - 使用W3C Trace Context标准轻松诊断和观察生产中的服务间调用，并将事件推送到跟踪和监视系统。用于可移植性和可扩展性的标准API 那么，您如何使用这些Dapr构建块？例如，假设您正在已部署到Kubernetes群集中的微服务应用程序中使用Azure Functions运行时，并且您希望利用pub / sub模式在服务之间发送消息。如今，Azure Functions运行时尚未内置此功能，但是通过在http上使用Dapr pub / sub构建块，可以轻松添加此新功能。您拥有新的开发人员力量！ 此外，Dapr发布/订阅构建块具有可插入的组件模型，这意味着您可以动态选择不同的实现方式来发送消息，而无需更改任何代码。例如，您可以根据自己的喜好选择Redis，Kafka或Azure Service Bus发布/订阅Dapr组件。而且在两种情况下，代码都保持不变，包括使用标准API在不同支持的基础架构之间可移植。 为了同时实现可移植性和与现有代码的轻松集成，Dapr通过http或gRPC提供了标准API。与pub / sub示例保持一致，下面的节点代码显示如何使用“ http：// <myappaddress> / dapr / subscribe”端点订阅名为“ A”和“ B”的主题，然后在何时通知您的应用程序消息将发布到这些主题。 为了进行比较，这是使用从ASP.NET Core CreateWebHostBuilder（）调用的UseStartup（）处理程序以C＃编写的相同代码。 向订阅了这些主题的服务发布事件就像使用主题名称和有效负载调用Dapr本地http publish API一样简单。下面的示例节点代码显示了如何使用Dapr发布API（在本地端口3500上），也可以使用curl命令来完成此操作： 如这些示例所示，在您的服务中使用Dapr不需要获取编译时间依赖性，仅需简单地使用消息主体编写URL即可。 ...

一、前言本文内容整理自 5月25日 在 Kubernetes & Cloud Native Meetup 上海站发表的主题演讲，主要介绍了 Service Mesh 最新的产品动态，分析其发展趋势和未来走向；结合蚂蚁金服的上云实践，阐述在云原生背景下 Service Mesh 的核心价值，以及对云原生落地的关键作用。内容主要有三个部分： Service Mesh 产品动态：介绍最近半年 Service Mesh 的产品动态，包括开源项目和云厂商推出的云上服务；Service Mesh 发展趋势：根据最近的产品动态，总结 Service Mesh 的发展趋势，推断未来的走向；Service Mesh 与云原生：结合云原生，更好的理解 Service Mesh 的价值和作用。二、Service Mesh 产品动态（一）Istio 1.1 发布Istio 是目前 Service Mesh 社区最引人注目的开源项目，在今年的 3月份 发布了期待已久的 Istio 1.1 版本，我们来看看 Istio 最近几个版本的发布情况：· 2018年6月1日，Istio 发布了 0.8 版本，这是 Istio 历史上第一个 LTS 版本，也是 Istio 历史上变动最大的一个版本；· 2018年7月31日，Istio 发布了 1.0 版本，号称 "Product Ready"；· 然后就是漫长的等待，Istio 1.0 系列以每个月一个小版本的方式一路发布了 1.0.1 到 1.0.6，然后才开始 1.1.0 snapshot 1 到 6，再 1.1.0-rc 1 到 6，终于在 2019年3月20日 发布了 1.1 版本，号称 "Enterprise Ready"。 ...

传统的微服务架构本身就是残次品，很快就会被淘汰，所以Service Meth必须掌握。 本文经出版社授权发布，摘自《Istio实战指南》第二章节 Istio： 它是一个完全开源的服务网格，以透明层的方式构建在现有分布式应用中。它也是一个提供了各种API的平台，可以与任何日志平台、监控系统或策略系统集成。Istio的多样化特性可以让你高效地运行分布式微服务架构，并提供一种统一的方式来保护、连接和监控微服务。 从上面的定义中可以了解到，Istio为微服务应用提供了一个完整的解决方案，可以以统一的方式去检测和管理微服务。同时，它还提供了管理流量、实施访问策略、收集数据等功能，而所有这些功能都对业务代码透明，即不需要修改业务代码就能实现。 有了Istio，就几乎可以不需要其他的微服务框架，也不需要自己去实现服务治理等功能，只要把网络层委托给Istio，它就能帮助完成这一系列的功能。简单来说，Istio就是一个提供了服务治理能力的服务网格。 Istio的架构对服务网格来讲，业务代码无侵入和网络层的全权代理是其重要的优势。我们来了解一下Istio的架构，看一看它是如何做到这两点的，并了解架构中的各个组件是如何协同工作并完成网络层功能的。 Istio的架构从逻辑上分成数据平面（Data Plane）和控制平面（Control Plane）。是否觉得似曾相识？没错，Kubernetes的架构也具有相似的结构，分为控制节点和计算节点。毫无疑问，这样的设计可以很好地解耦各个功能组件。 数据平面：由一组和业务服务成对出现的Sidecar代理（Envoy）构成，它的主要功能是接管服务的进出流量，传递并控制服务和Mixer组件的所有网络通信（Mixer是一个策略和遥测数据的收集器，稍后会介绍）。控制平面：主要包括了Pilot、Mixer、Citadel和Galley共4个组件，主要功能是通过配置和管理Sidecar代理来进行流量控制，并配置Mixer去执行策略和收集遥测数据（Telemetry）。 图2-1展示了由这些组件组成的Istio架构。 图2-1　Istio架构 从Istio的架构中可以看出，Istio追求尽可能的透明，通过各种解耦设计让系统对内对外都没有依赖。同时，它还提供了高度的扩展性。Istio认为随着应用的增长和服务的增多，扩展策略系统是最主要的需求，因此它被设计为以增量的方式进行扩展。可移植也是Istio在设计中充分考虑的因素，它被设计为支持多种平台，以便服务可以被方便地迁移到不同的云环境中（在撰写本书的过程中，Istio仍然深度依赖于Kubernetes平台）。通过数据平面和控制平面的分离，各个组件都成为插件，这种开放和包容的设计思路相当具有前瞻性，我想这也就是其他服务网格产品都放弃了和它竞争而选择合作的重要原因。 下面对架构中的各组件做进一步介绍。 Istio的核心控件 Envoy从2.2节的架构图可以看出，Istio的数据平面就是指代理。Istio选择Envoy作为Sidecar代理，Envoy本质上是一个为面向服务的架构而设计的7层代理和通信总线。Envoy基于C++11开发而成，性能出色。除了具有强大的网络控制能力外，Envoy还可以将流量行为和数据提取出来发送给Mixer组件，用以进行监控。 Envoy在网络控制方面的主要功能如下。HTTP 7层路由。支持gRPC、HTTP/2。服务发现和动态配置。健康检查。高级负载均衡。 我们知道，在Kubernetes环境中，同一个Pod内的不同容器间共享网络栈，这一特性使得Sidecar可以接管进出这些容器的网络流量，这就是Sidecar模式的实现基础。Envoy是目前Istio默认的数据平面，实际上因为Istio灵活的架构，完全可以选择其他兼容的产品作为Sidecar。目前很多服务网格产品都可以作为Istio的数据平面并提供集成。 PilotPilot 是Istio实现流量管理的核心组件，它主要的作用是配置和管理Envoy代理。比如可以为代理之间设置特定的流量规则，或者配置超时、重试、熔断这样的弹性能力。Pilot会将控制流量行为的路由规则转换为Envoy的配置，并在运行时将它们广播到Envoy。另外，Pilot还能够把服务发现机制抽象出来并转换成API分发给Envoy，使得后者具有服务发现的能力。 简单来说，Pilot的主要任务有两个。从平台（如Kubernetes）获取服务信息，完成服务发现。获取Istio的各项配置，转换成Envoy代理可读的格式并分发。 图2-2展示了Pilot架构。Pilot维护了一套独立于平台的服务规则，并提供了一个平台适配器，以便接入各种不同的平台。Rules API对运维人员开放，使得他们可以设置想要的流量规则，Pilot会把这些配置好的规则通过Envoy API分发给Envoy代理，以使其执行指定的规则。 图2-2　Pilot架构 Pilot还公开了用于服务发现并且可以动态更新负载均衡和路由表的API。 MixerMixer的主要功能是提供策略控制，并从Envoy代理收集遥测数据。每次网络通信时Envoy代理都会向Mixer发出预检要求，用来检测调用者的合法性。调用之后Envoy代理会发送遥测数据供Mixer收集。一般情况下Sidecar代理可以缓存这些数据，不需要频繁地调用Mixer。 适配器是Mixer的重要组成部分，它本质上是一个插件模型，每个插件叫作适配器。这项特性使得Mixer可以接入几乎任意的（只要定义好接口）后端基础设施。比如可以选择接入不同的日志收集器、监控工具和授权工具等；可以在运行时切换不同的适配器或者是打开（关闭）它们；还可以自定义适配器以满足特定需求。适配器极大地提高了Mixer的扩展性，它让Istio的功能拥有了更多可能性。图2-3展示了Mixer的架构图并展示了它和Envoy的交互方式。 图2-3　Mixer架构 CitadelCitadel是与安全相关的组件，主要负责密钥和证书的管理。它可以提供服务间和终端用户的身份认证，还可以加密服务网格中的流量。在后面介绍安全主题的第8章中，我们会详细说明它是如何和其他组件协同工作的。 Galley在2019年3月份发布的1.1版本中，Galley作为一个独立的组件被添加到了架构当中（在此之前的版本中Galley并未独立出现），它现在是Istio主要的配置管理组件，负责配置的获取、处理和分发。Galley使用了一种叫作MCP（Mesh Configuration Protocol，网格配置协议）的协议与其他组件进行通信。 Istio的主要功能下面详细地介绍一下Istio的4个主要功能和实现原理。 1、流量管理第1章介绍过，微服务应用最大的痛点就是处理服务间的通信，而这一问题的核心其实就是流量管理。首先来看一看传统的微服务应用在没有服务网格介入的情况下，如何完成诸如金丝雀发布这样的动态路由。假设不借助任何现成的第三方框架，一个简单的实现方法是，在服务间添加一个负载均衡（如Nginx）做代理，通过修改配置的权重来分配流量。这种方式将对流量的管理和基础设施（云服务器、虚拟机、实体机等）绑定在了一起，难以维护。 而使用Istio就可以轻松地实现各种维度的流量控制。图2-4展示了两种不同的金丝雀发布策略。第一种是根据权重把5%的流量路由给新版本；第二种是根据请求的头信息User-Agent把使用iPhone的用户流量路由到新版本。 图2-4　Istio的流量管理 Istio的流量管理是通过Pilot和Envoy这两个组件实现的，将流量和基础设施进行了解耦。Pilot负责配置规则，并把规则分发到Envoy代理去实施；而Envoy按照规则执行各种流量管理的功能，比如动态请求路由，超时、重试和熔断，还可以通过故障注入来测试服务之间的容错能力。下面对这些具体的功能进行逐一介绍。 1．请求路由Istio为了控制服务请求，引入了服务版本（Version）的概念，可以通过版本这一标签将服务进行区分。版本的设置是非常灵活的，可以根据服务的迭代编号进行定义（如v1、v2版本）；也可以根据部署环境进行定义（如Dev、Staging和Production）；或者是自定义任何用于区分服务的标记。通过版本标签，Istio就可以定义灵活的路由规则以控制流量，上面提到的金丝雀发布这类应用场景就很容易实现了。 图2-5展示了使用服务版本实现路由分配的例子。服务版本定义了版本号（v1.5、v2.0-alpha）和环境（us-prod、us-staging）两种信息。服务B包含了4个Pod，其中3个是部署在生产环境的v1.5版本，而Pod4是部署在预生产环境的v2.0-alpha版本。运维人员根据服务版本指定路由规则，通过Pilot同步给Envoy代理，使得99%的流量流向v1.5版本的生产环境，而1%的流量进入v2.0-alpha版本的预生产环境。 图2-5　服务版本控制 2．入口网关（Ingress）和出口网关（Egress）服务间通信是通过Envoy代理进行的。同样，我们也可以在整个系统的入口和出口处部署代理，使得所有流入和流出的流量都由代理进行转发，而这两个负责入口和出口的代理就叫作入口网关和出口网关。它们相当于整个微服务应用的边界代理，把守着进入和流出服务网格的流量。图2-6展示了Ingress和Egress在请求流中的位置，通过设置Envoy代理，出入服务网格的流量也得到了控制。 图2-6　请求流中的Ingress和Egress 3．服务发现和负载均衡服务发现的前提条件是具有服务注册的能力。目前Kubernetes这类容器编排平台也提供了服务注册的能力。Istio基于平台实现服务发现和负载均衡时，需要通过Pilot和Envoy协作完成，如图2-7所示。Pilot组件会从平台获取服务的注册信息，并提供服务发现的接口，Envoy获得这些信息并更新到自己的负载均衡池。Envoy会定期地对池中的实例进行健康检查，剔除离线的实例，保证服务信息的实时性。 图2-7　服务发现和负载均衡 4．故障处理Istio的故障处理都由Envoy代理完成。Envoy提供了一整套现成的故障处理机制，比如超时、重试、限流和熔断等。这些功能都能够以规则的形式进行动态配置，并且执行运行时修改。这使得服务具有更好的容错能力和弹性，并保证服务的稳定性。 5．故障注入简单来说，故障注入就是在系统中人为地设置一些故障，来测试系统的稳定性和系统恢复的能力。比如为某服务设置一个延迟，使其长时间无响应，然后检测调用方是否能处理这种超时问题而自身不受影响（如及时终止对故障发生方的调用，避免自己受到影响且使故障扩展）。 Isito支持注入两种类型的故障：延迟和中断。延迟是模拟网络延迟或服务过载的情况；中断是模拟上游服务崩溃的情况，表现为HTTP的错误码和TCP连接失败。 策略和遥测 ...

本文整理自 GIAC（GLOBAL INTERNET ARCHITECTURE CONFERENCE）全球互联网架构大会，蚂蚁金服平台数据技术事业群技术专家石建伟（花名：卓与）的分享。分享基于 Service Mesh 的理念，结合蚂蚁金服内部实际场景，将中间件、数据层、安全层等能力从应用中剥离出来后下沉至独立的 Sidecar SOFAMosn 中，结合 Kubernetes 运维体系，提供应用无感知的情况下升级基础设施层能力的案例。 本次分享将从以如下次序展开进行： 蚂蚁金服当前的服务化现状在看蚂蚁金服的服务化架构之前我们先从一个简单的服务化调用示例说起，下图是 SOFARPC 基本原理： 图1. SOFARPC 基本原理 我们从上图可以看出，构建一个服务化框架需要有服务注册中心，有服务定义，调用方和服务提供方使用相同的服务定义来互相通讯。通过服务注册中心，调用方可以直接订阅到服务提供方的地址，采用点对点的方式直接发起请求。客户端内可实现服务发现、路由寻址、负载均衡、限流熔断等能力来增强服务通讯能力。通过我们开源的 SOFARPC、SOFARegistry、SOFABoot，用户已经可以直接构建起微服务体系，助力业务发展。 蚂蚁金服发展至今，双 11 系统需要应对的交易洪峰逐年递增： 图2. 历年双 11 交易额与峰值数据 每秒 26.5 万笔交易是 2017 年双 11 的峰值数据，这个数据背后有非常复杂的架构支持，LDC 单元化架构是蚂蚁金服沉淀多年的核心架构，依靠这个架构实现每年峰值交易量飞速增长下系统依然能平滑渡过。我们来简要看下 LDC 架构： 图3. LDC 架构示例 上图摘自 金融级分布式架构 中的 素描单元化 一文，这里不详细展开。LDC 的单元化架构给应用的服务化带来更多的规范与抽象，服务路由中需要考虑单元间的调用，跨机房调用等更多场景。这里主要希望表达的是 LDC 架构给 RPC 调用带来更高的复杂度。 服务化痛点中间件版本升级在上面介绍背景时，有介绍到目前 LDC 架构下服务调用的复杂度，这些复杂度目前是直接体现在应用的代码中。对于业务同学来讲，一个应用的关注重点是如何实现业务逻辑，至于高可用、容灾等能力更多是整体架构层面会考虑的点。应用内通过引入 RPC 的 jar 包即可获得 LDC 架构下服务调用各种能力的支撑，带来便利的同时也可以看到这种模式的缺点： 图4. APP 业务与 SDK 组成部分应用内除业务逻辑之外，由中间件的 SDK 引入大量外部依赖，来完成服务发现、路由寻址、负载均衡、限流熔断、序列化、通讯等能力，每个组件的引入都可能带来稳定性风险，以及更高的升级成本。 ...

原文链接：Service Mesh 时代，Dubbo 架构该怎么跟进？，来自于微信公众号：次灵均阁作为 Duboo 核心开发者，请先简单介绍下自己答：大家好，我是小马哥（mercyblitz），一名学习当爸爸的父亲，Java 劝退师，Apache Dubbo PMC、Spring Cloud Alibaba项目架构师，《Spring Boot 编程思想》的作者。目前主要负责集团中间件开源项目、微服务技术实施、架构衍进、基础设施构建等。 Spring Cloud 和 Duboo 在微服务方面的优劣分别是什么？答：在 Java 生态中，Spring Cloud 和 Dubbo 都是微服务框架。前者被业界常作为 Java 微服务的首选框架，而后者有时被错误地解读为服务治理的 RPC 框架。实际上，两者在微服务架构中并没有本质的差异，均是分布式应用服务治理的框架。 在开发体验方面，Spring Cloud 开箱即用的组件让人印象深刻。在 API 抽象和设计方面，流淌着 Spring 家族血液的 Spring Cloud 延续了父辈的荣耀。由此观之，Dubbo 与其存在差距。 然而随着实践的不断深入，Spring Cloud 功能的稳定性以及版本的兼容性等问题较为突出。当应用集群达到一定规模时，其分布式经验上的短板也随之暴露，尤其是 Spring Cloud Netflix 套件，比如 Eureka 与 Ribbon 之间的 90 秒延迟会影响服务调用的成功率，以及负载均衡算法缺少权重无法帮助 JVM 预热。简言之，在服务治理方面，Spring Cloud 相较于 Dubbo 而言，并不算太成熟。如果大家有兴趣了解更多的话，可参考「小马哥技术周报」。 总之，Spring Cloud 和 Dubbo 各有特色，过度地关注彼此优劣并不可取。为此，Spring Cloud Alibaba 项目综合两家之长，提供了一套名为 Dubbo Spring Cloud 的整容实现，使得 Dubbo 与 Spring Cloud 不再是互斥性选项。 ...

关键点 当前流行的Service Mesh实现（Istio，Linkerd，Consul Connect等）仅满足微服务之间的请求 - 响应式同步通信。为了推进和采用Service Mesh，我们认为支持事件驱动或基于消息的通信是至关重要的。在Service Mesh中实现消息传递支持有两种主要的体系结构模式；协议代理sidecar，它是来自消费者和生产者的所有入站和出站事件的代理；以及HTTP bridge sidecar，它将事件驱动的通信协议转换为HTTP或类似的协议。不管使用哪种bridge模式，sidecar都可以促进跨功能特性的实现(和纠正抽象)，比如可观察性、节流、跟踪等。Service Mesh作为基础技术和基于微服务、云原生架构的架构模式越来越受欢迎。 Service Mesh主要是一个网络基础结构组件，允许您从基于微服务的应用程序卸载网络通信逻辑，以便您可以完全专注于服务的业务逻辑。 Service Mesh是围绕代理的概念构建的，代理与服务作为sidecar进行协作。虽然Service Mesh常常被宣传为任何云原生应用程序的平台，但目前流行的Service Mesh实现（Istio/Envoy、Linkerd等）只满足微服务之间同步通信的request/response风格。但是，在大多数实用的微服务用例中，服务间通信通过各种模式进行，例如request/response（HTTP，gRPC，GraphQL）和事件驱动的消息传递（NATS，Kafka，AMQP）。 由于Service Mesh实现不支持事件驱动的通信，Service Mesh提供的大多数商品功能仅可用于同步request/response服务 - 事件驱动的微服务必须支持这些功能作为服务代码本身的一部分，这与Service Mesh架构的目标相矛盾。 Service Mesh支持事件驱动的通信至关重要。本文着眼于支持Service Mesh中事件驱动架构的关键方面，以及现有Service Mesh技术如何尝试解决这些问题。 实现事件驱动的消息传递在典型的request/response同步消息传递方案中，您将找到一个服务（服务器）和一个调用该服务的使用者（客户端）。 Service Mesh数据平面充当客户端和服务之间的中介。 在事件驱动的通信中，通信模式是截然不同的。 事件生成器异步地将事件发送到事件代理，生成器和使用者之间没有直接的通信通道。 通信风格可以是pub-sub（多个使用者）或基于队列的（单个使用者），并且根据样式，生产者可以分别向主题或队列发送消息。 消费者决定订阅驻留在事件代理中的主题或队列，该事件代理与生产者完全分离。 当有可用于该主题或队列的新消息时，代理会将这些消息推送给使用者。 有几种方法可以将Service Mesh抽象用于事件驱动的消息传递。 01 Protocol-proxy sidecar 协议代理模式围绕所有事件驱动的通信信道应该通过Service Mesh数据平面（即，边车代理）的概念构建。 为了支持事件驱动的消息传递协议（如NATS，Kafka或AMQP），您需要构建特定于通信协议的协议处理程序/过滤器，并将其添加到sidecar代理。 图1显示了使用service mesh进行事件驱动的消息传递的典型通信模式。 图1：使用service mesh的事件驱动的消息传递 由于大多数事件驱动的通信协议都是在TCP之上实现的，所以sidecar代理可以在TCP之上构建协议处理程序/过滤器，以专门处理支持各种消息传递协议所需的抽象。 生产者微服务（微服务A）必须通过底层消息传递协议（Kafka，NATS，AMQP等）向side car发送消息，使生产者客户端使用最简单的代码，而side car去处理与协议相关的大部分的复杂性。Envoy团队目前正在基于上述模式实现对Envoy代理的Kafka支持。它仍在进行中，但你可以在GitHub上跟踪进展。 HTTP-bridge sidecar 不需要为事件驱动的消息传递协议使用代理，我们可以构建一个HTTP bridge来转换需要消息协议的消息（to/from）。构建此桥接模式的关键动机之一是大多数事件代理提供REST API（例如，Kafka REST API）来使用和生成消息。如图2所示，通过控制连接两个协议的sidecar，现有的微服务可以透明地使用底层事件代理的消息传递系统。sidecar代理主要负责接收HTTP请求并将其转换为Kafka/NATS/AMQP/等。消息，反之亦然。 图2：HTTP bridge允许服务通过HTTP与事件代理通信 同样，您可以使用HTTP桥接器允许基于Kafka / NATS / AMQP的微服务直接与HTTP（或其他request/response消息传递协议）微服务进行通信，如图3所示。在这种情况下，sidecar接收Kafka / NATS / AMQP 请求，将它们转发为HTTP，并将HTTP响应转换回Kafka / NATS / AMQP。目前正在努力在Envoy和NATS上添加对此模式的支持（例如，AMQP / HTTP Bridge和NATS / HTTP Bridge，都在Envoy做此种模式的支持）。 ...

翻译 | 宋松原文 | https://medium.com/solo-io/li... 本周我开始写一篇比较Istio和Linked的帖子，并且告诉我自己：我将用一个表格来比较两者的特性，这将会很棒，人们会爱上它，这个世界将会幸福几秒钟。我向自己承诺这将是一个公平的比较，没有任何偏见。虽然比较的表格仍然存在，但我转移了文章的终点：目标不再是哪个更好，而是哪个更适合你、你的应用程序和你的组织。 在职业生涯的一段时间中，我曾担任某公司的售前架构师，记得有很多次我们被要求填写产品比较表。我经常需要运用创造力来确保产品看起来很好，几乎不惜一切代价避免表格中令人不愉快的“不支持”的框。考虑到诚信工作，但是有时候不得不这样做。 站在评价者的角度来看，我理解他们（希望）的目的是进行公平的比较，在这种程度上，对比的表格似乎是一种可靠的方式。我们知道一个项目的成功可以预测职业的发展，我们都喜欢这一点。但问题是：如果评估的最终目标是产品对比表格，而不是能让企业更有竞争力的高质量软件，那么这个评估的最后将只是一些“表格”的工作。 产品比较并不是最终目的，通过比较知道哪些对你的用例最好才是最终目的。因此让我们通过七个方面来深入研究Service Mesh，主要是以下几个方面： 流量管理安全安装/配置支持的环境监测策略管理性能对于上述七个方面中的每一个，我都将发表个人观点，希望我的观点能够帮你做出更接近于简洁的决策。 流量管理需要强调的是，Istio和Linkerd的区别在于数据平面使用了两种不同的代理技术。 Istio使用Envoy作为其代理。Envoy是C++编写的，最初是由Lyft构建，以便以非Kubernetes方式促进微服务的流量管理。许多公司已经将Envoy扩展为Kubernetes的ingress技术。 Linkerd（v2）使用的是一种名为Linkerd-proxy的专用服务网格代理。这个代理是使用Rust编写的，与该代理一起，许多低级代理（网络客户机与服务器）功能在另一个也是由rust编写名为Tower的项目中实现。Tower依赖于Tokio，Tokio是一个由Rust编写的事件驱动非阻塞I/O库。如果你和我一样欣赏统计学，那么Rust已经连续四年（2016、2017、2018、2019）一直是Stack-overflow最受欢迎的语言。 Istio是构建与Envoy之上的因此在流量管理方面它是占据优势的，Envoy已经包含了重要的IMHO功能，比如子集路由。用户仍然可以使用Linkerd实现金丝雀/蓝绿/a-b发布，但必须依靠单独的Kubernetes服务和能够分发流量的集群ingress技术，比如Gloo（gloo.solo.io）。 Linkerd团队在最近一次社区会议上公开表示，计划在未来的版本中实现更加高级的L7流量管理功能。 安全关于安全，我正在考虑保护通信通道的能力。Istio和Linkerd两者都提供了合理的安全保护功能。 Istio和Linkerd都依赖于外部根证书，因此两者都能保证进行安全通信。这听起来像是一个很好的周末项目，你觉得呢？ 安装和配置 鉴于Istio可以安装在许多不同的平台上，安装说明可能会存在很大的不同。在写这篇文章的时候，关于Linkerd的安装，我对一些预先需要安装功能的检查印象很深刻。有很多次我在共享的Kubernetes集群中安装一些Linkerd功能时，我不清楚我是否拥有必要的权限。对于Linkerd，pre-check（或check-pre）检查你是否拥有在安装过程中创建Kubernetes所需资源的权限。 环境支持和部署模型对于是选择kubernetes或者是非Kubernetes安装，这是一个很直接的问题，Linkerd2是用基于kubernetes方式构建的，至少目前是这样的，而Istio收到了一下其他的公司的贡献，希望istio能在非kubernetes环境中运行。 考虑多集群部署，客观来说对于它的解释可能很棘手。从技术上来讲，共享根CA证书的多个不同集群（具有不同的控制平面）上的服务之间可以有效的通信。 Istio扩展了上述概念，因为它支持不同情形下的多个集群： 单个控制平面即可满足不同集群之间网络连接和pod之间IP寻址。通过使用具有单个控制平面的集群边界网关（egress和ingress）即可访问多个集群上的kubernetes API服务器。在上述两种情况下，包含控制平面的集群将成为mesh管理的SPOF（single point of failure）。在我们这个可以在同一区域下的多个可用区域上部署单个集群的世界中，这将不再是一个问题，但仍然不能完全忽略它。 监测 可以说Istio的管理控制台是一个缺失的部分。 Kiali Observability Console确实解决了一些管理员对service mesh所需的一些需求。 Kiali（）是一个希腊词，意思是望远镜，从Kiali的网站上可以清楚的看到它打算成为一个可监测性的控制台，而不仅仅是一个Service Mesh管理控制台。 Linkerd控制台还不完整，但是社区决定也要构建一个管理仪表盘的目标是一个优势。 Linkerd未能提供请求追踪。想要以非侵入方式查看请求追踪跨度必须等待Linkerd实现该功能。Istio利用了Envoy支持添加追踪headers的事实。 应该提醒用户，应用程序需要准备好转发跟踪headers，如果没有准备，代理可以生成新的跟踪IDS，这可能会无意中将单个请求分割为多个请求跨度使请求之间失去必要的关联性。大多数开发框架都有转发headers的选项，而无需用户编写大量的代码。 策略管理Istio的爱好者，请欢欣鼓舞！Istio的策略管理能力令人印象深刻。 该项目构建了一个可扩展的策略管理机制，允许其他技术可从多个方面与Istio集成，请参阅下面的“template”列表以及一些集成的提供者。你可以认为“template”是一种集成。 为了突出其他策略类型，Istio也可适用于rating和limiting以及提供对主体身份验证的开箱即用支持。Linkerd用户依赖集群ingress控制器提供rating和limiting。 对于主体身份验证，我一直认为它应该委托给应用程序。请记住#4分布式计算的谬论：网络是安全的。对此持零信任策略。 Istio令人印象深刻的策略管理能力是需要代价的。考虑到他的广泛性，管理众多的选项增加了本已昂贵的运营成本。 Istio（Mixer）的策略管理组件也增加了显著的性能，我们将在下面详细讨论。 性能对比表在哪里？幸运的是，就在最近，发布了两个很棒的博客，对Istio和Linkerd的性能进行了比较，我在下面引用了其中一些结论： 对于这种综合工作负载，Istio的Envoy代理使用比Linkerd多50%的CPU。Linkerd的控制平面使用了一小部分Istio，特别是在考虑“core”组件时。 ——Michael Kipper — Benchmarking Istio & Linkerd CPU（https://medium.com/@ihcsim/li...） And… 在本实验中，与基线设置相比，Linkerd2-meshed设置和Istio-meshed设置都经历了更高的延迟和更低的吞吐量。在Istio-meshed设置中产生的延迟高于在Linkerd2-meshed设置中观察到的延迟。Linkerd2-Meshed设置能够处理比Istio-Meshed设置更高的HTTP和GRPC ping吞吐量。 ——Ivan Sim — Linkerd 2.0 and Istio Performance Benchmark（https://medium.com/@ihcsim/li...） ...

导读当下微服务的实践方案中，Spring Cloud，Dubbo作为主流的落地方案，在企业应用架构中发挥越来越重要的作用。本文探讨企业应用架构如何从微服务架构向Service Mesh架构演化，并形成落地方案。需要特别说明：本文讨论的架构目前适用于普通的企业级应用，其他行业（例如互联网）需要进一步扩展。 在讨论之前，我们需要明确一个事实：企业应用一定是围绕业务进行的。无论采用什么的架构落地，都是为了更好的为应用业务进行服务。从企业应用的特性考虑，主要包括：稳定性，安全性，扩展性，容错性。 围绕着企业应用的这些特点，我们来看一个典型的微服务企业架构模型，如图所示： 服务接入层：企业暴露到外部访问的入口，一般通过防火墙等。网关层：服务网关是介于客户端和服务端的中间层，所有的外部请求会先经过服务网关，为企业应用提供统一的访问控制入口。服务网关是微服务架构下的服务拆分，聚合，路由，认证以及流控综合体现。支撑服务层：为企业应用提供运行所需的支撑环境，包括注册发现，集中配置，容错限流，认证授权，日志聚合，监测告警，消息服务等业务服务层：业务服务是企业应用的核心所在，为企业领域应用的具体实现，一般进一步拆分为基础服务（基础功能）和聚合服务（综合场景）。平台服务层：为企业应用提供运行所需的软件资源，包括应用服务器，应用发布管理，应用镜像包管理，服务治理。基础设施层：为企业应用提供运行所需的硬件资源，包括计算资源，网络资源，存储资源，基本的安全策略控制等。从这个典型的服务架构体系中，能够清晰的表明层级架构以及各层涵盖的职责说明。我们暂不考虑基础设施层和平台服务两层，重点关注网关服务，业务服务，支撑服务，突出其中的一些基础支撑功能组件，这也是我们本篇探讨的重点内容。如下图所示： 根据图中红色标识，我们会发现这样一个事实：在微服务架构下，无论是哪种落地实现方式，都集中在网关服务、支撑服务两个层面。无论是Spring Cloud“套装组件”，Dubbo“套件”还是其他开源组件，都为支撑服务的实现提供了数量众多的选择。功能完整、选择性多这是业内喜闻乐见的事情，但是也无形中增加了开发，测试，运维人员的压力。大家需要掌握越来越多的“使用工具”以更“方便”、“快捷”地应对业务服务。有时候，可能为了实现单一功能，而必须引入一堆组件，这时候我们希望能够有一个完整的平台来为应用业务提供一体化的支撑服务，而不是一系列“套装组件”与业务的集成。 那么如何基于一个平台来实现这些企业应用需要的能力呢？经过一定阶段的技术调研，我们认为Service Mesh能够帮助我们初步达到这个目标。 我们都知道Service Mesh以解决“服务通信”的问题作为其设计初衷，聚焦基础设施“网络层”，并以此做技术基础，解决业务通信场景面临的问题。那么如何把它应用在企业应用架构中来取代“微服务套装组件”呢？那接下来让我们针对网关服务，业务服务，支撑服务分别来看一下，如何从原来的微服务“套装组件”中抽离出来，实现Service Mesh方向的转变。 网关服务前面提到过：服务网关是介于客户端和服务端的中间层。从功能上不难理解，对内屏蔽内部细节，对外提供统一服务接口。从场景聚焦角度考虑，网关根据不同的场景承载不同的职责，包括认证，授权，路由，流控，负载等。（之前我们也聊过网关组件的对比及具体实现，感兴趣的同学可点击微服务五种开源API网关实现组件对比）。 由此可见，服务网关是企业应用架构下一些列功能的综合体现。那么在Service Mesh情况下如何处理网关服务呢？在展开之前首先需要说明一个前提：目前为止Service Mesh跟真正企业网关相比还存在一定的不足之处，例如“协议转化”，“安全策略”，“性能要求”等方面。在这里我们也是探讨这样的可能性。下面以Istio为例，我们来看一下，如何提供网关层面的服务。 Istio在网关层面提供两种类型的网关服务：Ingress Gateway，Egress。 Ingress GatewayIngress Gateway用于接收传入的HTTP/TCP连接，它配置暴露端口，协议供外部统一接入，但是自身不提供任何的路由配置，而是完全依赖 Istio 的控制规则来进行流量路由。从而与内部服务请求统一到同一个控制层面上。 Egress在企业应用与外部应用之间，有时候为了业务需要会出现内部服务调用外部服务的情况，此时一般会从企业内部接入第三方网关来获取服务数据。在 Isito 中你同样可以基于Egress来达到目的。Isito中提供两种方式：一种基于ServiceEntry + VirtualService的配置，实现第三方服务的访问，一种扩大sidecar的访问地址列表。（参考文档：https://preliminary.istio.io/...）。 基于上述两种场景，我们可以看出，在 Service Mesh 的体系下，网关层面变成一个可以动态生成和销毁的组件，能够通过控制层面实现统一规则管理，并且实时生效。 基于Service Mesh的网关服务如下图所示： 从实现原理上分析，传统的网关实现基于 Servlet 的 filter 的模式，实现服务请求转移过程中的层层过滤和处理。区别在于采用同步或者异步处理机制，用来解决网关的性能瓶颈。而Service Mesh的网关完全是基于网络代理的请求转发与控制，本质上作用在服务的 Iptables 上，通过对 Iptables 的规则控制达到同样的效果。 业务服务业务是企业应用的“重中之重”，无论哪种企业架构，最终都是为了更好地为业务提供服务，那么我们如何在Service Mesh的体系下，重构业务服务呢？我们以两个简化的服务调用来说明整个架构的转变过程。 假如要实现服务A，服务B的相互调用，最原始的方式是服务A基于协议层直接调用服务B（这里暂时忽略高可用，多副本，负载均衡的方式），如图所示： 由图可见，服务A基于某种协议完成对服务B的请求，相对比较简单。但是我们知道这样虽然能够快速完成业务关联，但是无法确保业务正常稳定的运行，因此我们需要引入更多的服务来保证业务的稳定，可靠，可控。此时我们最容易想到的是引入微服务的支撑组件来达到目标。 以Spring Cloud方案为例，我们来说明当前微服务架构的实现方式。为了满足企业应用对服务A，服务B的管理控制，需要额外引入“注册中心”，“网关”，“配置中心”，“服务监测”，“事件消息”，“链路跟踪”，“日志服务”等众多与直接业务无关的“旁路保障服务”，简化一下，如下图所示： 从图中可以看出，每个服务都引入了大量与业务无关的“保障服务”，这些“旁路保障服务”消耗的资源，与比业务本身消耗的资源成“倍数关系”。随着服务数目的增多，业务服务本身占用的资源比会越来越少，此时开发人员会把大量的精力花费在维护这些“旁路保障服务”上，而忽略业务本身。这对于企业应用而言，有些本末倒置的意思。 我们再来看一下 Service Mesh 体系下，我们如何解决上述问题。Service Mesh为了解决企业应用的“通信问题”重点做了四个方面的工作，以 Istio 为代表，提供了包括流量管理，安全配置，策略控制以及外围组件支撑的遥测功能（需要的朋友，可以参考官方文档：https://preliminary.istio.io/...），在Service Mesh的架构下，服务A调用服务B的架构会变成下图所示： ...

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。Prometheus v2.9.0 正式发布Prometheus 是 CNCF 毕业项目，可用于监控系统及服务状态。它整体是使用 Pull 的模式，在周期时间内采集目标的 metrics ，并且提供了 PromQL 的查询语言，以供对监控数据进行查询过滤等操作。并且可以通过配置规则来触发报警等。我首次接触 Prometheus 大概是在 2015 年 0.15.0 版本左右，当时 Prometheus 还处于比较早期的阶段，不过在进入 CNCF 后，Prometheus 基本就成为了 K8S 监控的实施标准了，并且多数软件也都增加了对 Prometheus metrics 的支持。 v2.9.0 的主要更新： 从 2.8 开始引入了的从 WAL 读取进行 remote write 有时候会丢数据的问题已经得到修复；Kubernetes 和 OpenStack 在服务发现时候增加了更多元数据；Consul 现在支持多 tag；添加了一个 honor_timestamps 的选项；TLS 证书会自动从磁盘加载；日志也变的更易读；其他更新请阅读 ReleaseNote Linkerd 2.3 正式发布Linkerd 是一个 service mesh 旨在提供平台范围的可观察性，可靠性和安全性，而无需用户更改代码。在本月初的周报推送中，推荐了一篇关于 Linkerd v2 从产品中吸取的教育和经验的文章，Linkerd v2 使用 Go 和 Rust 进行了重写，并因此获得了巨大的收益。 ...

导读近期与几位企业用户交流 Service Mesh 及其相关技术，大家对于它所展现的形态以及未来发展都表示出极大的兴趣。但对当下企业应用现状如何与 Service Mesh 整合到一起又表现出极大的困惑。本文力图结合Service Mesh技术特性与企业应用的实际情况，就 Service Mesh 如何应对企业应用给出博云自身的思考，欢迎有兴趣的朋友一起讨论。在进行详细探讨之前，我们首先回顾一下 Service Mesh 的定义：服务网格是一个用于处理服务间通信的基础设施层，它负责为构建复杂的云原生应用传递可靠的网络请求。在实践中，服务网格通常实现一组与应用程序部署在一起的轻量级的网络代理，但对应用程序来说是透明的。从定义中我们可以清晰地看到 Service Mesh 的技术定位：“处理服务间通信的基础设施层”。因此我们不能希望它帮我们简化开发测试场景面临的挑战（DevOps 或者应用服务化，当然一定程度上可以解耦应用与基础中间件的调用关系，稍后会详细说明），或者解决应用部署场景的问题（部署问题由容器编排平台处理更加合适）。总体来说，Service Mesh 专注业务应用部署上线后期的通信领域问题，同时一定程度上解耦业务单元与基础中间件的调用关系（例如服务注册中心）。如图所示：围绕 Service Mesh 所聚焦的领域以及如何服务于企业级应用，本文重点探讨4个问题：· Service Mesh 的技术特性；· Service Mesh 与企业应用的整合之道；· Service Mesh 的部署管理形态；· Service Mesh 的远景形态。Service Mesh技术特性考虑到目前 Service Mesh 落地方式集中在以容器化为首的 PaaS 领域之内，因此我们也将重点基于容器化方案探讨 Service Mesh 所具备的技术特性。从 Service Mesh发 展来看，无论是基础的 Docker 运行环境，还是以Kubernetes 为“事实标准”的容器编排环境，都是 Service Mesh 能够快速发展的基石。以 Kubernetes 为例，Service Mesh 并非技术上的创新，更多是利用 CRD 特性对 Kubernetes 的扩展以及传统技术的整合（防火墙、DNS服务发现等）。以 Isito 为例， Istio 基于引入的标准规范以及 Kubernetes CRD 特性自定义几十种自身的资源，并依赖 kubectl CLI 命令工具对这些 CRD 进行统一管理。我们发现Service Mesh 的技术特性主要体现在5个方面：容器编排环境；数据代理控制；配置管理分发；服务链路追踪；服务通信安全。容器编排环境结合 Service Mesh 落地的几个方案来看，容器编排环境是 Service Mesh 能够落地的必备要素之一（这里暂时不深入讨论容器化采用的技术原理，如namespace，AUFS等）。容器化编排环境的特性能够将企业应用或者业务实例组织成方便管理和寻址的业务单元，方便系统化的方式访问这些单元。这里同样暂时忽略 Mesh 外围对接的各种 Adapter。数据代理控制从 Service Mesh 定义中可知，其本身是一个与应用绑定在一起的轻量级网络代理，该代理拦截所有服务请求的出站和入站流量，并依赖控制层面标准化接口提供的规则信息（最终转化成防火墙内的路由配置）进行流量的转发和控制，同时对调用日志、调用链路、响应时长进行记录和汇报。配置管理分发Service Mesh 为了保证数据代理功能的独立性，将配置与数据代理进行解耦。配置也称作控制层面，负责从容器环境搜集服务信息，并且以高度抽象化的标准接口提供给数据代理服务，为流量转发提供可靠的路由依赖。同时控制层面面向用户提供“声明式”的规则定义，这些规则会存储在容器平台中，同时生成路由转发的流量控制规则，并且以接口的形式提供给数据代理服务，为路由转发的流量控制提供管理依据。例如在 Istio 中规则定义表现为 Istio 定义的 CRD 资源，规则生效接口表现为 Policy 提供的 XDS 接口。服务链路追踪服务链路在 Service Mesh 中是基础必备的功能。它的实现依赖两部分：数据采集和链路呈现。数据采集主要依赖数据代理服务进行服务请求拦截或者转发时记录服务请求的源IP地址、目的IP地址和对应的服务名称等有效信息；链路呈现依赖于分布式跟踪系统，将采集的服务调用链路信息存储在分布式跟踪系统中，做集中呈现，例如 Zipkin 等。服务通信安全安全是企业应用必然关注的因素之一，那么 Service Mesh 在安全领域提供哪些技术特性呢？Service Mesh 作为 PaaS 的扩展实现，主要从3个层面为企业应用安全保驾护航：第一：基于TLS的双向通行加密。例如Isito中可以在部署时打开TLS双向认证配置，并且依赖独立的证书管理功能，实现服务通信过程的加密。第二：权限控制访问。Service Mesh为了保证服务调用的合法性，提供了权限访问控制。例如Isito中基于RBAC的权限访问控制；第三：基于策略的黑白名单访问控制以及服务熔断控制。当然仅仅依靠 Service Mesh 保证企业应用的安全是不够的，同样需要借助其他软硬件手段，例如防火墙、网络安全监控、内部异常检测等，具体不在本文讨论范围。Service Mesh与企业级应用整合之道在了解 Service Mesh 技术特性以后，我们重点来聊一下 Service Mesh 如何与企业级应用整合。在具体展开之前，首先我们说一下企业应用的现状与特性：根据 Gartner 对当前 PaaS 市场的统计调研结果，大部分企业处于传统应用（物理或者虚拟化）向容器化转型的阶段，不同行业都期望能够把自己的应用合理地迁移到云端（重点考虑 PaaS 领域）。但对于遗留的企业系统，尤其是核心系统上 PaaS 多多少少有一定的顾虑，因此我们把企业应用的部署形态分为三个等级（等级没有先后之分）：第一：核心系统，短期（未来几年）不会考虑容器化处理，例如金融行业的核心数据库和核心系统等；第二：支撑系统，当下以虚拟化居多，可能会尝试服务容器化；第三：外部系统，虚拟化为主，期望迁移到 PaaS 平台；而目前无论是项目交付还是产品自研，绝大多数围绕第三类应用系统展开，这也是我们当下考虑的重点。其次我们来分析一下企业应用的特性：企业应用在大多数情况下是以业务为驱动的。按照这个层面考虑，构建业务系统时存在两种情况：一体化应用和服务化应用。针对一体化应用，与 Service Mesh 进行整合时，并不能发挥 Service Mesh 的功效（由于业务集中处理，所有功能及非功能系统全部集中在代码本身，一定程度上 Service Mesh 集成意义不大）。因此我们重点考虑服务化应用与 Service Mesh 的整合。这样考虑的缘由是基于微服务或者云原生应用是构建系统的趋势所在，也更符合应用形态的发展规律。结合企业级应用的现状以及特性，我们把 Service Mesh 与企业应用的整合划分为四个阶段，如下图所示：应用服务化应用服务化与大家所说的微服务构建有一些不同之处。整体来讲，应用服务化还是利用微服务拆分原则，对应用业务单元进行服务拆分，同时确定服务间交互依赖的支撑组件。不同的地方在于服务直接的交互组件的选型，不再采用 Spring Cloud、Dubbo 或者其他组件提供的支撑功能（如服务注册与发现，服务链路跟踪，负载均衡等），而是依赖容器平台（如 kubernetes 提供的服务注册发现，负载均衡）和 Service Mesh。此种做法的目的是将应用支撑组件下沉，帮助客户从技术调研与选型的细节中解脱出来，完全从业务角度考虑问题。业务之外的事情交由 PaaS 平台、Service Mesh 统一处理。应用服务化，有两个目的：拆分应用业务单元和梳理业务单元调用链。(需要进一步说明：摒弃服务注册与发现组件，并非抛弃其能力，而是更换一种更方便的实现方式。开发环境下，各个服务联调直接利用 HTTP 或者其他协议的调用框架进行远程服务调用即可；测试或者生产环境中，将服务地址替换为容器平台注册的 Service 地址，从而具备服务注册发现，服务负载的能力)。当然针对之前已经基于 Spring Cloud 或者 Dubbo 开发的业务系统，在不改变原有架构的基础上同样可以与 Service Mesh 进行整合，但是在服务治理层面会存在一定冲突，目前来看，最有效的解法是把支撑能力交给平台本身，将业务与支撑解耦，实现彻底的服务化。应用容器化上面已经提到过，在当下的落地实践中容器化是 Service Mesh 能够存在的必要条件（当然可以非容器化，但代价无疑是巨大的）。应用服务拆分后的容器化改造，目前有多种实现的方式。最直接的是利用 DevOps 工具链，构建应用服务容器镜像。当然针对不同平台或者语言也可以进行独立实现，例如 Maven 的 docker 插件，github 提供的 CI 流程，Jenkins 提供的 pipeline 等都能够很好的实现服务容器化操作，这里不展开讨论。需要指出的是，服务容器化的重点在于构建一套符合企业制度与风格的控制流程规范，这其中技术因素不是主导因素，需要结合企业自身情况决定。应用Mesh整合应用服务化和应用容器化能够解决应用向 PaaS 平台迁移的绝大多数场景。但是前两者仅仅解决了服务编排部署问题，并没有对服务上线后的管理支撑提供更多的功能，而 Service Mesh 恰恰定位于这一领域。那么应用如何与 Mesh 进行整合呢？可以分四步进行，如图所示：第一步，Service Mesh 与 PaaS 基础设施整合。利用 PaaS 平台强大的编排部署能力，部署Service Mesh（具体项目例如Isito）的控制层面，各个组件在启动时会自动初始化 Mesh 所需的环境以及从 PaaS 平台中搜集需要的信息，必要的时候，可以把 Mesh 作为 PaaS 平台基础设施的一部分。第二步，配置 PaaS 平台。使其具备Mesh中代理程序自动注入的功能（例如 Istio 自动注入Sidecar的配置），当然该步骤可以省略，后续由用户手动注入，目的在于拦截服务请求与转发流量。第三步，利用 PaaS 平台直接部署业务应用。此时应用已经与Mesh绑定在一起共享整个网络栈资源，实现应用与 Service Mesh 的初步整合。第四步，利用第二步中部署的 Service Mesh 控制层面入口，设置服务通信规则，从而控制服务之间的通信，最终完成应用与 Mesh 的整合。Mesh管理控制Service Mesh 管理控制是客户介入服务间通信的唯一入口。而 Service Mesh 基于“声明式”规则的控制将决定企业管理过程中更多的是规则的设定者，却不具备对规则的有效性进行实时校验的条件。因此需要结合其他外围组件对当前服务是否符合预期进行监测。例如对接 Prometheus，获取服务的运行数据（包括 tcp 连接数，请求成功数，请求链路时长等），并且基于 AlterManager 进行告警策略的管理；或者对接 ELK 日志平台，对服务调用的日志进行统一分析管理。当然还有其他系统，统一称为 Adapter。总体而言，应用是数据的产生源头，Service Mesh 负责服务通信控制，服务数据收集以及服务数据上报，其他平台负责数据处理，三者通力合作，才能将 Service Mesh 切实和企业应用整合在一起，发挥它最大的功效。Service Mesh部署管理形态Service Mesh部署形态从当下的技术实现考虑，需要紧紧依赖 PaaS 平台的底层实现，尤其是对容器化环境的依赖。无论是单集群还是夸集群的部署，官方文档都提供了详尽的部署方案，这里不过多说明，可以参考 Istio 的实现（https://preliminary.istio.io/…）。Servie Mesh 的管理形态最好的方式是与 PaaS 整合在一起，在 PaaS 自身的能力之上，增加服务治理的各种功能，有助于帮助 PaaS 平台更好的整合资源。Service Mesh 同样是对于 PaaS 的补充，从而形成全套的 PaaS 解决方案：包括 DevOps 工具形态，PaaS 编排部署形态，以及 Mesh 的服务治理形态。这时就具备了对应用生命周期各个阶段的集中控制能力。Service Mesh远景形态这个是大胆的预测了，无论从技术角度考虑，还是行业发展趋势，Service Mesh 在未来必然会成为服务治理的主要工具之一。它对于企业应用最大的优势是解耦应用业务，企业能够彻底从业务角度考虑问题。相比纯粹的微服务架构，又向前迈了一步，同时与容器编排部署平台的集成，最终有可能成为企业级应用编排部署和服务治理的标准形态。 ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）服务发现（第五部分）第四部分 - 使用Prometheus搜集envoy 指标envoy 配置和提供metrics方式在envoy1.9版本中，已经直接暴露了prometheus 格式的metrics，也就是prometheus可以直接去采集，无需再通过配置Statsd来收集metrics了，使用statsd的流程大致上是：首先Envoy推送指标到statsd，然后我们用prometheus（一个时序数据库）从statsd拉取指标。设置envoy 的配置文件中，有如下的设置：admin: access_log_path: “/dev/null” address: socket_address: address: 0.0.0.0 port_value: 9000 envoy 启动成功以后，访问localhost:9000/stats/prometheus，可以返回类似下面的参数：# TYPE envoy_listener_admin_http_downstream_rq_completed counterenvoy_listener_admin_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“admin”} 3154# TYPE envoy_listener_admin_http_downstream_rq_xx counterenvoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_admin_downstream_cx_total counterenvoy_listener_admin_downstream_cx_total{} 146346envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“admin”} 0envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_admin_downstream_pre_cx_timeout counterenvoy_listener_admin_downstream_pre_cx_timeout{} 0# TYPE envoy_listener_admin_no_filter_chain_match counterenvoy_listener_admin_no_filter_chain_match{} 0# TYPE envoy_listener_admin_downstream_cx_destroy counterenvoy_listener_admin_downstream_cx_destroy{} 146344envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“admin”} 3154envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_upstream_flow_control_paused_reading_total counterenvoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_membership_change counterenvoy_cluster_membership_change{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_ext_authz_denied counterenvoy_cluster_ext_authz_denied{envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_upstream_rq_completed counterenvoy_cluster_upstream_rq_completed{envoy_cluster_name=“hawkeye”} 255# TYPE envoy_cluster_upstream_rq_pending_failure_eject counterenvoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_connect_attempts_exceeded counterenvoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_timeout counterenvoy_cluster_upstream_rq_timeout{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq counterenvoy_cluster_upstream_rq{envoy_response_code=“204”,envoy_cluster_name=“hawkeye”} 2# TYPE envoy_cluster_upstream_cx_connect_timeout counterenvoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_none_healthy counterenvoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_pending_total counterenvoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“hawkeye”} 6# TYPE envoy_cluster_internal_upstream_rq_completed counterenvoy_cluster_internal_upstream_rq_completed{envoy_cluster_name=“hawkeye”} 15envoy_cluster_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“hawkeye”} 209envoy_cluster_upstream_rq{envoy_response_code=“503”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_lb_local_cluster_not_ok counterenvoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_routing_sampled counterenvoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_connect_fail counterenvoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_retry_success counterenvoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_bind_errors counterenvoy_cluster_bind_errors{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_total counterenvoy_cluster_upstream_cx_total{envoy_cluster_name=“hawkeye”} 6# TYPE envoy_cluster_lb_zone_number_differs counterenvoy_cluster_lb_zone_number_differs{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_original_dst_host_invalid counterenvoy_cluster_original_dst_host_invalid{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_no_capacity_left counterenvoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_max_requests counterenvoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_per_try_timeout counterenvoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_retry_overflow counterenvoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_external_upstream_rq counterenvoy_cluster_external_upstream_rq{envoy_response_code=“204”,envoy_cluster_name=“hawkeye”} 2envoy_cluster_external_upstream_rq{envoy_response_code=“503”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_upstream_cx_rx_bytes_total counterenvoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“hawkeye”} 122326# TYPE envoy_cluster_upstream_cx_http1_total counterenvoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“hawkeye”} 6# TYPE envoy_cluster_upstream_rq_pending_overflow counterenvoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_routing_cross_zone counterenvoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_created counterenvoy_cluster_lb_subsets_created{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_flow_control_backed_up_total counterenvoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_flow_control_drained_total counterenvoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_external_upstream_rq_xx counterenvoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“hawkeye”} 211# TYPE envoy_cluster_upstream_rq_cancelled counterenvoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_removed counterenvoy_cluster_lb_subsets_removed{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_retry_or_shadow_abandoned counterenvoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_tx_bytes_total counterenvoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“hawkeye”} 179523# TYPE envoy_cluster_lb_zone_cluster_too_small counterenvoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_external_upstream_rq_completed counterenvoy_cluster_external_upstream_rq_completed{envoy_cluster_name=“hawkeye”} 240# TYPE envoy_cluster_internal_upstream_rq_xx counterenvoy_cluster_internal_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_lb_recalculate_zone_structures counterenvoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_with_active_rq counterenvoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_fallback counterenvoy_cluster_lb_subsets_fallback{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_xx counterenvoy_cluster_upstream_rq_xx{envoy_response_code_class=“5”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_upstream_rq_total counterenvoy_cluster_upstream_rq_total{envoy_cluster_name=“hawkeye”} 240# TYPE envoy_cluster_update_no_rebuild counterenvoy_cluster_update_no_rebuild{envoy_cluster_name=“hawkeye”} 18890# TYPE envoy_cluster_upstream_cx_destroy counterenvoy_cluster_upstream_cx_destroy{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_local counterenvoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_rx_reset counterenvoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_remote_with_active_rq counterenvoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_flow_control_resumed_reading_total counterenvoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_update_attempt counterenvoy_cluster_update_attempt{envoy_cluster_name=“hawkeye”} 18891# TYPE envoy_cluster_upstream_rq_maintenance_mode counterenvoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_update_failure counterenvoy_cluster_update_failure{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_ext_authz_ok counterenvoy_cluster_ext_authz_ok{envoy_cluster_name=“hawkeye”} 460envoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“5”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_internal_upstream_rq counterenvoy_cluster_internal_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_update_empty counterenvoy_cluster_update_empty{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_routing_all_directly counterenvoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“hawkeye”} 211# TYPE envoy_cluster_upstream_cx_http2_total counterenvoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_remote counterenvoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_retry counterenvoy_cluster_upstream_rq_retry{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_local_with_active_rq counterenvoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_overflow counterenvoy_cluster_upstream_cx_overflow{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_protocol_error counterenvoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_tx_reset counterenvoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_healthy_panic counterenvoy_cluster_lb_healthy_panic{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_idle_timeout counterenvoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“hawkeye”} 15envoy_cluster_external_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“hawkeye”} 209# TYPE envoy_cluster_lb_subsets_selected counterenvoy_cluster_lb_subsets_selected{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_update_success counterenvoy_cluster_update_success{envoy_cluster_name=“hawkeye”} 18891# TYPE envoy_cluster_upstream_cx_close_notify counterenvoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“ext-authz”} 0envoy_cluster_update_no_rebuild{envoy_cluster_name=“ext-authz”} 18890envoy_cluster_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_upstream_cx_overflow{envoy_cluster_name=“ext-authz”} 0envoy_cluster_internal_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_internal_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“ext-authz”} 142288envoy_cluster_update_empty{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_retry{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“ext-authz”} 0envoy_cluster_update_attempt{envoy_cluster_name=“ext-authz”} 18891envoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“ext-authz”} 0envoy_cluster_original_dst_host_invalid{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“ext-authz”} 4envoy_cluster_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_update_success{envoy_cluster_name=“ext-authz”} 18891envoy_cluster_lb_subsets_fallback{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_healthy_panic{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_total{envoy_cluster_name=“ext-authz”} 4envoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“ext-authz”} 80016envoy_cluster_internal_upstream_rq_completed{envoy_cluster_name=“ext-authz”} 475envoy_cluster_lb_zone_number_differs{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“ext-authz”} 4envoy_cluster_lb_subsets_created{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“ext-authz”} 0envoy_cluster_internal_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_completed{envoy_cluster_name=“ext-authz”} 475envoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_membership_change{envoy_cluster_name=“ext-authz”} 1envoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“ext-authz”} 0envoy_cluster_bind_errors{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_update_failure{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_subsets_removed{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_subsets_selected{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_total{envoy_cluster_name=“ext-authz”} 475envoy_cluster_internal_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“ext-authz”} 0envoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“sso”} 0envoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_created{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_selected{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“sso”} 0envoy_cluster_external_upstream_rq{envoy_response_code=“405”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_rq_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“sso”} 8envoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“sso”} 13envoy_cluster_upstream_cx_overflow{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“sso”} 0envoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq{envoy_response_code=“415”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“sso”} 8envoy_cluster_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“sso”} 6envoy_cluster_upstream_rq{envoy_response_code=“405”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“sso”} 0envoy_cluster_external_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“sso”} 6envoy_cluster_external_upstream_rq{envoy_response_code=“415”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_rq_retry{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“sso”} 7envoy_cluster_upstream_rq_total{envoy_cluster_name=“sso”} 21envoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“sso”} 0envoy_cluster_update_success{envoy_cluster_name=“sso”} 18891envoy_cluster_upstream_rq_completed{envoy_cluster_name=“sso”} 21envoy_cluster_external_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“sso”} 13envoy_cluster_upstream_cx_destroy{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“sso”} 0envoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“sso”} 13072envoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_total{envoy_cluster_name=“sso”} 7envoy_cluster_lb_subsets_fallback{envoy_cluster_name=“sso”} 0envoy_cluster_original_dst_host_invalid{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“sso”} 7envoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“sso”} 0envoy_cluster_lb_healthy_panic{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“sso”} 0envoy_cluster_update_failure{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“sso”} 0envoy_cluster_update_attempt{envoy_cluster_name=“sso”} 18891envoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“sso”} 0envoy_cluster_update_empty{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“sso”} 0envoy_cluster_update_no_rebuild{envoy_cluster_name=“sso”} 18890envoy_cluster_bind_errors{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_removed{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“sso”} 13envoy_cluster_lb_zone_number_differs{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“sso”} 12934envoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“sso”} 0envoy_cluster_membership_change{envoy_cluster_name=“sso”} 1envoy_cluster_external_upstream_rq_completed{envoy_cluster_name=“sso”} 21envoy_cluster_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“sso”} 13# TYPE envoy_http_downstream_rq_too_large counterenvoy_http_downstream_rq_too_large{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_protocol_error counterenvoy_http_downstream_cx_protocol_error{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_timeout counterenvoy_http_downstream_rq_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_runtime_load_error counterenvoy_runtime_load_error{} 0# TYPE envoy_runtime_override_dir_not_exists counterenvoy_runtime_override_dir_not_exists{} 0# TYPE envoy_http_no_cluster counterenvoy_http_no_cluster{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_server_watchdog_miss counterenvoy_server_watchdog_miss{} 0# TYPE envoy_http_downstream_rq_xx counterenvoy_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_cluster_removed counterenvoy_cluster_manager_cluster_removed{} 0# TYPE envoy_http_downstream_cx_upgrades_total counterenvoy_http_downstream_cx_upgrades_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_update_merge_cancelled counterenvoy_cluster_manager_update_merge_cancelled{} 0# TYPE envoy_http_downstream_cx_overload_disable_keepalive counterenvoy_http_downstream_cx_overload_disable_keepalive{envoy_http_conn_manager_prefix=“admin”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy counterenvoy_http_downstream_cx_destroy{envoy_http_conn_manager_prefix=“admin”} 146344envoy_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_tx_bytes_total counterenvoy_http_downstream_cx_tx_bytes_total{envoy_http_conn_manager_prefix=“admin”} 155797820# TYPE envoy_http_downstream_cx_drain_close counterenvoy_http_downstream_cx_drain_close{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_local_active_rq counterenvoy_http_downstream_cx_destroy_local_active_rq{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_active_rq counterenvoy_http_downstream_cx_destroy_active_rq{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_local counterenvoy_http_downstream_cx_destroy_local{envoy_http_conn_manager_prefix=“admin”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“admin”} 3154# TYPE envoy_http_downstream_rq_http1_total counterenvoy_http_downstream_rq_http1_total{envoy_http_conn_manager_prefix=“admin”} 3155# TYPE envoy_http_rq_total counterenvoy_http_rq_total{envoy_http_conn_manager_prefix=“async-client”} 475# TYPE envoy_http_downstream_cx_total counterenvoy_http_downstream_cx_total{envoy_http_conn_manager_prefix=“admin”} 146346# TYPE envoy_runtime_load_success counterenvoy_runtime_load_success{} 0# TYPE envoy_filesystem_reopen_failed counterenvoy_filesystem_reopen_failed{} 0# TYPE envoy_http_downstream_rq_total counterenvoy_http_downstream_rq_total{envoy_http_conn_manager_prefix=“admin”} 3155# TYPE envoy_http_downstream_rq_rx_reset counterenvoy_http_downstream_rq_rx_reset{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_cluster_modified counterenvoy_cluster_manager_cluster_modified{} 0# TYPE envoy_http_downstream_rq_idle_timeout counterenvoy_http_downstream_rq_idle_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_remote_active_rq counterenvoy_http_downstream_cx_destroy_remote_active_rq{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_ssl_total counterenvoy_http_downstream_cx_ssl_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_delayed_close_timeout counterenvoy_http_downstream_cx_delayed_close_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_update_out_of_merge_window counterenvoy_cluster_manager_update_out_of_merge_window{} 0# TYPE envoy_http_downstream_flow_control_resumed_reading_total counterenvoy_http_downstream_flow_control_resumed_reading_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_manager_listener_added counterenvoy_listener_manager_listener_added{} 1# TYPE envoy_http_downstream_rq_overload_close counterenvoy_http_downstream_rq_overload_close{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_http2_total counterenvoy_http_downstream_cx_http2_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_manager_listener_create_failure counterenvoy_listener_manager_listener_create_failure{} 0# TYPE envoy_stats_overflow counterenvoy_stats_overflow{} 0# TYPE envoy_listener_manager_listener_create_success counterenvoy_listener_manager_listener_create_success{} 16# TYPE envoy_http_downstream_cx_http1_total counterenvoy_http_downstream_cx_http1_total{envoy_http_conn_manager_prefix=“admin”} 2# TYPE envoy_http_no_route counterenvoy_http_no_route{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_cluster_manager_cluster_updated counterenvoy_cluster_manager_cluster_updated{} 0# TYPE envoy_http_downstream_cx_destroy_remote counterenvoy_http_downstream_cx_destroy_remote{envoy_http_conn_manager_prefix=“admin”} 146344# TYPE envoy_http_downstream_rq_non_relative_path counterenvoy_http_downstream_rq_non_relative_path{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_rs_too_large counterenvoy_http_rs_too_large{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_tx_reset counterenvoy_http_downstream_rq_tx_reset{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_server_watchdog_mega_miss counterenvoy_server_watchdog_mega_miss{} 0# TYPE envoy_http_downstream_flow_control_paused_reading_total counterenvoy_http_downstream_flow_control_paused_reading_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_rx_bytes_total counterenvoy_http_downstream_cx_rx_bytes_total{envoy_http_conn_manager_prefix=“admin”} 795620# TYPE envoy_http_downstream_rq_completed counterenvoy_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“admin”} 3154# TYPE envoy_listener_manager_listener_removed counterenvoy_listener_manager_listener_removed{} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_rq_direct_response counterenvoy_http_rq_direct_response{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_filesystem_write_completed counterenvoy_filesystem_write_completed{} 3366# TYPE envoy_http_downstream_rq_ws_on_non_ws_route counterenvoy_http_downstream_rq_ws_on_non_ws_route{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_cluster_updated_via_merge counterenvoy_cluster_manager_cluster_updated_via_merge{} 0# TYPE envoy_filesystem_flushed_by_timer counterenvoy_filesystem_flushed_by_timer{} 18495# TYPE envoy_filesystem_write_buffered counterenvoy_filesystem_write_buffered{} 3669# TYPE envoy_runtime_override_dir_exists counterenvoy_runtime_override_dir_exists{} 0# TYPE envoy_cluster_manager_cluster_added counterenvoy_cluster_manager_cluster_added{} 4# TYPE envoy_listener_manager_listener_modified counterenvoy_listener_manager_listener_modified{} 0# TYPE envoy_http_downstream_rq_http2_total counterenvoy_http_downstream_rq_http2_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_response_before_rq_complete counterenvoy_http_downstream_rq_response_before_rq_complete{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_idle_timeout counterenvoy_http_downstream_cx_idle_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_rq_redirect counterenvoy_http_rq_redirect{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_listener_http_downstream_rq_xx counterenvoy_listener_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 0envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 456envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 30# TYPE envoy_listener_downstream_pre_cx_timeout counterenvoy_listener_downstream_pre_cx_timeout{envoy_listener_address=“0.0.0.0_8000”} 0# TYPE envoy_listener_no_filter_chain_match counterenvoy_listener_no_filter_chain_match{envoy_listener_address=“0.0.0.0_8000”} 0# TYPE envoy_listener_downstream_cx_total counterenvoy_listener_downstream_cx_total{envoy_listener_address=“0.0.0.0_8000”} 147370envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 29envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 0# TYPE envoy_listener_downstream_cx_destroy counterenvoy_listener_downstream_cx_destroy{envoy_listener_address=“0.0.0.0_8000”} 147369# TYPE envoy_listener_http_downstream_rq_completed counterenvoy_listener_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 515envoy_http_downstream_cx_destroy{envoy_http_conn_manager_prefix=“ingress_http”} 147369envoy_http_downstream_rq_http1_total{envoy_http_conn_manager_prefix=“ingress_http”} 515envoy_http_downstream_cx_destroy_local_active_rq{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_flow_control_resumed_reading_total{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_tracing_health_check counterenvoy_http_tracing_health_check{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_response_before_rq_complete{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_protocol_error{envoy_http_conn_manager_prefix=“ingress_http”} 2envoy_http_downstream_cx_destroy_remote{envoy_http_conn_manager_prefix=“ingress_http”} 147367envoy_http_no_route{envoy_http_conn_manager_prefix=“ingress_http”} 7envoy_http_rq_redirect{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_http1_total{envoy_http_conn_manager_prefix=“ingress_http”} 41# TYPE envoy_http_tracing_random_sampling counterenvoy_http_tracing_random_sampling{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_total{envoy_http_conn_manager_prefix=“ingress_http”} 147370envoy_http_downstream_cx_destroy_remote_active_rq{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_rs_too_large{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_idle_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_idle_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_rx_bytes_total{envoy_http_conn_manager_prefix=“ingress_http”} 306987envoy_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_ws_on_non_ws_route{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_overload_disable_keepalive{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_tracing_service_forced counterenvoy_http_tracing_service_forced{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_drain_close{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_tx_bytes_total{envoy_http_conn_manager_prefix=“ingress_http”} 227287envoy_http_downstream_cx_delayed_close_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 2envoy_http_downstream_flow_control_paused_reading_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_rx_reset{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_destroy_local{envoy_http_conn_manager_prefix=“ingress_http”} 2# TYPE envoy_http_tracing_not_traceable counterenvoy_http_tracing_not_traceable{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_cors_origin_invalid counterenvoy_http_cors_origin_invalid{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_no_cluster{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_cors_origin_valid counterenvoy_http_cors_origin_valid{envoy_http_conn_manager_prefix=“ingress_http”} 485envoy_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“ingress_http”} 515envoy_http_rq_total{envoy_http_conn_manager_prefix=“ingress_http”} 268envoy_http_downstream_rq_tx_reset{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_total{envoy_http_conn_manager_prefix=“ingress_http”} 515envoy_http_downstream_rq_overload_close{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_http2_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_destroy_active_rq{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_http2_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_upgrades_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_non_relative_path{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“ingress_http”} 30envoy_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“ingress_http”} 29envoy_http_rq_direct_response{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_ssl_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_too_large{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“ingress_http”} 456# TYPE envoy_http_tracing_client_enabled counterenvoy_http_tracing_client_enabled{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_removed{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“cost”} 0envoy_cluster_membership_change{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“cost”} 0envoy_cluster_update_no_rebuild{envoy_cluster_name=“cost”} 18872envoy_cluster_upstream_rq_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_bind_errors{envoy_cluster_name=“cost”} 0envoy_cluster_update_success{envoy_cluster_name=“cost”} 18872envoy_cluster_upstream_rq_retry{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“cost”} 0envoy_cluster_update_empty{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“cost”} 0envoy_cluster_original_dst_host_invalid{envoy_cluster_name=“cost”} 0envoy_cluster_update_failure{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“cost”} 0envoy_cluster_update_attempt{envoy_cluster_name=“cost”} 18872envoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“cost”} 0envoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_created{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_completed{envoy_cluster_name=“cost”} 0envoy_cluster_lb_healthy_panic{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“cost”} 0envoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_fallback{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_number_differs{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_overflow{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_selected{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy{envoy_cluster_name=“cost”} 0envoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“cost”} 0# TYPE envoy_listener_admin_downstream_pre_cx_active gaugeenvoy_listener_admin_downstream_pre_cx_active{} 0# TYPE envoy_listener_admin_downstream_cx_active gaugeenvoy_listener_admin_downstream_cx_active{} 2# TYPE envoy_cluster_upstream_cx_rx_bytes_buffered gaugeenvoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“hawkeye”} 3402# TYPE envoy_cluster_membership_healthy gaugeenvoy_cluster_membership_healthy{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_circuit_breakers_high_cx_open gaugeenvoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_default_rq_pending_open gaugeenvoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_tx_bytes_buffered gaugeenvoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_high_rq_retry_open gaugeenvoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_active gaugeenvoy_cluster_lb_subsets_active{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_default_cx_open gaugeenvoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_max_host_weight gaugeenvoy_cluster_max_host_weight{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_circuit_breakers_default_rq_retry_open gaugeenvoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_version gaugeenvoy_cluster_version{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_membership_total gaugeenvoy_cluster_membership_total{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_circuit_breakers_high_rq_pending_open gaugeenvoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_default_rq_open gaugeenvoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_high_rq_open gaugeenvoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_active gaugeenvoy_cluster_upstream_cx_active{envoy_cluster_name=“hawkeye”} 3# TYPE envoy_cluster_upstream_rq_pending_active gaugeenvoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_active gaugeenvoy_cluster_upstream_rq_active{envoy_cluster_name=“hawkeye”} 0envoy_cluster_membership_healthy{envoy_cluster_name=“ext-authz”} 1envoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_membership_total{envoy_cluster_name=“ext-authz”} 1envoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_active{envoy_cluster_name=“ext-authz”} 4envoy_cluster_version{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“ext-authz”} 714envoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_max_host_weight{envoy_cluster_name=“ext-authz”} 1envoy_cluster_upstream_rq_active{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_subsets_active{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“sso”} 0envoy_cluster_membership_healthy{envoy_cluster_name=“sso”} 1envoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“sso”} 0envoy_cluster_version{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“sso”} 0envoy_cluster_membership_total{envoy_cluster_name=“sso”} 1envoy_cluster_upstream_cx_active{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_active{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_active{envoy_cluster_name=“sso”} 0envoy_cluster_max_host_weight{envoy_cluster_name=“sso”} 1envoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“sso”} 0# TYPE envoy_filesystem_write_total_buffered gaugeenvoy_filesystem_write_total_buffered{} 0# TYPE envoy_http_downstream_cx_http1_active gaugeenvoy_http_downstream_cx_http1_active{envoy_http_conn_manager_prefix=“admin”} 2# TYPE envoy_listener_manager_total_listeners_warming gaugeenvoy_listener_manager_total_listeners_warming{} 0# TYPE envoy_runtime_num_keys gaugeenvoy_runtime_num_keys{} 0# TYPE envoy_http_downstream_cx_rx_bytes_buffered gaugeenvoy_http_downstream_cx_rx_bytes_buffered{envoy_http_conn_manager_prefix=“admin”} 845# TYPE envoy_runtime_admin_overrides_active gaugeenvoy_runtime_admin_overrides_active{} 0# TYPE envoy_server_version gaugeenvoy_server_version{} 3653592# TYPE envoy_cluster_manager_active_clusters gaugeenvoy_cluster_manager_active_clusters{} 4# TYPE envoy_server_live gaugeenvoy_server_live{} 1# TYPE envoy_http_downstream_cx_ssl_active gaugeenvoy_http_downstream_cx_ssl_active{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_http2_active gaugeenvoy_http_downstream_cx_http2_active{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_tx_bytes_buffered gaugeenvoy_http_downstream_cx_tx_bytes_buffered{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_upgrades_active gaugeenvoy_http_downstream_cx_upgrades_active{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_active gaugeenvoy_http_downstream_rq_active{envoy_http_conn_manager_prefix=“admin”} 1# TYPE envoy_listener_manager_total_listeners_active gaugeenvoy_listener_manager_total_listeners_active{} 1# TYPE envoy_server_parent_connections gaugeenvoy_server_parent_connections{} 0# TYPE envoy_cluster_manager_warming_clusters gaugeenvoy_cluster_manager_warming_clusters{} 0# TYPE envoy_http_downstream_cx_active gaugeenvoy_http_downstream_cx_active{envoy_http_conn_manager_prefix=“admin”} 2# TYPE envoy_listener_manager_total_listeners_draining gaugeenvoy_listener_manager_total_listeners_draining{} 0# TYPE envoy_server_total_connections gaugeenvoy_server_total_connections{} 1# TYPE envoy_server_concurrency gaugeenvoy_server_concurrency{} 16# TYPE envoy_server_memory_allocated gaugeenvoy_server_memory_allocated{} 4216000# TYPE envoy_server_hot_restart_epoch gaugeenvoy_server_hot_restart_epoch{} 0# TYPE envoy_server_uptime gaugeenvoy_server_uptime{} 94576# TYPE envoy_server_memory_heap_size gaugeenvoy_server_memory_heap_size{} 6291456# TYPE envoy_server_days_until_first_cert_expiring gaugeenvoy_server_days_until_first_cert_expiring{} 2147483647# TYPE envoy_listener_downstream_cx_active gaugeenvoy_listener_downstream_cx_active{envoy_listener_address=“0.0.0.0_8000”} 1# TYPE envoy_listener_downstream_pre_cx_active gaugeenvoy_listener_downstream_pre_cx_active{envoy_listener_address=“0.0.0.0_8000”} 0envoy_http_downstream_cx_tx_bytes_buffered{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_upgrades_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_ssl_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_active{envoy_http_conn_manager_prefix=“ingress_http”} 1envoy_http_downstream_cx_http1_active{envoy_http_conn_manager_prefix=“ingress_http”} 1envoy_http_downstream_cx_http2_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_rx_bytes_buffered{envoy_http_conn_manager_prefix=“ingress_http”} 403envoy_http_downstream_rq_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_active{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“cost”} 0envoy_cluster_max_host_weight{envoy_cluster_name=“cost”} 1envoy_cluster_membership_total{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“cost”} 0envoy_cluster_membership_healthy{envoy_cluster_name=“cost”} 0envoy_cluster_version{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_active{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_active{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“cost”} 0配置prometheus 采集envoy由于我实际测试过程中，envoy是部署在k8s当中，所以，利用prometheus对pod 自动发现的能力，没有在prometheus做静态配置。自动发现的好处，就是当pod hpa的时候，不需要去更改配置文件。要采集envoy metrics，在 envoy deployment当中要加入如下注解：kind: DeploymentapiVersion: apps/v1metadata: name: gateway labels: app: gatewayspec: replicas: 2 selector: matchLabels: app: gateway template: metadata: labels: app: gateway annotations: prometheus.io/scrape: ’true’ prometheus.io/path: ‘/stats/prometheus’ prometheus.io/port: ‘9000’ spec: volumes: - name: config configMap: name: gateway-cm containers: - name: gateway image: ’envoyproxy/envoy:v1.9.0’ env: - name: ‘CPUS’ value: ‘1’ - name: ‘SERVICE_NAME’ value: ‘-gateway’ resources: limits: cpu: ‘1’ memory: 1Gi requests: cpu: ‘1’ memory: 1Gi volumeMounts: - name: config mountPath: /etc/envoy/ imagePullPolicy: Always 注意如下的注解： annotations: prometheus.io/scrape: ’true’ prometheus.io/path: ‘/stats/prometheus’ prometheus.io/port: ‘9000’然后查看prometheus的管理界面，查询一下metrics：prometheus已经成功采集metrics。grafana展示grafana dashbord中，已经有两个做好的模板。大家引入就可以了。具体是envoy global看板（7253）和 Envoy Service Dashboard（7250）。最后效果如下： ...

作者：Alex Leong重试是处理分布式系统中的部分或瞬态故障的基本机制。但重试也可能是危险的，如果做得不好，他们可以迅速将一个小错误升级为系统范围的中断。在这篇文章中，我们描述了我们如何在Linkerd 2.2里设计重试，使Linkerd能够在最小化风险的同时，自动提高系统可靠性。将路由标记为可重试在Linkerd 2.2里，我们引入了重试，就是Linkerd能够自动重试失败的请求。这使Linkerd能够自动处理服务中的部分或瞬态故障，而无需应用程序知道：如果请求失败，Linkerd可以再次尝试！结合Linkerd的请求级负载平衡，这允许Linkerd处理各个pod的故障。在Linkerd里，您将重试指定为服务配置文件的一部分（在之前的博客文章中介绍）。将路由标记为可重试就像添加isRetryable一样简单：设定true到相应的服务配置文件条目：- name: HEAD /authors/{id}.json condition: method: HEAD pathRegex: /authors/[^/]\.json isRetryable: true当然，在向路由添加重试行为之前，应该确保路由是幂等的（idempotent）。换句话说，对具有相同参数的相同路由的多次调用将没有不良影响。这很重要，因为重试（根据定义！）可能导致将同一请求的多个副本发送到服务。如果请求做了非幂等的（non-idempotent）事情，例如从您的银行帐户中减去一美元，您可能不希望它自动重试。启用后，重试有两个重要参数：预算（budget）和超时（timeout）。让我们依次考虑这两个方面。使用重试预算将路由标记为可重试后，Linkerd允许您为服务配置重试预算。Linkerd附带了合理的默认值，但如果您想自定义预算，可以在服务配置文件中进行设置：retryBudget: # The retryRatio is the maximum ratio of retries requests to original # requests. A retryRatio of 0.2 means that retries may add at most an # additional 20% to the request load. retryRatio: 0.2 # This is an allowance of retries per second in addition to those allowed # by the retryRatio. This allows retries to be performed, when the request # rate is very low. minRetriesPerSecond: 10 # This duration indicates for how long requests should be considered for the # purposes of calculating the retryRatio. A higher value considers a larger # window and therefore allows burstier retries. ttl: 10sLinkerd使用重试预算，较使用最大重试次数配置重试的常规做法，是更好替代方法。我们花一点时间来理解为什么。为什么预算而不是最大重试次数？首先，一些背景。配置重试的最常用方法，是指定在放弃之前执行的最大重试次数。对于使用网络浏览器的任何人来说，这是一个熟悉的想法：您尝试加载网页，如果没有加载，则再试一次。如果仍然无法加载，则第三次尝试。最后您放弃了。不幸的是，以这种方式配置重试至少有两个问题：选择最大重试次数是猜谜游戏。您需要选择一个足够高的数字，以便在出现某种故障时发挥作用，但不要太高，以至于当系统真正失败时会在系统上产生额外负载。在实践中，您通常会从帽子中选择最大重试次数（例如3），并希望获得最佳效果。以这种方式配置的系统易受重试风暴的影响。当一个服务开始出现大于正常的故障率时，重试风暴开始。这会导致其客户端重试这些失败的请求。重试带来的额外负载，会导致服务进一步减速，并使更多请求失败，从而触发更多重试。如果每个客户端配置为最多重试3次，则可以将发送的请求数量翻两番！更糟糕的是，如果任何客户端的客户端配置了重试，则重试次数会成倍增加，并且可以将少量错误转化为自我造成的拒绝服务攻击。为了避免这些问题，Linkerd使用重试预算。Linkerd不是为每个请求指定固定的最大重试次数，而是跟踪常规请求和重试之间的比率，并将此数字保持在限制之下。例如，您可以指定要重试最多添加20％的请求。然后，Linkerd将尽可能多地重试，同时保持该比率。因此，使用重试预算可以明确在提高成功率和额外负载之间进行权衡。您的重试预算正是您的系统愿意从重试中接受的额外负载。（最后，Linkerd的重试预算还包括允许的最小重试次数，这将是唯一允许的，与比率无关。这使得Linkerd可以在非常低的流量系统中重试。）设置每个请求的超时除了预算之外，重试还按每个请求的超时参数。超时可确保始终失败的请求最终会返回响应，即使该响应失败也是如此。超时时，Linkerd将取消请求并返回HTTP 504响应。与重试预算类似，重试超时具有可在服务配置文件中覆盖的合理默认值：- name: HEAD /authors/{id}.json condition: method: HEAD pathRegex: /authors/[^/]\.json timeout: 50ms谁管有重试行为？客户端还是服务器？您可能已经注意到上面的配置片段中的有趣内容。在“传统”重试系统（例如Web浏览器）中，是在客户端上配置重试行为，毕竟，这是重试实际发生的地方。但是在上面的服务配置文件中，我们将在服务器端指定重试政策。能够将政策附加到服务器端，但客户端必须遵守该政策，这是Linkerd服务配置文件方法的基本优势之一。重试配置在逻辑上属于服务级别（“这是您应该和我说话的方式”）。由于Linkerd控制客户端和服务器行为，我们可以正确的方式执行此操作：服务配置文件允许服务准确发布“这是我希望您与我交谈的方式”，通过Linkerd的所有流量，无论来源如何，会尊重这种行为。太酷了！把它们放在一起我们已经展示了如何通过组合超时、预算和可重试性来配置Linkerd的重试行为。现在让我们将它们放在一起进行简短的演示。如果您有一个终端窗口和一个Kubernetes集群，您可以在家里跟随。我们首先安装Linkerd和我们的样本书应用程序：$ linkerd install | kubectl apply -f -$ curl https://run.linkerd.io/bookapp.yml | linkerd inject - | kubectl apply -f -$ linkerd check关于这个应用程序，我们可以注意到的一件事是，从书籍服务到作者服务的请求的成功率非常低：$ linkerd routes deploy/books –to svc/authorsROUTE SERVICE SUCCESS RPS LATENCY_P50 LATENCY_P95 LATENCY_P99[DEFAULT] authors 54.24% 3.9rps 5ms 14ms 19ms为了更好地了解这里发生了什么，让我们为作者服务添加一个服务配置文件，从Swagger定义生成：$ curl https://run.linkerd.io/booksapp/authors.swagger | linkerd profile –open-api - authors | kubectl apply -f -$ linkerd routes deploy/books –to svc/authorsROUTE SERVICE SUCCESS RPS LATENCY_P50 LATENCY_P95 LATENCY_P99DELETE /authors/{id}.json authors 0.00% 0.0rps 0ms 0ms 0msGET /authors.json authors 0.00% 0.0rps 0ms 0ms 0msGET /authors/{id}.json authors 0.00% 0.0rps 0ms 0ms 0msHEAD /authors/{id}.json authors 50.85% 3.9rps 5ms 10ms 17msPOST /authors.json authors 0.00% 0.0rps 0ms 0ms 0ms[DEFAULT] authors 0.00% 0.0rps 0ms 0ms 0ms有一件事是清楚的，从书籍到作者的所有请求都是针对HEAD /authors/{id}.json路线，这些请求在大约50％的时间内失败。为了纠正这个问题，让我们编辑作者服务配置文件，并使这些请求可以重试：$ kubectl edit sp/authors.default.svc.cluster.local[…] - condition: method: HEAD pathRegex: /authors/[^/]\.json name: HEAD /authors/{id}.json isRetryable: true ### ADD THIS LINE ###在编辑服务配置文件后，我们看到成功率几乎立即有所改善：$ linkerd routes deploy/books –to svc/authors -o wideROUTE SERVICE EFFECTIVE_SUCCESS EFFECTIVE_RPS ACTUAL_SUCCESS ACTUAL_RPS LATENCY_P50 LATENCY_P95 LATENCY_P99DELETE /authors/{id}.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0msGET /authors.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0msGET /authors/{id}.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0msHEAD /authors/{id}.json authors 100.00% 2.8rps 58.45% 4.7rps 7ms 25ms 37msPOST /authors.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0ms[DEFAULT] authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0ms成功率看起来很好，但p95和p99延迟有所增加。这是可以预料到的，因为重试需要时间。但是，我们可以通过设置超时，Linkerd 2.x的另一个新功能，在我们愿意等待的最长持续时间来限制此操作。出于本演示的目的，我将设置25ms的超时。您的结果将根据系统的特性而有所不同。$ kubectl edit sp/authors.default.svc.cluster.local[…] - condition: method: HEAD pathRegex: /authors/[^/]\.json isRetryable: true name: HEAD /authors/{id}.json timeout: 25ms ### ADD THIS LINE ###我们现在看到成功率略有下降，因为有些请求超时，但尾部延迟已大大减少：$ linkerd routes deploy/books –to svc/authors -o wideROUTE SERVICE EFFECTIVE_SUCCESS EFFECTIVE_RPS ACTUAL_SUCCESS ACTUAL_RPS LATENCY_P50 LATENCY_P95 LATENCY_P99DELETE /authors/{id}.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0msGET /authors.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0msGET /authors/{id}.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0msHEAD /authors/{id}.json authors 97.73% 2.9rps 49.71% 5.8rps 9ms 25ms 29msPOST /authors.json authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0ms[DEFAULT] authors 0.00% 0.0rps 0.00% 0.0rps 0ms 0ms 0ms请注意，由于直方图分段工件，p99延迟似乎大于我们的25ms超时。总结在这篇文章中，我们描述了Linkerd如何以最小化系统风险的方式自动重试请求。我们描述了为什么在服务器，而不是客户端级别，指定了重试行为，我们向您介绍了如何在演示应用程序中部署服务的重试和超时功能。重试是Linkerd可靠性路线图中的一大进步。服务配置文件、重试和诊断的交集是Linkerd特别令人兴奋的领域，您可以期待未来版本中更酷的功能。敬请期待！喜欢这篇文章？Linkerd是一个社区项目，由CNCF托管。如果您有功能请求、问题或评论，我们很乐意让您加入我们快速发展的社区！Linkerd的仓库在GitHub上，我们在Slack、Twitter和邮件列表上拥有一个蓬勃发展的社区。快来加入吧！KubeCon + CloudNativeCon和Open Source Summit大会日期：会议日程通告日期：2019 年 4 月 10 日会议活动举办日期：2019 年 6 月 24 至 26 日KubeCon + CloudNativeCon和Open Source Summit赞助方案KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国 ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）服务发现（第五部分）第三部分 - 使用envoy proxy 实现分布式追踪第一篇博文向您介绍了Envoy Proxy的断路功能实现。在第二部分中，仔细研究了如何启用额外的弹性功能，如超时和重试。在第三部分中，我们将了解如何在服务网格中启用分布式跟踪。有意进行一些简单的演示，因此我可以单独说明模式和用法。请下载此演示的源代码并按照说明进行操作！该演示由一个客户端和一个服务组成。客户端是一个Java http应用程序，模拟对“上游”服务进行http调用（注意，我们在这里使用Envoys术语，并贯穿整个repo）。客户端打包在docker.io/ceposta/http-envoy-client:latest的Docker镜像中。除了http-client Java应用程序之外，还有Envoy Proxy的一个实例。在此部署模型中，Envoy被部署为服务的sidercar（在本例中为http客户端）。当http-client进行出站调用（到“上游”服务）时，所有调用都通过Envoy Proxy sidercar。envoy会在服务调用之间添加一些追踪headers，并发送到Zipkin（或您的跟踪提供商…… Envoy目前支持Zipkin和Lightstep）。这些示例的“上游”服务是httpbin.org。 httpbin.org允许我们轻松模拟HTTP服务行为。它很棒，所以如果你没有看到它，请查看它。这个traceing 演示有自己的envoy.json配置文件。我绝对建议您查看配置文件每个部分的参考文档，以帮助理解完整配置。 datawire.io的优秀人员也为Envoy及其配置提供了一个很好的介绍，你也应该检查一下。运行 tracing demo对于跟踪演示，我们将使用以下如下的配置来配置我们的Envoy（请参阅其余上下文的完整配置）： “tracing”: { “operation_name”: “egress” }, … “tracing”: { “http”: { “driver”: { “type”: “zipkin”, “config”: { “collector_cluster”: “zipkin”, “collector_endpoint”: “/api/v1/spans” } } } }, … { “name”: “zipkin”, “connect_timeout_ms”: 1000, “type”: “strict_dns”, “lb_type”: “round_robin”, “hosts”: [ { “url”: “tcp://zipkin:9411” } ] } 这里我们配置跟踪驱动程序和跟踪集群。在这种情况下，要运行此演示，我们需要启动Zipkin服务器：首先我们停止已经存在的演示demo:./docker-stop.sh启动zipkin服务：./tracing/docker-run-zipkin.sh会将zipkin暴露在端口9411上。如果您使用minikube或类似的东西来运行这些演示，您可以直接将minikube端口导出到您的主机，如下所示：./port-forward-minikube.sh 9411一旦你启动并运行Zipkin，访问该服务（即，在minikube上，在进行端口转发后，它将只是http：// localhost：9411）。你应该看看Zipkin：现在我们已经启动了zipkin服务器，让我们启动我们的跟踪演示：/docker-run.sh -d tracing然后让我们用客户端访问服务：./curl.sh -vvvv localhost:15001/get我们将看到如下的输出：< HTTP/1.1 200 OK* Server envoy is not blacklisted< server: envoy< date: Thu, 25 May 2017 06:31:02 GMT< content-type: application/json< access-control-allow-origin: < access-control-allow-credentials: true< x-powered-by: Flask< x-processed-time: 0.000982999801636< content-length: 402< via: 1.1 vegur< x-envoy-upstream-service-time: 142< { “args”: {}, “headers”: { “Accept”: “/*”, “Connection”: “close”, “Host”: “httpbin.org”, “User-Agent”: “curl/7.35.0”, “X-B3-Sampled”: “1”, “X-B3-Spanid”: “0000b825f82b418d”, “X-B3-Traceid”: “0000b825f82b418d”, “X-Ot-Span-Context”: “0000b825f82b418d;0000b825f82b418d;0000000000000000;cs” }, “origin”: “68.3.84.124”, “url”: “http://httpbin.org/get"}现在，如果我们转到Zipkin服务器，我们应该看到此调用的单个跨度/跟踪（注意，您可能需要调整zipkin过滤器中的开始/停止时间：这里我们有一个只有一个span的跟踪（这是我们所期望的，因为我们的Envoy演示客户端直接与没有Envoy的外部服务调用……如果上游服务也有启用了zipkin的Envoy，我们将看到服务之间的全部span）。如果我们点击span以查看更多细节，我们会看到如下内容：PS请注意，服务体系结构中的每个服务都应该与Envoy一起部署并参与分布式跟踪。这种方法的优点在于跟踪是从应用程序带外进行的。但是，为了跟踪要正确传播的上下文，应用程序开发人员有责任正确传播正确的header，以便不同的span正确关联。检查zipkin以获取更多详细信息，但至少要传播这些header（如上所示）：x-request-idx-b3-traceidx-b3-spanidx-b3-parentspanidx-b3-sampledx-b3-flagsx-ot-span-context ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）服务发现（第五部分）第一部分 - 使用envoy proxy 实现超时和重试第一篇博文向您介绍了Envoy Proxy的断路功能实现。在第二部分中，我们将详细介绍如何启用其他弹性功能，如超时和重试。有意进行一些简单的演示，因此我可以单独说明模式和用法。请下载此演示的源代码并按照说明进行操作！该演示由一个客户端和一个服务组成。客户端是一个Java http应用程序，模拟对“上游”服务进行http调用（注意，我们在这里使用Envoys术语，并贯穿整个repo）。客户端打包在docker.io/ceposta/http-envoy-client:latest的Docker镜像中。除了http-client Java应用程序之外，还有Envoy Proxy的一个实例。在此部署模型中，Envoy被部署为服务的sidercar（在本例中为http客户端）。当http-client进行出站调用（到“上游”服务）时，所有调用都通过Envoy Proxy sidercar。这些示例的“上游”服务是httpbin.org。 httpbin.org允许我们轻松模拟HTTP服务行为。它很棒，所以如果你没有看到它，请查看它。重试和超时演示有自己的envoy.json配置文件。我绝对建议您查看配置文件每个部分的参考文档，以帮助理解完整配置。 datawire.io的优秀人员也为Envoy及其配置提供了一个很好的介绍，你也应该检查一下。运行 重试 demo对于重试演示，我们将在Envoy中配置我们的路由，如下所示： “routes”: [ { “timeout_ms”: 0, “prefix”: “/”, “auto_host_rewrite”: true, “cluster”: “httpbin_service”, “retry_policy”: { “retry_on”: “5xx”, “num_retries”: 3 } }这里我们在HTTP状态为5xx时重试最多3次。如果您已经运行过以前的演示，请确保为此（或任何）演示开始一个新的初始化状态。我们为每个演示提供不同的Envoy配置，并希望确保每次都从一个新的初始化状态开始。首先停止已经存在的demo:./docker-stop.sh现在开始运行重试demo:./docker-run.sh -d retries现在让我们通过一次调用来运行客户端，该调用将触发应该返回HTTP 500错误的HTTP端点。我们将使用curl.sh脚本，该脚本设置为在我们的演示容器中调用curl。./curl.sh -vvvv localhost:15001/status/500我们将会看到类似的输出：* Hostname was NOT found in DNS cache* Trying ::1…* connect to ::1 port 15001 failed: Connection refused* Trying 127.0.0.1…* Connected to localhost (127.0.0.1) port 15001 (#0)> GET /status/500 HTTP/1.1> User-Agent: curl/7.35.0> Host: localhost:15001> Accept: /> < HTTP/1.1 500 Internal Server Error* Server envoy is not blacklisted< server: envoy< date: Thu, 25 May 2017 05:55:37 GMT< content-type: text/html; charset=utf-8< access-control-allow-origin: < access-control-allow-credentials: true< x-powered-by: Flask< x-processed-time: 0.000718116760254< content-length: 0< via: 1.1 vegur< x-envoy-upstream-service-time: 684< * Connection #0 to host localhost left intact现在我们检查一下，envoy为我们做了哪些工作：./get-envoy-stats.sh | grep retrycluster.httpbin_service.retry.upstream_rq_500: 3cluster.httpbin_service.retry.upstream_rq_5xx: 3cluster.httpbin_service.upstream_rq_retry: 3cluster.httpbin_service.upstream_rq_retry_overflow: 0cluster.httpbin_service.upstream_rq_retry_success: 0我们在这里看到由于HTTP 500错误，envoy重试了3次。如果从另外一个角度看待，重试可能会对您的服务架构产生有害影响。它们可以帮助传播故障或对可能正在挣扎的内部服务造成DDoS类型攻击。对于重试，需要注意以下几点：envoy将通过抖动进行自动指数重试。有关更多信息，请参阅文档您可以设置重试超时（每次重试超时），但总路由超时（为路由表配置;请参阅超时演示以获取确切配置）仍将保留/应用;这是为了使任何失控的重试/指数退避短路您应始终设置断路器重试配置，以便在可能具有大量连接时限制重试的配额。请参阅Envoy文档中断路器部分的有效重试运行超时 demo对于超时演示，我们将在Envoy中配置我们的路由，如下所示： “routes”: [ { “timeout_ms”: 0, “prefix”: “/”, “auto_host_rewrite”: true, “cluster”: “httpbin_service”, “timeout_ms”: 3000 }此配置为通过此路由到httpbin_service群集的任何调用设置全局（即，包括所有重试）3s超时。每当处理超时时，我们必须知道源自边缘的请求的整体全局超时。当我们深入到网络调用图中时，我们发现自己很难调试超时不会逐渐减少的情况。换句话说，当您浏览调用图时，调用图中更深层次的服务调用的服务超时应该小于先前服务的调用：envoy可以帮助传播超时信息，像gRPC这样的协议可以传播截止时间信息。随着我们继续本系列，我们将看到如何使用Istio Mesh控制Envoy代理，并且控制平面可以帮助我们进行故障注入以发现超时异常。如果您已经运行过以前的演示，请确保为此（或任何）演示开始一个新的初始化状态。我们为每个演示提供不同的Envoy配置，并希望确保每次都从一个新的初始化状态开始。首先停止已经存在的demo:./docker-stop.sh现在开始运超时demo:./docker-run.sh -d timeouts现在让我们用一个调用来运行客户端，该调用将触发HTTP端点，该端点应该将响应延迟大约5秒。此延迟应足以触发envoy超时。我们将使用curl.sh脚本，该脚本设置为在我们的演示容器中调用curl。./curl.sh -vvvv localhost:15001/delay/5我们将看到类似的输出： Hostname was NOT found in DNS cache* Trying ::1…* connect to ::1 port 15001 failed: Connection refused* Trying 127.0.0.1…* Connected to localhost (127.0.0.1) port 15001 (#0)> GET /delay/5 HTTP/1.1> User-Agent: curl/7.35.0> Host: localhost:15001> Accept: /> < HTTP/1.1 504 Gateway Timeout< content-length: 24< content-type: text/plain< date: Thu, 25 May 2017 06:13:53 GMT* Server envoy is not blacklisted< server: envoy< * Connection #0 to host localhost left intactupstream request timeout我们看到我们的请求是超时的。下面我们检查以下envoy的状态:./get-envoy-stats.sh | grep timeout在这里，我们看到1个请求（我们发送的请求！）由Envoy超时。cluster.httpbin_service.upstream_cx_connect_timeout: 0cluster.httpbin_service.upstream_rq_per_try_timeout: 0cluster.httpbin_service.upstream_rq_timeout: 1http.admin.downstream_cx_idle_timeout: 0http.egress_http.downstream_cx_idle_timeout: 0如果我们发送请求，这次延迟较小，我们应该看到调用：./curl.sh -vvvv localhost:15001/delay/2* Hostname was NOT found in DNS cache* Trying ::1…* connect to ::1 port 15001 failed: Connection refused* Trying 127.0.0.1…* Connected to localhost (127.0.0.1) port 15001 (#0)> GET /delay/2 HTTP/1.1> User-Agent: curl/7.35.0> Host: localhost:15001> Accept: /> < HTTP/1.1 200 OK* Server envoy is not blacklisted< server: envoy< date: Thu, 25 May 2017 06:15:41 GMT< content-type: application/json< access-control-allow-origin: < access-control-allow-credentials: true< x-powered-by: Flask< x-processed-time: 2.00246119499< content-length: 309< via: 1.1 vegur< x-envoy-upstream-service-time: 2145< { “args”: {}, “data”: “”, “files”: {}, “form”: {}, “headers”: { “Accept”: “/”, “Connection”: “close”, “Host”: “httpbin.org”, “User-Agent”: “curl/7.35.0”, “X-Envoy-Expected-Rq-Timeout-Ms”: “3000” }, “origin”: “68.3.84.124”, “url”: “http://httpbin.org/delay/2”} Connection #0 to host localhost left intact另请注意，Envoy会传播超时 headers，以便上游服务可以了解所期望的内容。 ...

此模型描述 0.4.0 版本 其中 filter 的配置结构如下：

说明，本文档基于 SOFAMosn 0.4.0 版本编写前言SOFAMosn 是一款采用 GoLang 开发的 Service Mesh 数据平面代理，由蚂蚁金服系统部网络团队、蚂蚁金服中间件团队、UC 大文娱团队共同开发，功能和定位类似 Envoy，旨在提供分布式，模块化，可观察，智能化的代理能力；她通过模块化，分层解耦的设计，提供了可编程，事件机制，扩展性，高吞吐量的能力。——摘自《 SOFAMosn 的诞生和特性》概述总体上看，连接迁移的流程如下图：MOSN 通过 forkexec 生成 New MOSNMOSN 通过 domain socket 把 TCP fd 和请求数据发送给 New MOSNNew MOSN 转发请求到后端（PUB2）后端 回复响应到 New MOSNNew MOSN 通过 MOSN 传递来的 TCP fd，回复响应到 client此后：mosn 退出 readloop，不再接受该 TCP 连接上的数据New mosn 开始 readloop，接受该 TCP 连接上的数据——摘自《SOFAMosn Introduction》具体实现触发在 MOSN 启动的时候，会加载包github.com/alipay/sofa-mosn/pkg/server在这个包加载的时候，该里面的 serverkeeper.go 这个文件中的 init() 函数被执行。这个函数会起一个协程在捕获 HUP 信号。当 Mosn 接收到来自系统的 HUP 信号时，MOSN 首先会调用 stopStoppable 函数先让 Admin Server 中的所有 Listener 都关闭 。然后调用 reconfigure 函数来进行配置重新加载。迁移过程旧进程的退出触发了 reconfigure 函数后，首先 MOSN 会设置两个环境变量_MOSN_GRACEFUL_RESTART=true_MOSN_INHERITFD_FD=<number>_MOSN_GRACEFUL_RESTART 对应的包 github.com/alipay/sofa-mosn/pkg/types 中的 GracefulRestart 常量，用于告诉新启动的 MOSN（下简称 New MOSN） 这个是一个优雅重启。_MOSN_INHERITFD_FD 对应包 github.com/alipay/sofa-mosn/pkg/types 中的 InheritFd 常量，里面存储的是 ListenerFD 的数量（ListenerFD 就是每个 Listener 调用 listen() 返回的 fd）。准备好环境变量后，就调用 syscall 包的 ForkExec 按照当前 MOSN 的启动参数进行启动，并将环境变量和标准输入输出错误和 ListenerFD 都和 New MOSN 共享。然后，MOSN 会等 3 秒，让 New MOSN 启动起来。认为 New MOSN 启动完成后，它就会调用 StopAccept() 让所有的 Listener 停止 Accept 新的请求（已经 Accept 的请求不会结束，socket 的监听也不会断），然后调用 WaitConnectionsDone 函数根据 GracefulTimeout（默认是 30秒） 设置的优雅重启的超时时间让所有的连接都完毕。接着 MOSN 就进行 Metrics 的迁移，完成后就会退出进程。在 WaitConnectionsDone 中，MOSN 设置了一个时间长度为 2 个 GracefulTimeout + 10秒 的时间的定时器。然后首先会 sleep 一个 GracefulTimeout 的时间，等待所有的连接主动关闭。然后关闭所有 server 中 connHandler 的 listeners 成员的 stopChan. 然后再 sleep 一个 GracefulTimeout + 10秒的时间，等待所有连接的迁移。时间过了之后，函数就会返回。此后，上层会调用 TransferMetrics 进行 Metrics 的调用 Exit 进行进程退出。新进程的启动继承 Listener 的获取在 New MOSN 启动的过程中，首先会调用 getInheritListeners。这个函数会从读取 Old MOSN 设置的环境变量 _MOSN_GRACEFUL_RESTART，如果为 true, 说明这是一个优雅重启，就会读取环境变量 _MOSN_INHERITFD_FD。由于 Listener 是最先使用 fd 的，所以 fd 总是从3 开始，那么所有 Listener fd 就是： 3, 4, … , 3 + _MOSN_INHERITFD_FD。然后利用这些 fd 将 Old MOSN 的 Listener 恢复出来。从而获取到继承过来的 Listener。获取完之后，会对获取的 Listener 和配置文件进行比对，判断其合法性。如果不合法的，或者不能新的配置里面没有以致继承过来的 Listener 不需要复用，就会将其关闭。完成了所有的初始化之后，就会启动两个 Unix Sock 的Server, 分别用与进行连接的迁移和 metrics 的迁移。用于连接迁移的 Unix Sock Server 会在 2 个 GracefulTimeout + 10 秒后自动关闭。迁移过程中，New MOSN 对每一个 Unix Sock 请求都会分配一个协程去处理。连接的迁移当一个请求进来的时候，如果请求使用的协议不是 HTTP1 且不使用系统提供的事件循环的时候，MOSN 会启动自己的 ConnIo, 调用 startReadLoop 和 startWriteLoop 来开启针对这个请求的的读写循环。读写数据迁移的协议在发送请求的过程中，首先会发送一个字节的数据， 这个字节代表了传输的是读数据迁移还是写数据迁移。0 代表是使用读数据迁移协议。1 代表是使用写数据协议。如果是 0, 还会将该连接的 fd 以 out-of-band 的方式也发送出去。读数据迁移协议首先是头部分：包括 8 个字节，前 4 个字节是 data 部分的长度，后 4 个字节是 TLS 部分的长度。body 部分：接下来 data length 个字节存储的是 readBuffer 数据。最后 TLS length 个字节存储的是 TLS 的数据。写数据迁移协议头部分也是 8 个字节, 前 4 个字节存储了 data 部分长度，后 4 个字节存储的是 connection ID。body 部分：接下来的 data length 自己存储的是 writeBuffer 数据。读数据的迁移Old MOSN 发送在 startReadLoop 中，MOSN 会捕获之前提到的 stopChan 被关闭的事件。捕获到这个事件之后，MOSN 会让这个链接等待一个随机的时间，然后开启连接迁移的过程。首先 MOSN 会往连接中的 transferChan 发一个 transferNotify(值为1) 消息，告诉这个连接对应的写循环：要开始迁移连接了。然后调用 transferRead 开始迁移读连接，并返回一个connection ID，最后将这个 ID 再次发送给 transferChan。在函数 transferRead 中：和 New MOSN 先前提到的负责连接迁移的 transferServer 建立 unix socket 连接。获取该连接对应的 fd调用 transferSendType 将传输数据使用的协议类型（读数据迁移协议还是写数据迁移协议）和连接的 fd 发送给 New MOSN。调用 transferReadSendData 将 header 部分和 body 部分传输给 New MOSN。如果 TLS 握手还没结束，则 TLS length 为 0。接收 New MOSN 处理完这些数据之后返回的 connection ID, 并返回New MOSN 的接收当 New MOSN 接受到来自 Old MOSN 的数据时：New MOSN 会调用 transferRecvType, 首先接受协议的类型（一个字节）, 如果是读数据迁移的协议，还会去接受 oob（out-of-band）中的 fd，并利用个这个 fd 重建出一个连接，恢复监听。调用 transferReadRecvData 获得本次请求中的 data 部分和 tls 部分的数据。调用 transferNewConn, 首先根据重建出的连接，找到 NewMOSN 中对应的 Listener。如果这是一个 TLS 连接，还会利用 Old MOSN 传过来的 TLS 信息将连接重建成一个 TLS 连接。然后该 Listener 从触发 Listener 的 OnAccept 事件开始，处理这个连接的请求。当 MOSN 用于封装连接的 connection 结构体建立完毕后，就标志着这个连接迁移完成，并将这个 connection 结构体存储在一个叫 transferMap 的数据结构中。利用重建的 connection 的 id 生成一个本次迁移连接的 ID，回传给 Old MOSN。写数据的迁移Old MOSN 的发送当写循环收到读循环从 transferChan 发过来的 transferNotify 消息时，会再读一次 transferChan, 获取到这一次连接传输的 ID，如果 ID 合法，则会开始监听两个 channel：internalStopChan: 从这个 channel 收到信号（这个 channel 被 close 了），认为这写数据迁移完成了，会直接退出。writeBufferChan: 这个 channel 传送过来的是需要写的数据，也就是需要传送的数据。收到后就会调用 transferWrite 开始迁移。当 writeLoop 要结束的时候，会 close 掉 internalStopChan 和 writeBufferChan。触发条件1。在 transferWrite 中：和 New MOSN 先前提到的负责连接迁移的 transferServer 建立 unix socket 连接。调用 transferSendType 将传输数据使用的协议类型（读数据迁移协议还是写数据迁移协议，此处是写数据迁移协议）调用 tranferWriteSendData 将 writeBuffer 里面的内容连同从 New MOSN 返回的连接传输 ID 一起发送给 New MOSNNew MOSN 的接收当 New MOSN 接受到来自 Old MOSN 的数据时：New MOSN 会调用 transferRecvType, 接受协议的类型（一个字节），判断是写数据迁移协议，进入接受写数据迁移的数据流程。从 unix sock 中读出要写的 buffer, 和连接传输的 ID根据 ID 从 transferMap 中 取出对应的 connection 结构体。并让将传输过来的数据扔到 connection 结构体中的 writeBufferChan 中，进入新的 writeLoop。至此，连接迁移的过成就完成了。Metrics 的迁移Old MOSN 退出前的最后一件事，就是把 Metrics 数据托付给 New MOSN。协议Metrics 的传输协议很简单，包括两部分 header 和 bodyHeader 长度为 4 个字节 存放的是 body lengthBody 的长度为 body length 个字节。存放着要传输的数据，即 Metrics 数据。Old MOSN 的发送首先他会调 makesTransferData, 将所有的 Metrics 数据都统一收集起来。和 New MOSN 先前提到的负责 Metrics 迁移的 transferServer 建立 unix socket 连接。先后把 header 和 body 发送给 New MOSN如果设置了等待 New MOSN 的响应，会在一个超市时间内等待 New MOSN 1 个字节的返回。New MOSN 的接收当 New MOSN 接受到来自 Old MOSN 的数据时，会调 serveConn 函数去处理每一个迁移请求：读取数据中的协议头，并根据协议头读取出报文体。将报文体的数据恢复成成 go-metrics 的数据，供 New MOSN 使用至此，所有关于平滑重启的操作就完成了。 ...

作者：Daniel Bryant，Datawire产品架构师；Flynn，Datawire Ambassador首席开发者；Richard Li，Datawire首席执行官兼联合创始人Kubernetes已经成为基于容器的微服务应用程序的事实上的运行引擎，但是这个编排框架本身并不提供运行分布式系统所需的所有基础结构。微服务通常通过第7层协议，如HTTP、gRPC或WebSockets，进行通信，因此能够制定路由决策，操作协议元数据，以及在此层进行观察至关重要。然而，传统的负载平衡器和边缘代理主要关注L3/4流量。这就是Envoy Proxy发挥作用的地方。Envoy代理由Lyft工程团队从头开始设计为通用数据平面，用于当今分布式，以L7为中心的世界，广泛支持L7协议，用于管理其配置的实时API，一流的可观察性，在小内存空间内实现高性能。然而，Envoy庞大的功能集和操作灵活性也使其配置非常复杂 - 从查看其丰富但冗长的控制平面语法可以看出这一点。通过开源Ambassador API网关，我们想要解决创建新控制平面的挑战，该控制平面侧重于在Kubernetes集群中部署Envoy作为前向边缘代理的用例，采用Kubernetes operator惯用的方式。在本文中，我们将介绍Ambassador设计的两个主要迭代，以及我们如何将Ambassador与Kubernetes相结合。2019年之前的Ambassador：Envoy v1 API、Jinja模板文件和热重启Ambassador本身作为Kubernetes服务部署在容器中，使用添加到Kubernetes Services的注释作为其核心配置模型。此方法使应用程序开发者能够将路由作为Kubernetes服务定义的一部分进行管理。由于当前Ingress API规范的限制，我们明确决定采用这种方式，我们也喜欢扩展Kubernetes服务的简单性，而不是引入另一种自定义资源类型。这里可以看到Ambassador注释的一个例子：kind: ServiceapiVersion: v1metadata: name: my-service annotations: getambassador.io/config: | — apiVersion: ambassador/v0 kind: Mapping name: my_service_mapping prefix: /my-service/ service: my-servicespec: selector: app: MyApp ports: - protocol: TCP port: 80 targetPort: 9376将这个简单的Ambassador注释配置转换为有效的Envoy v1配置并不是一项简单的任务。按照设计，Ambassador的配置不是基于与Envoy配置相同的概念模型 - 我们故意想要聚合和简化操作和配置。因此，将一组概念转换为另一组概念涉及Ambassador内部的相当多的逻辑。在Ambassador的第一次迭代中，我们创建了一个基于Python的服务，该服务监视Kubernetes API以更改Service对象。当检测到新的或更新的Ambassador注释时，这些注释从Ambassador语法转换为中间表示（intermediate representation，IR），其体现了我们的核心配置模型和概念。接下来，Ambassador将此IR转换为Envoy配置，该配置在运行的Ambassador k8s服务相关联的pod中被保存为文件。Ambassador然后“热重启”在Ambassador pod内运行的Envoy进程，这引发了新配置的加载。这个初始实现有很多好处。所涉及的机制基本上很简单，将Ambassador配置转换为Envoy配置是可靠的，Envoy基于文件的热重启集成是可靠的。但是，这一版本的Ambassador也面临着显着的挑战。首先，虽然热启动对我们大多数客户的用例有效，但速度并不快，一些客户（特别是那些具有大量应用程序部署的客户）发现它限制了更改配置的频率。热重启也可以丢弃连接，尤其是长期连接，如WebSockets或gRPC流。但更重要的是，IR的第一次实施允许快速原型设计，但有点原始，事实证明很难做出实质性的改变。虽然从一开始就是一个痛点，但当Envoy转向Envoy v2 API时，它成了一个关键问题。显然，v2 API将为Ambassador提供许多好处 - 正如Matt Klein在他的博客文章中概述的“通用数据平面API” - 包括访问新功能和上述连接丢弃问题的解决方案，但同时明确表示现有的IR实施无法实现跨越式发展。Ambassador >= v0.50：Envoy v2 API（ADS）、使用KAT测试和Golang在与Ambassador社区协商后，Datawire团队在2018年对Ambassador内部进行了重新设计。这是由两个关键目标驱动的。首先，我们希望集成Envoy的v2配置格式，这将支持SNI、速率限制和gRPC身份验证API等功能。其次，我们还希望对Envoy配置进行更强大的语义验证，因为它的复杂性越来越高（特别是在大规模应用程序部署时）。初始阶段我们首先通过多通道编译器对Ambassador内部进行重组。类层次结构是为了更密切地反映Ambassador配置资源、IR和Envoy配置资源之间的关注点分离（separation of concerns）。Ambassador的核心部分也进行了重新设计，以促进Datawire以外社区的贡献。我们决定采用这种方法有几个原因。首先，Envoy Proxy是一个非常快速发展的项目，我们意识到我们需要一种方法，即看似微小的Envoy配置变更不会导致Ambassador内部的重新设计。此外，我们希望能够提供配置的语义验证。当我们开始与Envoy v2更紧密地合作时，很快就发现了测试挑战。随着Ambassador支持越来越多的功能，Ambassador处理不太常见但完全有效的功能组合时出现了越来越多的漏洞。这促使创建一个新的测试要求，这意味着Ambassador的测试套件需要重新设计，以自动管理许多功能组合，而不是依靠人手单独编写每个测试。此外，我们希望测试套件快速，以最大限度地提高工程效率。因此，作为Ambassador重构的一部分，我们引入了Kubernetes验收测试（KAT）框架。KAT是一个可扩展的测试框架：将一堆服务（与Ambassador一起）部署到Kubernetes集群针对启动的API运行一系列验证查询对这些查询结果执行一堆认定KAT专为性能而设计 - 它预先批量测试设置，然后在步骤3中与高性能客户端异步运行所有查询。KAT中的流量驱动程序使用Telepresence在本地运行，这使得调试问题变得更加容易。将Golang引入Ambassador堆栈随着KAT测试框架到位，我们很快遇到了Envoy v2配置和热重启的一些问题，这提供了切换到使用Envoy的聚合发现服务（ADS）API而不是热重启的机会。这完全消除了重新配置更改的要求，我们发现这可能导致在高负载或长期连接下断开连接。然而，当我们考虑转向ADS时，我们遇到了一个有趣的问题。ADS并不像人们想象的那么简单：在向Envoy发送更新时存在明确的排序依赖性。Envoy项目具有排序逻辑的参考实现，但仅限于Go和Java，而Ambassador主要使用Python。我们挣扎了一点，决定最简单的方法是接受我们世界的多语言性质，并使用Go来实施我们的ADS。我们还发现，在KAT的情况下，我们的测试已经达到了Python在许多网络连接中的性能受到限制的程度，因此我们在这里利用Go，主要使用Go编写KAT的查询和后端服务。毕竟，当你已经投入采取了Golang，另一个依赖是什么？通过新的测试框架、新的IR生成有效的Envoy v2配置和ADS，我们认为我们完成了0.50Ambassador的主要体系结构更改。唉，我们又遇到了一个问题。在Azure Kubernetes服务上，不再检测到Ambassador注释更改。与高度响应的AKS工程团队合作，我们能够确定问题 - 在AKS中的Kubernetes API服务器通过一系列代理公开，要求客户端更新，以了解如何使用API的FQDN连接服务器，这是通过AKS中的变异webhook提供。不幸的是，官方Kubernetes Python客户端没有对此功能的支持，所以这是我们选择切换到Go而不是Python的第三个原因。这提出了一个有趣的问题，“为什么不放弃所有的Python代码，只是完全用Go重写Ambassador？”这是一个有效的问题。重写的主要问题是Ambassador和Envoy在不同的概念层面上运作，而不是简单地用不同的语法表达相同的概念。确信我们已经用新语言表达了概念桥梁并不是一个微不足道的挑战，如果没有真正优秀的测试覆盖范围就无法实行。在这一点上，我们使用Go覆盖非常具体、包含良好的函数，可以更容易地验证它们的正确性，以便我们可以验证完整的Golang重写。在将来，谁知道？但是对于0.50.0，这个功能分坼让我们既利用Golang的优势，又让我们对已经在0.50的所有变化保持更多信心。得到的教训我们在建立Ambassador 0.50的过程中学到了很多东西。我们的一些关键要点：Kubernetes和Envoy是非常强大的框架，但它们也是极其快速移动的目标 - 有时候无法替代阅读源代码并与维护者交谈（幸运的是，所有人都非常容易访问！）Kubernetes/Envoy生态系统中最受支持的库是用Go编写的。虽然我们喜欢Python，但我们不得不采用Go，这样我们就不会被迫自己维护太多的组件。有时需要重新设计测试工具来推动软件的发展。重新设计测试工具的实际成本通常是将旧测试移植到新的线束实现中。为边缘代理用例设计（和实现）一个有效的控制平台一直是一个挑战，来自Kubernetes、Envoy和Ambassador的开源社区的反馈非常有用。将Ambassador迁移到Envoy v2配置和ADS API是一个漫长而艰难的过程，需要大量的架构和设计讨论，以及大量编码，但结果的早期反馈是积极的。Ambassador 0.50现已发布，因此你可以使用参加测试，并在我们的Slack频道或Twitter上与社区分享你的反馈。KubeCon + CloudNativeCon中国论坛提案征集（CFP）2月22日截止KubeCon + CloudNativeCon 论坛让用户、开发人员、从业人员汇聚一堂，面对面进行交流合作。与会人员有 Kubernetes、Prometheus 及其他云原生计算基金会 (CNCF) 主办项目的领导，和我们一同探讨云原生生态系统发展方向。Open Source Summit中国提案征集（CFP）2月22日截止在Open Source Summit中国，与会者将共同合作及共享信息，了解最新和最有趣的开源技术，包括Linux、IoT、区块链、AI、网络等；并获得如何在开源社区中导向和引领的信息。大会日期：提案征集截止日期：太平洋标准时间 2 月 22 日，星期五，晚上 11:59提案征集通知日期：2019 年 4 月 8 日会议日程通告日期：2019 年 4 月 10 日会议活动举办日期：2019 年 6 月 24 至 26 日提醒：这是一场社区会议。因此，让我们尽量避开公然推销产品和/或供应商销售宣传。KubeCon + CloudNativeCon和Open Source Summit赞助方案出炉KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国 ...

在对应用程序进行重构和更新的过程中，往往会出现一些挑战。更新应用程序的频率越高，复杂性就越是会增加。让应用程序在容器平台上运行，并且它们之间可以互相通信和连接，是通向模块化的、灵活的微服务架构的必经之路。但是微服务的这种灵活性也让其变得更加复杂。这时就轮到Service Mesh发挥作用了！Service Mesh向企业提供了他们所需要的中心化控制面板，同时依然能够使用灵活的、基于云的应用程序开发方式。我们可以把Service Mesh看成是用于微服务API的专门的第7层网格，它提供身份验证、授权、安全和性能服务来优化服务之间的“east/west”流量。更重要的是，它能为你提供应用到这些策略的中心点，而不需要直接将所有这些编码到应用程序的业务逻辑中。简单的Service Mesh类比Service Mesh就像是城市的水管网络。你的团队控制着这些管道，根据需要连接它们并设置它们之间所有的流控制。无论是何种类型或用途，又或是Service Mesh所支持的应用程序的需求在不断变化，数据都可以通过你的系统进行传递。这种流量控制可以在中心位置进行，也正是在中心位置构建规则，来管理那些相互连接的数据流。这就像是在天上的巨大控制室一样，你可以在农作物需要额外资源时，给加利福尼亚州的土地浇水，又或是迈阿密那边湿的太透了，你可以排干它们。最重要的一点是，这些操作都是可以自动执行并且动态调整的。Service Mesh增强了可靠性和可视化能力Service Mesh提供从网络或服务故障处自动恢复过来的智能流量路由功能，这样就可以追踪到整个堆栈的问题，甚至能追踪到服务间的中断。如果服务器没有响应，你的服务网格将会把它从单个服务、或者是活跃的、负载均衡的服务池中剔除掉，转移到另一个池中，该池经常会检查是否可运行。当该服务器在合理的时间范围内开始响应时，它又会被自动push回活跃的负载均衡池中。通过提供服务层系统各个方面的可视化，Service Mesh还可以用来debug和优化系统。这样微服务中的脏水问题（murky water）就解决了。随着时间推移，系统可以进行调整来扩展功能，满足性能和稳定性的需求。Service Mesh保护服务间通信当你的团队推出应用程序的新版本，或是要将应用程序托管的集群迁移到新的数据中心时，安全团队通常需要重新颁发证书并授权给系统中新的服务器。这会花费大量的时间和精力，是推动生产改进的阻碍。有了服务网格，将服务间通信的安全性交给网格处理，这些关注点从应用程序本身抽象了出来，由服务网格处理所有这些限制，比如哪些服务可以相互通信、哪些系统可以访问哪些服务，以及哪些用户可以访问哪些服务。因此，升级网格中的应用程序不需要重新分配安全资源。这样一来，还可以让围绕网络和服务间通信的安全问题能从任何内部开发的业务逻辑中独立出来。如果网络组建出现安全漏洞，服务网格会去处理围绕安全更新的更改，而不是重新架构每个应用程序。这就消除了在进行安全更改和更新相关工作时出现的大量停机时间。研究大型微服务环境下的服务网格不过服务网格有一个（巨大的）潜在的缺点。它添加了额外的容器，事实上，它让容器规模加倍了。大多数服务网格的实现使用了sidecar代理，将一个代理实例和每个容器绑定的微服务耦合在一起。这样一来，它所带来的好处大于运营成本，这也意味着服务网格对于小型环境来说通常过于庞大了。但是，如果你正在管理数十个甚至数百个独立的微服务，不妨考虑服务网格。有了服务网格，你的团队可以更好的跟踪问题，确保服务的可用性，维护路由表的正确分布。对这些大型环境，无论是在公共云、在你的企业数据中心、还是在混合云的实现上，它们是云应用程序难题的最后一块拼图，也是将你的整个产业联系在一起的关键部分。