Spark Notes

Appearance

Service Mesh

Service Mesh(服务网格)是微服务架构的基础设施层,将服务治理逻辑从服务代码中剥离,下沉到 Sidecar 代理。Service Mesh 处理服务间通信,提供服务发现、负载均衡、熔断降级、限流、链路追踪等功能。

为什么需要 Service Mesh

微服务治理逻辑复杂:服务发现、负载均衡、熔断降级、限流、链路追踪等逻辑分散在每个服务中,代码重复,难以维护。

多语言支持:不同服务使用不同语言(Java、Go、Python),需要为每种语言实现治理逻辑,工作量大。

升级困难:治理逻辑升级需要重新部署所有服务,成本高。

Service Mesh 的优势:逻辑剥离(治理逻辑从服务代码中剥离)、多语言支持(Sidecar 代理与语言无关)、独立升级(Sidecar 可以独立升级)、功能完善(提供服务发现、负载均衡、熔断降级、限流、链路追踪等功能)。

Service Mesh 的代价:复杂度增加(需要部署和管理 Sidecar)、性能开销(请求经过 Sidecar 增加延迟)、运维成本(需要管理大量 Sidecar)。

Service Mesh 的架构

数据平面

数据平面由 Sidecar 代理组成,部署在每个服务实例旁边,接管服务进出的流量。Sidecar 代理负责流量转发、服务发现、负载均衡、熔断降级、限流、链路追踪等。

数据平面的实现:Envoy(Istio、Linkerd 使用)、Mosn(Dubbo Meshe 使用)、Linkerd Proxy(Linkerd 使用)。

控制平面

控制平面负责配置和管理数据平面,提供服务发现、证书管理、流量控制、遥测数据收集等功能。

控制平面的实现:Istiod(Istio 使用)、Destination(Linkerd 使用)。

主流 Service Mesh

Istio

Istio 是 Google、IBM、Lyft 联合开源的 Service Mesh,基于 Envoy 代理。

Istio 的架构:Istiod(控制平面)、Envoy(数据平面)、Galley(配置验证)、Pilot(服务发现和流量管理)、Citadel(证书管理)、Sidecar Injector(自动注入 Sidecar)。

Istio 的特性:流量管理(灰度发布、蓝绿部署、故障注入)、安全(mTLS 加密、JWT 认证)、可观测性(Metrics、Tracing、Logging)。

Istio 的优势:功能完善、生态活跃、云原生、支持多集群。

Istio 的问题:复杂度高、性能开销大、学习曲线陡峭。

Linkerd

Linkerd 是 Buoyant 开源的 Service Mesh,基于 Rust 实现的 Linkerd2-proxy。

Linkerd 的架构:Destination(控制平面)、Linkerd2-proxy(数据平面)、Identity(证书管理)、Proxy Injector(自动注入 Sidecar)。

Linkerd 的特性:简单易用、性能开销小(基于 Rust)、与 Kubernetes 集成。

Linkerd 的优势:简单、性能好、Kubernetes 原生。

Linkerd 的问题:功能相对简单、生态不如 Istio 活跃。

Consul Connect

Consul Connect 是 HashiCorp 的 Service Mesh,集成在 Consul 中。

Consul Connect 的特性:与服务发现集成、mTLS 加密、意图管理(Service Intention,控制服务间访问)。

Consul Connect 的优势:与 Consul 集成、配置简单、多数据中心支持。

Consul Connect 的问题:功能相对简单、性能不如 Envoy。

AWS App Mesh

AWS App Mesh 是 AWS 托管的 Service Mesh,与 AWS 集成。

AWS App Mesh 的特性:与 AWS 集成、托管服务、支持多种计算平台(ECS、EKS、EC2)。

AWS App Mesh 的优势:与 AWS 集成、无需管理控制平面、高可用。

AWS App Mesh 的问题:仅支持 AWS、锁定 AWS 生态。

Service Mesh 的核心功能

流量管理

灰度发布:根据请求特征路由到不同版本的服务,实现灰度发布。可以根据 Header、Cookie、百分比路由。

蓝绿部署:维护两套环境(蓝、绿),切换流量实现零停机部署。

故障注入:注入延迟、错误,测试服务的容错能力。

流量镜像:复制流量到测试环境,验证新版本的正确性。

安全

mTLS:服务间通信使用 mTLS 加密,保证通信安全。

JWT 认证:支持 JWT 认证,验证服务身份。

访问控制:通过意图管理(Service Intention)控制服务间访问,最小权限原则。

可观测性

Metrics:收集请求量、延迟、错误率等指标,支持 Prometheus、Grafana。

Tracing:集成链路追踪(Jaeger、Zipkin),可视化调用链路。

Logging:记录访问日志,支持集中式日志管理。

Service Mesh 的部署模式

Sidecar 模式

每个服务实例部署一个 Sidecar 代理,接管服务进出的流量。Sidecar 代理与服务实例在同一 Pod 中,通过 localhost 通信。

Sidecar 模式的优势:隔离性好、不影响服务部署。

Sidecar 模式的问题:资源开销增加(每个实例多一个 Sidecar)、管理复杂。

Ambassador 模式

每个主机部署一个 Ambassador 代理,代理该主机上的所有服务实例。

Ambassador 模式的优势:资源开销少、管理简单。

Ambassador 模式的问题:隔离性差、服务间可能相互影响。

Service Mesh 的性能优化

减少代理数量:将非关键服务部署在同一个 Pod 中,共享 Sidecar。

使用高性能代理:使用基于 Rust 的高性能代理(如 Linkerd2-proxy、Mosn)。

优化数据路径:优化 Sidecar 的数据路径,减少延迟。

使用 eBPF:使用 eBPF 加速网络,减少 Sidecar 的开销。

Service Mesh 的最佳实践

渐进式采用:先从非关键服务开始,验证 Service Mesh 的稳定性和性能,再逐步推广到关键服务。

监控 Sidecar 性能:监控 Sidecar 的 CPU、内存、延迟,确保 Sidecar 不影响服务性能。

合理配置采样率:链路追踪采样率不宜过高,避免 Sidecar 性能开销过大。

使用 Service Mesh 的流量管理:利用 Service Mesh 的流量管理功能实现灰度发布、蓝绿部署,减少发布风险。

使用 Service Mesh 的安全功能:启用 mTLS 加密,保证服务间通信安全。

Service Mesh 是微服务架构的基础设施,理解 Service Mesh 的原理和权衡,有助于设计合适的微服务治理方案。