微服务应用 2019-6 田晓亮 servicecomb.apache.org github.com/apache?q=servicecomb 个人介绍 10年软件⾏业经验，2012年进⼊云计算领域，对PaaS， DevOps， APM等有深⼊的研究和实践经验。 负责华为公司微服务框架的设计，开发和落地，微服务引擎云服务商⽤ 上线公有云，开发国内首个Go语言微服务框架与Service 项目 库 …… 统一基础 数据规范 统一财政 业务数据 标准存储 统一应用 支撑平台 总账结构 统一纵向 层级交换 机制 统一信息 安全体系 软件开发服务 ServiceStage 大数据服务 系统集成服务 IaaS（计算、存储、网络、安全） 中间件服务 标准与规范 应用全微服务化，接口标准由财政厅统一管控， ISV只需聚焦微服务交付，降低依赖性 统一业务模型和数据集成标准，系统无缝对接，

大化。 Doorman为Company项目组提供安全保障，屏蔽非合法用户， 防止其骗取免费服务，甚至伤害Worker/Beekeeper Worker提供复杂数学计算服务，并给出结果。 • Beekeeper研究蜜蜂繁殖规律，计算每只蜜蜂 (雄蜂/雌蜂) 的祖先数量 • 因为蜜蜂繁殖规律和黄金分割数列相关，所以同时消费Worker的计算服务 Credit: Dave Cushman's 施查询注册方的联系方式， 以方便匹配能力的提供和消费 将最近常用的项目进行归档，如果有内容相同的请求到达， Manager可以就近获取结果，不必再购买Worker/Beekeeper提 供的计算服务，节省项目组开支 Human Resource从运维层面保证服务的可靠性，主要功能有 • 弹性伸缩：保证用户请求量超过Worker处理能力的某个阈值后，招聘更多Worker加入项目； 当请

Apache ServiceComb 插件式处理链 SpringMVC 编程模型 限流 负载均衡 分布式追踪 动态配置 服务注册 服务度量 通信模型 REST 边缘服务 熔断/容错 安全认证 分布式事务 标准契约管理 微服务脚手架 配置治理中心 POJO 编程模型 JAX-RS 编程模型 通信模型 RPC 插件式扩展 开箱即用 编程/通信模型分离 轻量级边缘服务 纯异步内核 在同一个业 务领域的微 服务中使用 了多种不同 语言进行开 发部署 使能多微服 务技术栈开 发的微服务 应用之间协 同工作和共 同治理 使能满足第三 方认证被广泛 采纳的趋势下 认证鉴权的性 能和安全的要 求 帮助企业用 户达成业务 模型和数据 集成标准统 一 通过易于理 解的数据和 入口，管理 复杂的分布 式系统配置 多语言运行环境 服务中心异构通信 微服务鉴权 分布式系统配置中心 项目 库 …… 统一基础 数据规范 统一财政 业务数据 标准存储 统一应用 支撑平台 总账结构 统一纵向 层级交换 机制 统一信息 安全体系 软件开发服务 ServiceStage 大数据服务 系统集成服务 IaaS（计算、存储、网络、安全） 中间件服务 标准与规范 应用全微服务化，接口标准由财政厅统一管控， ISV只需聚焦微服务交付，降低依赖性 统一业务模型和数据集成标准，系统无缝对接，

微服务 Spring Cloud Node.js 微服务 PHP 微服务 其他语言 微服务 ServiceStage OpenAPI（Restful） 注册中心 配置中心 治理中心 安全管控 服务监控 事务管理 ServiceComb 采⽤Vert.x的背景 3 Vert.x vs webflux ServiceComb 的通信模型演进 启动更多的线程 Why？ Thread 黄金法则：不要阻塞Event Loop 什么才叫阻塞？ n Thead.sleep() n 等待一个锁 n 等待一个互斥信号或监视器（例如同步的代码块） n 执行一个长时间数据库操作并等待其结果 n 执行一个复杂的计算，占用了可感知的时长 n 在循环语句中长时间逗留 10000TPS=0.1ms处理一个请求 如果利⽤多核？ ServiceComb 采⽤Vert.x的背景 3 Vert.x vs webflux

• 未来的规划 大促的痛及混合云实践 业务服务层 资源层 分期乐 前端业务服务 桔子理财 鼎盛资管 …… mq管理系统 job管理系统 中台服务层 核心交易平台 风控审核平台 计算资源 (CPU) 存储资源 (内存|磁盘) 网络资源 (ip|端口|带宽) 中间件层 微服务框架 服务元数据管理 服务发布 服务订阅 消息中间件 消息元数据管理 消息生产 消息消费 上云，写请求 回自建idc 04 流量大户上云，顶住流量洪峰 机器器资源按需分配 接入层URL粒度流量调度 LB DNS app/browser Nginx-Proxy Nginx-Proxy 安全防护 自建IDC 云IDC WAF WAF https://order.lexin.com/create https://order.lexin.com/query 服务化框架的单元化路由

线上渠道 主机厂/经销商入口 业务 中台 (核心) 其他系统 DMS 第三方 电商 会员体系 安全体系 协同平台 价值体系 流程体系 第三方渠道 展会 数字 展厅 PC门户 企业微信 官网 短信 小程序 公众号 标准体系 标签体系 数据 中台 …… 存储服务 安全服务 接口网关服务 日志服务 网络服务 …… 短信服务 技术 中台 ……. 消费者互动数据 消费者账号 AOM） 营销平台 接口服务 消息 REST NAT网关 NAT gateway 4核8G 按需扩容 4核8G 按需扩容 Nginx 按需扩容 My SQL 高 可 用 安全组隔离 安全组隔离 安全组隔离 ELB C端流量 8 github.com/apache?q=servicecomb servicecomb.apache.org 以微服务方案为底座的服务化改造 主机厂CRM运营 （>Eureka） 配置中心 （etcd增强） 治理中心 （Hystrix+Rib bon增强） 新业务 数据库 华为云CSE介绍 Apache ServiceComb 公有云对接能力 安全管理 分布式数据一致 性 REDIS 缓存 OBS存储 缓存 X-API_KEY HTTPS/HTTP 服务注册 数据库 API调用 （ACCESS_TO KEN) 9 github

在同一个业 务领域的微 服务中使用 了多种不同 语言进行开 发部署 使能多微服 务技术栈开 发的微服务 应用之间协 同工作和共 同治理 使能满足第三 方认证被广泛 采纳的趋势下 认证鉴权的性 能和安全的要 求 帮助企业用 户达成业务 模型和数据 集成标准统 一 通过易于理 解的数据和 入口，管理 复杂的分布 式系统配置 分布式系统配置中心 服务中心异构通信 多语言运行环境 微服务鉴权 （正在迁移到Apache ServiceComb） 使用服务网格Mesher接入多语言，和编程框架统一治理 关键组件 - Control panel - Registry - Protocol - 监控 - 安全 拥抱生态 - ServiceComb - Istio - Promethues - Zipkin - 华为云 异构基础设施 - CCE - Kubernetes - Docker - VM - q=servicecomb servicecomb.apache.org servicecomb-fence 提供了基于Oauth2.0和OpenID Connect的微服务架构认证鉴权框架，帮助用户快速搭建高性能、安全的 微服务认证鉴权能力 • 开箱即用：提供了默认的Authentication Server、Edge Service、Resource Server实现，简化用户开发难度 • 开发简单：提供配

启停速度要快（秒级弹性伸缩）、资源占用要合理 微服务框架技术选型-微服务安全  有些业务场景对微服务调用安全要求较高，需要微服务框架支持 SSL传输、API鉴权和认证等  对于一些敏感信息，例如用户账号、金额等，在记录日志等落盘 和采集时需要做脱敏处理、资源占用要合理  敏感运维操作，需要记录安全日志，例如服务上线和下线、服务 的流控阈值修改等 微服务框架技术选型-服务治理能力 CSE在消费者云业务的实践-更多实践 调用链跟踪，不Zipkin集成，自定义调用链打点 集成Nginx做边缘服务（API接入） 本地开发不调试 分布式配置服务 HTTP/2 安全，HTTPS… • 线上： – 关注微信公众获取信息 – 加入微信群进行交流 – 通过邮件列表参不讨论 – 通过Github发起PR • 线下： – 月度Meetup

在同一个业 务领域的微 服务中使用 了多种不同 语言进行开 发部署 使能多微服 务技术栈开 发的微服务 应用之间协 同工作和共 同治理 使能满足第三 方认证被广泛 采纳的趋势下 认证鉴权的性 能和安全的要 求 帮助企业用 户达成业务 模型和数据 集成标准统 一 通过易于理 解的数据和 入口，管理 复杂的分布 式系统配置 多语言运行环境 服务中心异构通信 微服务鉴权 分布式系统配置中心 https://github.com/apache?q=servicecomb Fence - 微服务认证鉴权框架 提供基于Oauth2.0和OpenID Connect的微服务架构认证鉴权框架，帮助用户快速搭建高性能、安全的微服务认证鉴权能力 • 项目地址：https://github.com/apache/servicecomb-fence 多种应用 场景支持 对接第三方认 证鉴权服务 多种认证 模式支持 置和代码逻辑分离，也支持在使用Annotation声明式 的权限配置，相辅相成。 • 第三方认证支持：采用Open ID协议，对接Github等三方认证系统。 • 安全高效：混合Token模式和Session模式，满足性能和安全性的最佳组合。 • 快速入门 https://github.com/apache/servicecomb-fence/blob/master/docs/zh_CN/developersGuide

高性能，11mb常驻内存，1毫秒延迟 Huawei Confidential Mesher架构总览 7 关键组件 - Control panel - Registry - Protocol - 监控 - 安全 拥抱生态 - ServiceComb - Istio - Promethues - Zipkin - 华为云 异构基础设施 - CCE - Kubernetes - Docker - VM - 支持http协议 支持注册发现 支持路由管理 支持熔断，限流，负载均 衡等动态配置管理 支持TLS证书托管 插件化模块 1.0 支持Istio作为控制面板 支持发现 支持路由管理 支持Citadel安全管理 1.6 泛服务化，Mysql支持 1.8 支持grpc协议 支持本地健康查询 Sidecar Injector 1.5 目前版本 支持per host运行模式 支持Skywalking