• 容错和限流 特点 • 独立部署 • 强化模块边界 • 技术多样性5/23 Service Mesh 优点 • 统一的服务治理 • 服务治理和业务逻辑解藕 缺点 • 增加运维复杂度 • 延时 • 需要更多技术栈6/23 探索 Istio 技术点 /02 了解 Istio 技术点7/23 MCP MCP（Mesh Configuration Protocol）提供了一套用于订阅、推送的

Istio的架构和基本原理 • FreeWheel的Istio实践 • 未来工作 • FreeWheel的痛点 未来工作 • Service Contract: 封装Istio以及平台层的其他配置的复杂度，抽象出 一个安全、高效的应用运维体系 • Chaos Testing：解决复杂的微服务系统的持续运营和风险控制问题

Pod内共享网络 Pod内共享网络 Virtual inbound -15006 kubelet 拦截指定命名空间 Pod创建请求 xDS Iptables 规则 ./etc/istio/proxy/SDS 证书 获取 配置 文件 可以修改全局注入参数 作用于所有目标空间的 pod 证书更新 Envoy启动流程 Envoy控制面流量 Envoy数据面流量 ./etc/istio/proxy/XDS • 跳过15008、22、15090、15021、 15020系统服务外，其余都通过 REDIRECT（DNAT）保存原始目标地址 后，进入Envoy的15006端口。 Envoy在每个POD网络空间内设置用于拦截流量的iptables规则 Copyright © Huawei Technologies Co., Ltd. All rights reserved. Page 9 Envoy启动配置及xDS 行HTTP编码，并发送到上游连接的L4层网络过滤器。 • 上游连接的L4层网络过滤器使用metadata_exchange传输本Envoy内保存的与调用APP相关的元数据信息，包括POD名称、用户空间、cluster_id等信息。之 后将待发送请求通过Socket发送到网络，经过iptables时判断发送者为Envoy则不再拦截。 Copyright © Huawei Technologies