相互融合，各取所长 在 Service Mesh 领域，Envoy 和 MOSN 作为其数据面 sidecar 之一 ，用于解决传统服务治理体系下的痛点如： 多语言，中间件组件开发适配成本高、SDK 升级困难、 技术复用度差、治理体系不统一等。 MoE 背景介绍 — 为什么做 用户痛点 • east-west、north-south Gateway 技术栈不统一， 维护成本高 • Envoy 编写简单业务处理方便 Lua 脚本语言,开发复杂功能不方便 支持的库（SDK）相对较少 WASM Extension 跨语言语言支持（C/C++/Rust）、 隔离性、安全性、敏捷性 处于试验阶段，性能损耗较大； WASM 目前仅对C/C++/Rust 友好， 对 GoLang Runtime 还未完全支持； 不能复用已有的 SDK，需要做网络 IO 适配改造 External-Proc Extension MOSN(GoLang) Extension 高 较高 低 活跃 对比：MoE 相比 ext-proc 无需跨进程 gRPC，性能高；相比 WASM 无需 网络 IO 操作转换成本；相比 Lua 生态好、能复用现有的 SDK，对于上层 业务处理更合适 扩展方案评估 Envoy 社区讨论 MoE 背景介绍 — 方案分析 结论 综合稳定性、性能、成本、社区生态等因素评估，MoE 解决方案无论在当前阶段还是未来都具备一定优势

Pod 内的业务应用，有两种典型的埋点方案，statsd 和 prometheus sdk，当然，也可以用日志的方式，但是成 本比价高，处理起来比较麻烦，如果业务程序是自己研发团队写的，可控，尽量就别用日志来暴露监控指标 • statsd 出现的时间比较久了，各个语言都有 sdk，很完善，业务程序内嵌 statsd 的 sdk，截获请求之后通过 UDP 推送给兼容 statsd 协议的 agent（比如 协议，fire-and-forget，即使 agent 挂了，对业务也没啥影响 • prometheus sdk 作为另一种埋点方式，聚合计算逻辑是在 sdk 里完成，即在业务进程的内存里完成，对此介意 者慎用，然后把指标通过 /metrics 接口暴露，交由监控系统来抓取 • statsd 和 prometheus sdk 都是通用方案，此外，不同语言也会有一些习惯性使用的埋点方案，比如 Java 的 micrometer 务端 VM-001 业务 进程 agent 监控服 务端 业务 进程 VM-002 业务 进程 agent 业务 进程 Pod内的业务应用的监控 – prom sdk 数据流向 • /metrics 接口的抓取，对于大规模集群可以考虑 sidecar 模式，自闭环更灵活，可以自定义认证、过滤规则；对 于小集群，可以直接使用 Kubernetes 服务发现机制，用一个抓取器来抓

相互融合，各取所长 在 Service Mesh 领域，Envoy 和 MOSN 作为 其数据面 Sidecar 之一 ，用于解决传统服务治 理体系下的痛点如：多语言中间件组件开发适配 成本高、SDK 升级困难、技术复用度差、治理体 系不统一等。 MOE 背景介绍 — 为什么做 用户痛点 • east-west、north-south Gateway 技术栈不统一， 维护成本高 • Envoy 编写简单业务处理方便 Lua 脚本语言,开发复杂功能不 方便；支持的库（SDK）相对较 少 WASM Extension 跨语言语言支持 （C/C++/Rust）、隔离性、安 全性、敏捷性 处于试验阶段，性能损耗较大； WASM 目前仅对C/C++/Rust 友好，对 GoLang Runtime 还未 完全支持； 不能复用已有的 SDK，需要做网 络 IO 适配改造 External-Proc Extension 高 较高 低 活跃 对比：MOE 相比 ext-proc 无需跨进程 gRPC，性能高，易管理； 相比 WASM 无需网络 IO 操作转换成本；相比 Lua 生态好、能 复用现有的 SDK，对于处理上层业务更合适 扩展方案评估 Envoy 社区讨论 MOE 背景介绍 — 方案评估 结论 综合稳定性、性能、成本、社区生态等因素评估，MOE 解决方案无论在当前阶段还是未来都具备一定优势

安全漏洞。、攻击者可利用该漏洞绕过身份验证， 并以最高权限运行恶意代码，有效接管设备。本次 暴出漏洞的芯片至少有65家供应商在使用，生产出 的设备数量超过十万台。 Realtek 的WiFi SDK漏洞 2021年12月，Apache开源组件Log4j被发现两个 相关漏洞，分别为任意代码执行漏洞和拒绝服务攻 击漏洞，攻击者可以通过构造特殊的请求进行任意 代码执行，以达到控制服务器、影响服务器执行的 （CNVD-2022-23942）。攻击者利用该漏洞，可 在未授权的情况下远程执行命令，该漏洞被称为 “核弹级”漏洞。使用 JDK9 及以上版本皆有可能 受到影响。 Spring 框架漏洞 软件下载投毒、SDK/恶意代码污染、基础开源组件漏洞、商业许可证限制 Equifax信息泄露事件 SBOM概述 SBOM的作用 实施 SBOM 有助于揭示整个软件供应链中的漏洞与弱点，提高软件供应链的透明度，减轻软件供

云原生应用 è规模100xè è速度1000xè è距离10xè 80%看代码 20% 看流量 20% 看代码 80%看流量 应用连接方式的变化 应用监控的变化 传统的方法： 开发人员埋点， 标准SDK/JavaAgent， 流量分光镜像。 云原生下的难题： 微服务迭代快， 侵入式监控效率低； 云网络虚拟化， 东西向流量监控难。 挑战/必要性：网络的动态性和复杂性，不监控流量谈何应用可观测 机遇/ vSwitch / Bridge DeepFlow 采集器进程 业务 POD 业务 POD 采集 POD br • 宿主机+KVM + K8s混合场景，自动切换流量采集，最低消耗采集全网 业务 POD SDK Lib Sidecar Agent 分光 镜像 simplify the growing complexity © 2021, YUNSHAN Networks Technology Co.,

声明API：需要生成代 码框架（任何语言）， 契约驱动研发 • BaaS API:数据库接口、 中间件接口外化成API • API门户：消费者可以 根据领域-能力查询到 想要的API。 • 自动生成SDK方便集成。 • 发行计划：向下兼容， 对比发布 • API文档：每一个API有 一个活档，指导集成。 形成市场，能力 互补 全生命周期API管理-2-Azure API Management

Serverless融合 Service Mesh 技术和 Serverless 技术是工作在不同纬度的两个技术： • Service Mesh 技术的关注点在于服务间通讯，其目标是剥离客户端 SDK，为应 用减负，提供的能力主要包括安全性、路由、策略执行、流量管理等。 • Serverless 技术的关注点在于服务运维，目标是客户无需关注服务运维，提供 服务实例的自动伸缩，以及按照实际使用付费。

Config • MQ Broker把Envoy作为 它与服务之间的代理 • Envoy拓展兼容了PubSub 通信的协议，比如 RocketMQ的通信协议 • Service的代码依然使用 MQ的SDK与其他服务进 行通信 • 由于Envoy把MQ当做服 务一样接管流量，所以 也可以对它进行监控、 做服务发现、负载均衡 以及流量治理（比如灰 度部署） 云原生消息Mesh化 将消息的富客户端 能力下沉到SideCar，