也有各种功能 业务进程专注于业务逻辑Service Mesh 为什么蚂蚁需要Service Mesh • 拥抱微服务，云原生 • 异构语言体系融合 • 统一服务治理 • 运维体系有利支撑 • 全局流量管理，打通南北，东西 • 金融级网络安全为金融业务而生的SOFAMesh Pod Spring Cloud 应用 SOFAMosn SOFA Mesh 控制面 Galley Inspector 与业务Share内存，最大限制使用1G，存在超卖问题，触发Pod 级别的direct reclaim问题 磁盘 • Sidecar与业务容器共享磁盘，并且不受容器启动顺序对磁盘分配的影响，单独mount配置文件 • 不同业务不同资源占用的精细化调配性能问题 GOMAXPROCS ：Cpu消耗与RT的tradeoff 优化GC策略升级1.12版本，MADV_FREE，MADV_DONTNEED带来的 --latency -d 1m -c 100 -t 4 http://10.210.176.123:12220/1k.html总结 应用网络SDN 通信能力持续升级 安全与合规 § 南北，东西应用层流量的全局管 控，调度和安全能力 § 全方位的安全防护，全链路加密， 应用层的零信任网络 § 随通信基础设施，通信场景的变 化而演进 § 金融级的通信安全基础设施关于未来 § 云原生，多云混合云时代，南北，东西流量的边界逐渐模糊

/envoy。 2. envoy的启动参数形式为下面的startupArgs，包含一个-c指定的配置文件，还有一些命令行参数。除了下面 代码片段中展示的这些参数，还可以根据agent启动参数，再加上--concurrency, --service-zone等参数。 而上面的-c指定的envoy配置文件有几种生成的方式： 1.运 行 pilot-agent 时 ， 用 户 不 指 定 customConfigFile ig.go中的 WriteBootstrap自动生成一个配置文件，默认将生成的配置文件放在/etc/istio/proxy/envoy-rev%d.json， 这里的%d会用epoch序列号代替。WriteBootstrap在envoy.Run方法中被调用。Pilot-Agent主要功能分析-Envoy监控与管理 为envoy生成好配置文件之后，pilot-agent还要负责envoy进程的监控与管理工作，包括：

• 维护Part 1：ServiceMesh灵魂拷问一：要架构还是要性能？ Mixer v1 架构的优点 • 集中式服务： • 提高基础设施后端的可用性 • 为前提条件检查结果提供集群级别的全局2级缓存 • 灵活的适配器模型，使其以下操作变得简 单： • 运维添加、使用和删除适配器 • 开发人员创建新的适配器（超过20个适配器）Part 1：ServiceMesh灵魂拷问一：要架构还是要性能？ 不受Adapter增减/更新/升级影响 • 保持Proxy代码简单 • 保持Proxy代码简单 • 数据平面可替换原则 • 集中式服务： • 提高基础设施后端的可用性 • 为前提条件检查结果提供集群级别的全局2级缓存 • 灵活的适配器模型，使其以下操作变得简 单： • 运维添加、使用和删除适配器 • 开发人员创建新的适配器（超过20个适配器）合并没问题，如何合并才是问题 Part 2：Serv

Swarm, Kubernetes, M arathon, Mesos, Consul, Etcd, Z ookeeper, BoltDB, Rest API, file…) 来自动化、动态的应用它的 配置文件进行设置Traefik 项目 •https://github.com/containous/traefik •MIT License •Written in Go •25,400+⭐ 2,700+⬇

份颁发、身份验证功能  解耦应用的业务逻辑与认证授权逻辑，减少开发量；  提供密码学安全的认证授权逻辑，提高安全性；  全网统一的认证授权方式，去凭证，减少攻击面；  为每个应用建立唯一的全局应用身份标识，提供服务调用全链路溯源能力，及可问责能 力（accountability）。使用可信身份服务构建敏感数据下发通道 身份获取  应用 A 构造 HTTP 请求，调用 安全Sidecar

plugins: • drone-kubernetes, 需要将 kubernetes token base64 解码(否则报错：Unauthorized） • Jenkins • 默认是开启全局安全和防止跨站点请求伪造（这个在测试时你可能需要关闭） • Kubernetes(Minikube) • —bootstrapper=localkube • Istio • GreatWall（http://blog