现状及行业态度•时隔两月 Istio 发布了 1.4，迭代迅速 •国内 Service Mesh 相关书籍出版三本以上 •各大厂积极部署推进，蚂蚁金服影响力最大 •阿里巴巴实现对核心应用于双十一上验证 •云计算平台推出商业产品，但仍未普适 行业现状行业态度 普遍看好，仍存疑惑。 1. Service Mesh 增加成本调用及部署成本，高于所获得 的收益，价值难以兑现。 2. 针对服务化架构并未带来新的突破，将已有功能换个 •是否能很好的支持 Service Mesh •使用 Service Mesh 打通技术鸿沟三位一体，构建经济共同体 技术社区 内部支撑 商业赋能 技术输入 反哺增强 标准化生产 场景验证#2 阿里巴巴在落地 Service Mesh 中遇到的挑战#1 在 SDK 无法升级的情形下如何实现应用的 mesh 化 •没有人力修改 RPC-SDK，应用不想升级 1. Istio 通过 截方案，基于 iptables 的 mangle 表实现了一个全新的透明拦截组件#2 短时间内支持电商业务复杂的服务治理功能 •单元化？多环境？基于参数调用的路由？ 1. RPC 使用的是 Groovy 脚本，Mesh 不具备。 2. RPC 并没有将参数作为元信息放置 在请求头。#3 短时间内支持电商业务复杂的服务治理功能 •扩展 VirtualService 和 DestinationRule#3

一、蚂蚁金服的Kubernetes现状 Part 1：4/19 发展历程与落地规模 Part 1：蚂蚁金服的Kubernetes现状 平台研发 灰度验证 云化落地 规模化落地 2018年下半年开始投 入 Kubernetes 及其配 套系统研发 2019年初于生产环境 开始灰度验证，对部分 应用做平台迁移 2019年4月完成云化环境 适配，蚂蚁金服云上基础 设施全部采用 Kubernetes 支撑618 2019年7月到双十一前完成

通过Citadel Agent 获取证书使用可信身份服务构建敏感数据下发通道 背景介绍 通过应用Pod 中增加一个安全 Sidecar，以API接口的形式为APP及其他Sidecar 提供基础的身 份颁发、身份验证功能  解耦应用的业务逻辑与认证授权逻辑，减少开发量；  提供密码学安全的认证授权逻辑，提高安全性；  全网统一的认证授权方式，去凭证，减少攻击面；  为每个应用建立唯一的全局应用身份标识 来声明自己的身份。使用可信身份服务构建敏感数据下发通道 身份校验  从应用 A 发起的调用上下文中获取 JWT-SVID，并构造 HTTP 请求，调用安全Sidecar提供的 JWT- SVID 验证接口。  安全Sidecar通过密钥对 JWT-SVID 进行验签。  从 JWT-SVID 的 Body 部分中获取 SPIFFE ID。  将 SPIFFE ID 内容解释为几个关键属性

Foundry.Pilot-Agent主要功能分析-生产Envoy配置 agent.waitForExit会调用envoy.Run方法启动envoy进程，为此需要获取envoy二进制所在文件系统路径和命令行 参数两部分信息： 1. envoy二进制所在文件系统路径：evony.Run通过proxy.config.BinaryPath变量得知envoy二进制所在的文件 系统位置，proxy就是envoy对象 DefaultProxyConfig函数，值是/usr/local/bin/envoy。 2. envoy的启动参数形式为下面的startupArgs，包含一个-c指定的配置文件，还有一些命令行参数。除了下面 代码片段中展示的这些参数，还可以根据agent启动参数，再加上--concurrency, --service-zone等参数。 而上面的-c指定的envoy配置文件有几种生成的方式： 1.运 行 pilot-agent pilot-agent 时 ， 用 户 不 指 定 customConfigFile 参 数 （ agent init 时 默 认 为 空 ） ， 但 是 制 定 了 templateFile参数（agent init时默认为空），这时agent的main方法会根据templateFile帮用户生成一个 customConfigFile，后面就视作用户制定了customConfigFile。这个流程在agent的main方法里。

qps今年计划（Roadmap） 我是作者名称Roadmap • 智能参数治理 • 实时反馈 • 历史指标 • OSP智能故障分析&告警 • 基于内部的智能根因分析大框架 • 全链路服务综合治理 • 实时上下游超时治理 • 实时上下游限流治理 • 智能路由 • 开源智能参数治理 • 现状 • 依赖用户手工配置参数（超时时间、限流） • 服务实例的差异导致配置相当复杂，容易 配置不合理 center 机器指标 上报 Smart agent 服务调用 Service config center 应用指标 上报 应用指标 上报 配置建议 配置下发 宿主机 用户 配置治理参数智能故障分析&告警 • 现状 • 告警信息分散，需要人工进行更多的数 据收集和整合才能定位问题，效率低下 • 告警信息偏原始，缺乏对告警信息进行 进一步推导得到具体的措施 • 目标 •

测试环境不稳定，后端Pod 频繁重启 • 解决方案 • Contour产品化 • Istio的灰度发布和流量管理 • Istio的Tracing产品化落地场景—云存储系统 • 历史问题 • 灰度发布 • 预上线系统验证体系 • 系统故障隔离 • 跨集群访问 • 线上问题链路追踪 • 解决方案 • Istio南北流量分流策略产品化 • 基于Istio的QoS产品化 • 跨集群流量调度 • 基于Istio的Tracing产品化落地场景—大数据产品

精准分组，自定义拓扑 • IP不变，无损升级 • 可适配多种工作负载 • InPlaceSet • ReplicaSet • StatefulSet 可灰度： • 应用发布进程可控，允许灰度、 分组和 Beta 验证； 可回滚： • 随时暂停、回滚，任何变更有 据可查； 可监控： • 接入监控告警体系，全程保证 可观测性 partition:3 partition:5 InPlaceSetControlle

对流量行 为进行细粒度控制。 • 可插入的策略层和配置 API，支持访问控制、速率限制和配额。 • 对出入集群入口和出口中所有流量的自动度量指标、日志记录和跟 踪。 • 通过强大的基于身份的验证和授权，在集群中实现安全的服务间通 信。坑 • Gitlab • external_url • Outbound requests(Allow requests to the local network

能力上，经过多轮演进，0.4.0版本已经初步具备了生产所需的大部分功能点，支持 云原生场景下的多协议、路由&LB、后端管理、TLS、遥感监测、XDS对接等功能， 并充分优化了性能，目前已经在蚂蚁、UC生产环境进行了验证。落地实践案例蚂蚁落地 – 应用接入 ü 适用于蚂蚁当前的服务发现 体系 ü 通过中间件通道对应用推送 MOSN调用地址 ü 通过扩展cluster类型的方式 动态获取配置中心后端 ü

质量保障体系 • CICD • 单元测试 • 性能基准自动测试 • 监控报警 • 版本升级机制 • Envoy 热更新机制 • 灰度发布机制：业务灰度+流量灰度 • 演练测试 • 业务回归验证20/24 一些坑 • Envoy 目前编译版本存在 Bug • 在 Istio pilot 升级到加入 accesslog 相关配置下发功能版本后，Envoy 在一定压力访问或 有客户端主