MESH 落地方案 在非 KUBERNETES 环境部署 ISTIO 把 KUBERNETES 当作一个更好用的虚拟化方案 KUBERNETES NATIVE 化微服务 PLATFORM ADAPTER 自己做控制平面KUBERNETES NATIVE 微服务 • 使用 Kubernetes 作为注册中心 • Service • Endpoint • Pod • 使用 DNS 寻址 • 使用 开发 DUBBO 服务的 XDS 配置下发 • 开发 DUBBO 服务的路由规则 XDS 适配 • 开发 DUBBO 协议支持SOFA MESH 的统一解决方案 • 采用 Kubernetes Native 方式落地微服务应用 • 使用 INTERFACE 作为 DNS 来寻址服务 • 开发一个通用协议处理框架 • 避免为不同的微服务框架修改 PILOT 代码 • 通过插件的方式按需支持新的协议 cluster.local 80% 20%POD DNS 寻址方案 APP Register Agent RPC Service Controller CoreDNS Kube API Server Pilot Discovery SOFA MOSN Get Service Info Get Service Info Watch RPC Service Watch Service

ServiceMesh发展趋势（续） 蚂蚁金服 敖小剑 棋到中盘路往何方Part 0：前言 5月底，我在Cloud Native Meetup上做了一个“ServiceMesh 发展趋势：云原生中流砥柱”的演讲，当时主要讲了三块内容： - Service Mesh产品动态 - Service Mesh发展趋势 - Service Mesh与云原生 今天的内容可以视为是上次演讲部分内容的深度展开，如社区 Adapter的运行时资源开销 • 不受Adapter增减/更新/升级影响 • 保持Proxy代码简单 • 保持Proxy代码简单 • 数据平面可替换原则 Kubernete s API Server Adapters ConfigurationsOut-of-process Adapter 7/39 Istio的新回答：架构继续优先，性能继续放一边 Part 1：ServiceMesh灵魂拷问一：要架构还是要性能？ DirectorPart 3：ServiceMesh灵魂拷问三：要不要支持虚拟机？ 理想（云原生普及）和现实（虚拟机大量存在）的差距 理想很丰满，现实很骨感。Cloud Native虽 然令人向往，然而现实中，有多少企业是真 的做好了Cloud Native的准备？ 问题：到底该先容器/k8s，再上微服务 /servicemesh；还是先微服务/servicemesh， 再上容器/k8s？ 每个公司都会有自己的实际情况和选择。

2014年 Java SE 8.0 2017年 Java SE 9.0 2018年 Java SE 10 Java SE 11应用架构演进史 C/S (Client/Server) B/S (Browser/Server) MVC (Model View Controller) SOA (Service-Oriented Architecture) 注 册 中 心 服 务 治 理 reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application. In practice, the service mesh is typically implemented as an array of lightweight

reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application. In practice, the service mesh is typically implemented as an array of lightweight 务信息，路由 信息等) 定制Istio组件 应用微服务 业务请求 控制流 图例说明 Pilot Mixer APP: Canary Deployment K8s API Server 管控规则 灰度发布 网格增强组件 原生组件 APP： Traffic Management APP ...产品化增强-服务注册发现 出于历史原因，我们使用了Kubernetes来部 request MSB API Gateway API Management Ingress Sidecar Service Discovery & Traffic Management Server Sidecar Sidecar Client Service Mesh Service Mesh Control Plane API Gateway：应用网关逻辑 • 使用不同端口为不同租户提供访问入口

.0/docs/en/concepts- and-designs/oal.mdWhat is Service Mesh probe? Metric from Service Mesh by native supportedMetric Data Structure • Service Names at both sides. • Service Instance Names at both Status. Success or fail. • Protocol. HTTP, gRPC • DetectPoint. In Service Mesh sidecar, client or server. In normal L7 proxy, value is proxy.We need your star on GitHub • https://github.com/apache/i

金融级网络安全 Part 1： 为什么需要Service Mesh? 身份标识/访问控制 Service （client） Sidecar Sidecar Service （server） mTLS 服务鉴权 全链路可信、加密 零信任网络9/39 二、 在当下『路口』的思考10/39 Part 2： 在当下『路口』的思考 云原生方案？ 落地有 gap com/product/sofa34/39 四、 展望未来35/39 Part 3： 展望未来 云托管 Cloud Hosted 云就绪 Cloud Ready 云原生 Cloud Native 虚拟化 无状态 弹性，自愈 • 降低资源成本，提升开发效率，享受生态红利 • 云原生不是目的，而是手段 拥抱云原生Part 3： 展望未来 和 istio 社区共建，

Istio • GreatWall（http://blog.samemoment.com/articles/kubernetes/) • 应该是给我造成最多最大的问题 • SSCNCF（Cloud Native Computin Foundation） 云原生计算基金会 未来展望你好我是分享标题 我是作者名称Q&Ahttp://www.servicemesher.com

Client Listener Read / Codec Read / Codec Read / Codec accept Stream Event Handler Pool Server Server Server worker Write Write Write connect send write worker worker Read / Codec Read / Codec Client Listene r Read / Codec Read / Codec Read accept Stream Event Handler Pool Server Server Server worker Write Write Write connect data write worker worker Read / Codec Read / Codec Write Write write data Codec Worker Pool线程模型规划: SEDA 10 Client Listener IO Pool Server Server Server IO Event Handler Pool data Codec Worker Pool Stream Event Handler Pool worker worker

Service Platform） • Thrift over Netty • 基于Java语法的DSL • Zookeeper • 胖客户端 • 基本服务治理功能 App OSP Server Service Registry Service Config Center 服务发现 服务注册 服务元数据下发 OSP client 服务路由 网络传输 服务元数据上报缺点 Remote，主与备 • 轻量级客户端、本地调用 • Local Proxy负责服务治理与 远程通信 • Remote Proxy负责备份和非 主流流量 JavaApp Local Proxy OSP Server Service Registry Service Config Center Remote Proxy Cluster API Gateway 备用链路 服务发现 服务注册 配置下发 TCP • Local & Remote • 根据接入对象的不同，制定 不同的接入策略，达到 • 接入简单 • 保证性能 • 节省资源 Java App Local Proxy OSP Server Remote Proxy Cluster Thrift over TCP PHP App C/C++/Node JS App Thrift over TCP Thrift

Sidecar 证书管理方案，方案的核心流程在于引入 SDS Server 进行密钥管理和分发，Sidecar 通过 gRPC 请求获取证书，并利用 gRPC stream 能力实现证书动态轮转。 当然，Sidecar 和 SDS Server 的通信也需要保证自身的通信安全，存在以下两种方案：  Sidecar 与 SDS Server 采用 mTLS 通信，采用静态证书方案，通过 Secret Secret Mount 方式获取通信证书  Sidecar 与 SDS Server 采用 UDS 方式实现纯内存通信，不需要使用证书。基于 Secret Discovery Service Sidecar 的证书管理方案 Envoy SDS 证书管理流程基于 Secret Discovery Service Sidecar 的证书管理方案 Istio With Envoy SDS Istio 基于 基于 Envoy 的 SDS方案，实现了 SDS Server 和 SDS 配置管理。Istio 方案中选择 UDS 通信方案，Istio的 方案证书管理流程由 Citadel , Citadel Agent , Pilot 协同完成  Pilot 负责 UDS 路径配置下发，用户通过 Policy CRD 和 DestinationRule 来决策需要给哪些 Sidecar 下发  Sidecar