背景

最近Service Mesh服务网格这个概念有点热，我们已经有了这么多分布式微服务框架了，例如Spring Cloud， Dubbo，ServiceComb等等，为什么还需要Service Mesh呢，具体是怎么Mesh的， 我一堆微服务不就是服务网格了， 还有需要Mesh吗？ Sidecar又是什么东西？

服务网格（Service Mesh）这两年很火，号称是下一代微服务架构，希望能够让大家对最新的架构技术，有个初步的了解。

第一代Service Mesh由一系列独立运行的单机代理服务构成，为了提供统一的上层运维入口，演化出了集中式控制面板，所有的单机代理组件通过和控制面板交互进行网络拓扑策略的更新和单机数据的汇报。这就是以Istio为代表的第二代Service Mesh。

一、Service Mesh 介绍

Service Mesh的定义

服务网格是一个基础设施层，用于处理服务间通信。云原生应用有着复杂的服务拓扑，服务网格保证请求在这些拓扑中可靠地穿梭。在实际应用当中，服务网格通常是由一系列轻量级的网络代理组成的，它们与应用程序部署在一起，但对应用程序透明。

Service Mesh 诞生

从概念到落地？不，是从落地到概念。

时间回到2016年9⽉29⽇，在Buoyant公司内部一次关于微服务的分享会上，“Service Mesh” ，这个接下来几年占据各种云原生头条的 buzz word，就这么被造出来了。不得不说，起名真是门艺术，Micro-Services -> Service Mesh，多么承前启后和顺其自然啊，光看名字就能很形象地理解这玩意儿所做的事情：把微服务的各个service（服务）节点，用一张mesh（网格）连接起来。就这样，原本被拆散得七零八落的微服务们，又被 Service Mesh 这张大网紧密得连接到了一起；即使依然天各一方（进程间隔离），但也找回了当年一起挤在单体应用内抱团撒欢的亲密感（通信更容易）。

Service Mesh 目的是解决系统架构微服务化后的服务间通信和治理问题。 服务网格由 Sidecar 节点组成，这个模式的精髓在于实现了数据面（业务逻辑）和控制面的解耦。具体到微服务架构中，即给每一个微服务实例同步部署一个 Sidecar。

在 Service Mesh 部署网络结构图中，绿色方块为应用服务，蓝色方块为 SideCar，应用服务之间通过 Sidecar 进行通信，整个服务通信形成图中的蓝色网络连线，图中所有蓝色部分就形成了 Service Mesh。其具备如下主要特点：

• 应用程序间通讯的中间层
• 轻量级网络代理
• 应用程序无感知
• 解耦应用程序的重试/超时、监控、追踪和服务发现

二、Service Mesh 解决的问题

从上述 Service Mesh 的定义看：

• 基础设施层是 Service Mesh 的定位，致力于解决微服务基础设施标准化、配置化、服务化和产品化的问题。
• 服务间通信是 Service Mesh 技术层面对的问题，对微服务屏蔽通信的复杂度，解决微服务的通信治理问题。
• 请求的可靠传递是 Service Mesh 的目标。
• 轻量级网络代理是 Service Mesh 的部署方式。
• 对应用程序透明是 Service Mesh 的亮点和特色，实现对业务无侵入。

综合上述，Service Mesh 主要解决用户如下 3 个维度的痛点需求：

• 完善的微服务基础设施
  通过将微服务通信下沉到基础设施层，屏蔽了微服务处理各种通信问题的复杂度，形成微服务之间的抽象协议层。开发者无需关心通信层的具体实现，也无需关注 RPC 通信（包含服务发现、负载均衡、流量调度、流量降级、监控统计等）的一切细节，真正像本地调用一样使用微服务，通信相关的一起工作直接交给 Service Mesh。

• 语言无关的通信和链路治理
  功能上，Service Mesh 并没有提供任何新的特性和能力，Service Mesh 提供的所有通信和服务治理能力在 Service Mesh 之前的技术中均能找到，比如 Spring Cloud 就实现了完善的微服务 RPC 通信和服务治理支持。

  Service Mesh 改变的是通信和服务治理能力提供的方式，通过将这些能力实现从各语言业务实现中解耦，下沉到基础设施层面，以一种更加通用和标准化的方式提供，屏蔽不同语言、不同平台的差异性，有利于通信和服务治理能力的迭代和创新，使得业务实现更加方便。

  Service Mesh 避免了多语言服务治理上的重复建设，通过 Service Mesh 语言无关的通信和服务治理能力，助力于多语言技术栈的效率提升。

• 通信和服务治理的标准化

  • 微服务治理层面，Service Mesh 是标准化、体系化、无侵入的分布式治理平台。
  • 标准化方面，Sidecar 成为所有微服务流量通信的约束标准，同时 Service Mesh 的数据平台和控制平面也通过标准协议进行交互。
  • 体系化方面，从全局考虑，提供多维度立体的微服务可观测能力（Metric、Trace、Logging），并提供体系化的服务治理能力，如限流、熔断、安全、灰度等。
    通过标准化，带来一致的服务治理体验，减少多业务之间由于服务治理标准不一致带来的沟通和转换成本，提升全局服务治理的效率。

三、Service Mesh 的原理

Service Mesh 的核心是数据平面 Sidecar 与控制平面 Control Plane，如下图：

• 数据平面： Sidecar，与服务部署在一起的轻量级网络代理，用于实现服务框架的各项功能（如，服务发现、负载均衡、限流熔断等），让服务回归业务本质。

  数据平台可以认为是将 Spring Cloud、Dubbo 等相关的微服务框架中通信和服务治理能力独立出来的一个语言无关的进程，并且更注重通用性和扩展性。在 Service Mesh 中，不再将数据平面代理视为一个个独立的组件，而是将这些代理连接在一起形成一个全局的分布式网格。

  在传统的微服务架构中，各种服务框架的功能（如，服务发现、负载均衡、限流熔断等）代码逻辑或多或少的都需要耦合到服务实例的代码中，给服务实例增加了很多无关业务的代码，同时带来了一定的复杂度。

  有了 SideCar 之后，服务节点只做业务逻辑自身的功能，服务之间的调用只需交给 SideCar，由 SideCar 完成注册服务、服务发现、请求路由、熔断限流、日志统计等业务无关功能。

  在这种新的微服务架构中，所有的 SideCar 组成在一起，就形成了服务网格。那么这个大型的服务网格并不是完全自治的，它还需要一个统一的控制节点 Control Plane。

• 控制平面： 是用来从全局的角度上控制 SideCar，相当于 Service Mesh 架构的大脑，控制着 SideCar 来实现服务治理的各项功能。比如，它负责所有 SideCar 的注册，存储统一的路由表，帮助各个 SideCar 进行负载均衡和请求调度；它收集所有 SideCar 的监控信息和日志数据。

四、Service Mesh具体是怎么实现的？Istio是什么？

Istio是⼀个Service Mesh形态的⽤于服务治理的开放平台。（治理的是服务间的访问）

连接：Istio 通过集中配置的流量规则控制服务间的流量和调⽤，实现负载均衡、熔断、故障注⼊、重试、重定向等服务治理功能。

保护：Istio 提供透明的认证机制、通道加密、服务访问授权等安全能⼒，可增强服务访问的安全性。

控制：Istio 通过可动态插拔、可扩展的策略实现访问控制、速率限制、配额管理、服务计费等能⼒。

观测：动态获取服务运⾏数据和输出，提供强⼤的调⽤链、监控和调⽤⽇志收集输出的能⼒。配合可视化⼯具，可⽅便运维⼈员了解服务的运⾏状况，发现并解决问题。

Service Mesh 是一个专门处理服务通讯的基础设施层。它的职责是在由云原生应用组成服务的复杂拓扑结构下进行可靠的请求传送。

在实践中，它是一组和应用服务部署在一起的轻量级的网络代理，并且对应用服务透明。

主要有控制面和数据面组成，数据面截获不同服务之间的调用并对其进行“处理”；控制面协调代理的行为，并为运维人员提供 API，用来操控和测量整个网络。

istio架构和主要功能

istio1.5的架构图

Istio 1.5.1 性能总结

• Istio 负载测试网格包含了 1000 个服务和 2000 个 sidecar，全网格范围内，QPS 为 70,000。 在使用 Istio 1.5.1 运行测试后，我们得到了如下结果：
• 通过代理的 QPS 有 1000 时，Envoy 使用了 0.5 vCPU 和 50 MB 内存。
• 网格总的 QPS 为 1000 时，istio-telemetry 服务使用了 0.6 vCPU。
• Pilot 使用了 1 vCPU 和 1.5 GB 内存。
• 90% 的情况 Envoy 代理只增加了 6.3 ms 的延迟。

Istio与Kubernetes

Kubernetes 的本质是应用的生命周期管理，具体来说就是部署和管理（扩缩容、自动恢复、发布）。

Kubernetes 为微服务提供了可扩展、高弹性的部署和管理平台。

Service Mesh 的基础是透明代理，通过 sidecar proxy 拦截到微服务间流量后再通过控制平面配置管理微服务的行为。

Service Mesh 将流量管理从 Kubernetes 中解耦，Service Mesh 内部的流量无需 kube-proxy 组件的支持，通过为更接近微服务应用层的抽象，管理服务间的流量、安全性和可观察性。

xDS 定义了 Service Mesh 配置的协议标准。

Service Mesh 是对 Kubernetes 中的 service 更上层的抽象，它的下一步是 serverless。

Istio复⽤了Kubernetes Service的定义，在实现上进⾏了更细粒度的控制。

Istio的服务发现就是从 Kube-apiserver中获取 Service和Endpoint，然后将其转换成 Istio服务模型的 Service 和ServiceInstance，但是其数据⾯组件不再是 Kube-proxy，⽽是在每个Pod ⾥部署的 Sidecar，也可以将其看作每个服务实例的 Proxy。这样，Proxy 的粒度就更细了，和服务实例的联系也更紧密了，可以做更多更细粒度的服务治理

istio的实战案例

蚂蚁金服的实战案例

蚂蚁金服在2019年双十一的成功大规模落地为 Service Mesh

首先是自研的SOFAMosn替代了Envoy，支持了更多的协议SOFARPC/Dubbo/WebService。
优化SOFAMesh避免了大量不必要的花销。

蚂蚁金服在云原生落地方面的基本思路

参考资料

• istio介绍和资料整理_cobb1的博客-CSDN博客

• ServiceMesh究竟解决什么问题？-阿里云开发者社区 (aliyun.com)

• Java进阶专题(二十八) Service Mesh初体验 - 有梦想的老王 - 博客园 (cnblogs.com)