5月底，我在Cloud Native Meetup上做了一个“ServiceMesh 发展趋势：云原生中流砥柱”的演讲，当时主要讲了三块内容： - Service Mesh产品动态 - Service Mesh发展趋势 - Service Mesh与云原生 今天的内容可以视为是上次演讲部分内容的深度展开，如社区 关心的Mixer v2，以及我个人看到的一些业界新的技术方向， 如web assembly技术，还有产品形态上的创新，如google 2：ServiceMesh灵魂拷问二：性能有了，架构怎么办？ • 避免修改Envoy • 避免网络远程调用（check & report） • 通过动态装载（重载）来避免重启envoy • 隔离性 • 实时A/B测试 （内容来自”Extending Envoy with WebAssembly”）Envoy支持Web Assembly的架构 Part 2：ServiceMesh灵魂拷问二：性能有了，架构怎么办？ （图片来自”Extending （图片来自”Extending Envoy with WebAssembly”）Envoy支持的Web Assembly VM Part 2：ServiceMesh灵魂拷问二：性能有了，架构怎么办？ （内容来自”Extending Envoy with WebAssembly”） ● WAVM (https://github.com/WAVM/WAVM) ● V8(https://v8.dev/) ●

开发灵活、简便 • 社区生态强大、活跃度高 Spring Cloud 的优缺点 缺点 • 仅适用于 JAVA 应用、Spring Boot 框架 • 侵入性强 • 升级成本高、版本碎片化严重 • 内容多、门槛高 • 治理功能仍然不全5/总页数 优点 • 微服务治理与业务逻辑解耦 • 异构系统的统一治理 • 三大技术优势： • 可观察性 • 流量控制 • 安全 Service Mesh 的优缺点 Mesh 概述 • Consul作为注册中心在云环境的实践与应用 • 有了这三个锦囊，再也不用担心微服务治理了 • 一文理解微服务高可用的常用手段 • 微服务断路器模式实现：Istio vs Hystrix 参考 & 扩展阅读感谢聆听 欢迎关注，获取最新分布式架构内容 关注服务网格，关注 ServiceMesher

Ø 南向接口 • 面向流量和路由配置 • xDS v2将统一数据面标准？ • xDS接口包含有较多实现相关内容：Listener, Filter, 能否可以成为一个通用的接口协议？ 是否会出现Envoy之外的大量数据面实现？ • 建议：对xDS接口进行改进，去掉实现相关内容 Ø Service Mesh的发展 • 控制面对数据面软硬件的统一控制能力？ • 通过控制面API接入各种丰富的应用场景 是否需要将TCP Service纳入Service Mesh管控？ l 收益 Ø TCP Service可以享受流量管理，可见性，策略控制等Istio承诺的益处 l 成本 Ø Istio不理解TCP上的应用层协议，其对TCP Service的缺省处理会影响应用层逻 辑 -例子：Envoy的LB算法不能处理应用后端集群的Sharding Ø Istio中和HTTP Service 端口冲突会的TCP

如何让开源产品接受我们的改动？ 如何让社区和客户认可我们的产品？开源方案选择之第一代Service Mesh Linkerd • 无控制平面 • Scala编写，基于JVM资源消耗大 • 可扩展性有限，dtab不易理解和使用 • 功能不能满足蚂蚁的需求，没法做到 类似envoy xds那样的扩展性 • 未来发展前景黯淡 Envoy • 安心做数据平面， 提供XDS API • 设计优秀，性能和稳定性表现良好 ü 开源的时机 • 产品完成甚至使用多年之后 ü 开源的内容 • 陈旧的技术，过时的架构 • 放弃不再使用的产品 • 新产品，但是自己不用 ü 开源的动机 • 秀肌肉，博名声 • 沦为KPI工程，面子工程 ü 开源项目的维护 • 被抛弃，或者发展停滞无人维护 ü 开源的时机 • 直接开源，摆明态度 ü 开源的内容 • 业界最新的技术 • 业界最好的架构（努力中J） •

kubernetes-examples什么是 ServiceMesh • 服务网格（Service Mesh）这个术语通常用于描述构成这些应用程序 的微服务网络以及应用之间的交互。随着规模和复杂性的增长，服 务网格越来越难以理解和管理。 • 它的需求包括服务发现、负载均衡、故障恢复、指标收集和监控以 及通常更加复杂的运维需求，例如 A/B 测试、金丝雀发布、限流、 访问控制和端到端认证等。什么是 Istio • Istio

Service Mesh (Istio模式) 2 2 2 部署在K8s上 Service Mesh (Istio模式) 部署在 非k8s上 不是Service Mesh形态ü 可以理解为路线1的折衷版本 • 路线1的前提是要先大规模铺开k8s，这是一个很高的门槛 • 路线2能快速拿到短期红利，但是偏离长期目标 • 路线4的折衷方式 - 在k8s还没有铺开前，先吃下非k8s

Secret Discovery Service Sidecar 的证书管理方案 使用可信身份服务构建敏感数据下发通道 Service Mesh Sidecar 的 TLS 生产级落地实践 分享内容基于 Secret Discovery Service Sidecar 的证书管理方案 Kubernetes Secret 证书管理流程 在 Kubernetes 场景下，证书是通过 secret JWT- SVID 验证接口。  安全Sidecar通过密钥对 JWT-SVID 进行验签。  从 JWT-SVID 的 Body 部分中获取 SPIFFE ID。  将 SPIFFE ID 内容解释为几个关键属性 (例如租户 ID、应用名等)，并返回给应用 B。  应用 B 根据安全Sidecar返回的可信属性，进行权限校验逻辑。使用可信身份服务构建敏感数据下发通道使用可信身份服务构建敏感数据下发通道

命名规则 Version|App|Namespace|Cluster v1|projuctpage|bookinfo|product-demo 27/28感谢聆听 欢迎关注，获取最新分布式架构内容 关注服务网格，关注 ServiceMesher

Api Gateway 等多种代理 形态 多场景10/10 开源所幸，云之爆发 我们认为，未来会更多地属于那些告别大教堂、拥抱集市的人们。《大教堂与集市》感谢聆听 欢迎关注，获取最新分布式架构内容 关注服务网格，关注 ServiceMesher

MQ Client20/21 分享主题：字号 分享嘉宾 开源？ Gateway Core 融合\贡献 Istio 更多尝试 More Mesh感谢聆听 欢迎关注，获取最新分布式架构内容 关注服务网格，关注 ServiceMesher