104:12220”] SOFA Registry CoreDNS RPC Controller Kube API server Discovery services renew RPC services Watch services renew RPC DNS b.svc -> 10.0.3.100 1. 在客户端代码中， 请求发送给”b.svc” 2.DNS解析”b.svc”到 org/html/rfc2136 https://cloud.google.com/sdk/gcloud/refere e/dns/record-sets/transaction https://docs.aws.amazon.com/zh_cn/R oute53/latest/APIReference/API_Chang eResourceRecordSets.htmlCoreDNS 的记录更新CoreDNS

虚拟机和容器相互访问 Linkerd 1.* 天然支持 Envoy 天然支持 Istio 开始准备支持，后 来实质性取消，基 本只有k8s好用 Linkerd 2.0 只支持k8s AWS app mesh 支持虚拟机，而且 可以虚拟机和容器 相互访问 ServiceMesh主流产品对虚拟机的支持情况Part 3：ServiceMesh灵魂拷问三：要不要支持虚拟机？ Linkerd 3：ServiceMesh灵魂拷问三：要不要支持虚拟机？ Linkerd 1.* Envoy AWS App Mesh Google Traffic Director Istio Linkerd 2.* 支持 支持 不支持 第二个转折做何解？ App Mesh：我原以为只有我这长相的会背叛革 命，想不到你这浓眉大眼的家伙也背叛革命了。 AWS App Mesh Google Traffic DirectorPart Google在ServiceMesh标准化上表现异常：而标准化是供应商不锁定的基石 Part 4：ServiceMesh灵魂拷问四：说好的供应商不锁定呢？ AWS：我原以为只有我这长相的会背叛革命， 想不到你这浓眉大眼的家伙也背叛革命了。 AWS Google SMI出来之前： • Istio迟迟未贡献给CNCF • Istio API 是私有API，未见有标准化动作 • Envoy xDS

X-Dragon • 全称：弹性裸金属服务器（神龙） • 阿里造“神龙”神龙 X-Dragon • 优势： • 性能 • 弹性 • 支持再虚拟化 2017/10 阿里云神龙正式商用 (AWS Nitro 2017/11)技术选型 • 全面上云为什么要用神龙？ • 高性能：去掉了虚拟化带来的 8% 的性能损耗 • 支持二次虚拟化：使多样虚拟化技术 (Kata, Firecracker

Providers 用来自动发现平台上的服务 • Entrypoints 监听传入的流量（端口等… ） • Routers 分析请求（host, path, headers, SSL, …） • Services 将请求转发给你的应用（load balancing, …） • Middlewares 中间件，用来修改请求或 者根据请求来做出一些判断（ authentication, rate limiting • 基于标签、key-value、注解、文 件 • Docker、Kubernetes、Marathon 、Rancher、FileEntryPointsRouters匹配器Services • Services 负责配置最终处理传入请求 的实际服务。 • 负载均衡（针对应用实例）：轮询（ 目前支持）、session 亲和性 • 带权重的轮询：仅可用于在 Service 之间，并且目前只支持 核心概念 3 Traefik With Docker 4 Traefik With KubernetesDocker 简单示例Traefik With Docker version: '3' services: reverse-proxy: image: traefik:v2.0 # 开启 web UI 并且告诉 Traefik 注册 Docker Provider command: --api

communication. It’s responsible for the reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application. In practice, the service mesh is typically -mesh-without-envoy/ Control Plane Security Policy： • Enable mTLS between services and the DB • Only authorized services can access the DBApp Example: User Subscription and SLA Management HW Adapter An example application: Combination of “fine Grained” and “Coarse Grained“ Services How to map multiple logic services inside one process to Istio service?产品化增强-兼容粗粒度的SOA类应用 Process Service-A

Mesh A infrastructure to decouple the application network from your service code Exposes your services as managed APIs 概念 流量 东西流量（内部） 通信协议 路由 鉴权 流控 安全 协议转换 通用协议（HTTP、gRPC 等） 私有协议（WS、Dubbo、Bolt Sidecar App POD Traffic Control Plane Cluster API Gateway Mesh An infrastructure to expose your services as a managed APIs in the form of a decoupled sidecar proxy7/21 蚂蚁金服 API Gateway Mesh 实践 /028/21

Share Data 具有独立的数据存储 Data isolation 依赖很多中间件 Middleware component 独立自治的轻量级服务 small autonomous services 微服务和SOA之间各项对比目前常见的微服务架构设计是什么样微服务架构的实现：目前主流的是Spring Cloud框架目前微服务存在的问题 Ø 业务关注太多技术 Ø 基础框架升级困难 Ø communication. It’s responsible for the reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application. In practice, the service mesh is typically

DNS 之上构建更结构化的域名体系 • 支持跨集群的服务寻址 • 支持单应用多服务的部署模型 bolt://com.yourcompany.youservice:12220POD 落地形态 Services, PODS & DNS CORE DNS com.svc.user -> 172.168.1.2 com.svc.role -> 172.168.1.2 com.svc.zoo -> 172

• Gitlab • external_url • Outbound requests(Allow requests to the local network from hooks and services.) • Drone • Drone 0.8 在 kubernetes 上支持的不好（RPC error）； • .drone.yml not .drone.yaml • Failed to

tio可以对接的服务注册中心类型包括： 1."Mock" MockRegistry is a service registry that contains 2 hard-coded test services. 2. "Config" ConfigRegistry is a service registry that listens for service entries in a backing