Service Mesh是下一代SDN吗？ 从通信的角度看Service Mesh的发展 赵化冰 中兴通讯 软件专家/Istio Committer 2019.10.26 Service Mesh Meetup #7 成都站什么是Service Mesh？- by Willian Morgan(Buoyant) A service mesh is a dedicated infrastructure 服务网格是一个基础设施层，用于处理服务间通信。云原生应用有着 复杂的服务拓 扑，服务网格负责在这些拓扑中实现请求的可靠传递。 在实践中，服务网格通常实 现为一组轻量级网络代理，它们与应用程 序一起部署，但对应用程序透明。什么是Service Mesh？- by Istio 服务发现 负载均衡 流量控制 ... 黑白名单 限流 ... 身份认证 通信加密 权限控制 ... 调用追踪 指标收集 Mesh是一个主要针对七层的网络解决方案，解决的是服务间的连通问题Service Mesh是下一代的SDN吗？ 通信网络 l 互不兼容的专有设备 l 基于IP的通信缺乏质量保证 l 低效的业务部署和配置 ... 微服务系统 l 互不兼容的代码库 l 不可靠的远程方法调用 l 低效的服务运维 ... 通信网络和微服务系统面临类似的问题：Service Mesh是下一代的SDN吗？ Network Layer

TiDB 用户文档 TiDB 数据库管理 TiDB 服务 TiDB 进程启动参数 TiDB 系统数据库 TiDB 系统变量 TiDB 专用系统变量和语法 TiDB 访问权限管理 TiDB 用户账户管理 使用加密连接 SQL 优化 理解 TiDB 执行计划 统计信息 语言结构 字面值 数据库、表、索引、列和别名 关键字和保留字 用户变量 表达式语法 注释语法 字符集和时区 字符集支持 字符集配置 时区 数据类型 函数和操作符概述 表达式求值的类型转换 操作符 控制流程函数 - 2 - 本文档使用 书栈(BookStack.CN) 构建 字符串函数 数值函数与操作符 日期和时间函数 位函数和操作符 Cast 函数和操作符 加密和压缩函数 信息函数 JSON 函数 GROUP BY 聚合函数 其他函数 精度数学 SQL 语句语法 数据定义语句 (DDL) 数据操作语句 (DML) 事务语句 数据库管理语句 Prepared 服务 TiDB 进程启动参数 TiDB 数据目录 TiDB 系统数据库 TiDB 系统变量 TiDB 专用系统变量和语法 TiDB 服务器日志文件 TiDB 访问权限管理 TiDB 用户账户管理 使用加密连接 SQL 优化 理解 TiDB 执行计划 统计信息 语言结构 字面值 数据库、表、索引、列和别名 关键字和保留字 用户变量 表达式语法 注释语法 字符集和时区 字符集支持 字符集配置 时区 数据类型

Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 如UEFI、loader、OS、应用等，可以确保在被入侵 修改时的阻断行为，另外可以将可信启动链的 Hash值上传云端管理，可以做到中心管控验证的 目的。 加密技术 数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但 是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运 行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和 代码，完成了安全闭环。 依赖于硬件和更高阶密码学，可以彻底阻断物理 成本较高，所以要视业务场景要求取舍。 Mesh零信任 mTLS服务间访问授权，主要针对Pod层WorkLod的访问控制 应用透明，全局管理视角，细粒度安全策略 Check&Report机制影响通信性能，并只涉及到服务 通信级别的安全，对node没有防护 Calico零信任 主要针对Node层的访问控制，可以让攻击者难以横向移动，隔离了风险 应用透明，全局管理视角，细粒度安全策略，针 对Node层面构建安全

2013 • 支持蚂蚁LDC架构，三地五中心容灾架构 • 全面上线SSL加速卡，提供软硬件一体加速方案 2015 • All in 无线，通信通道全面升级（MMTP，MTLS协议） 2016 • 安全防护能力提升，WAF，流量镜像 2018至 今 • 通信协议，架构，安全再次升级（物联终端接入，QUIC协议，国密，可信计算， 海外加速，云原生）金融级三地五中心容灾架构（LDC） 单机房 § 终端策略覆盖移动网络难点 § 优化对业务透明 § ROI考虑 好网更快 弱网更好 协议优化 支付宝网络接入层架构示意 § 关键词：动态Hpack + PB + 动态字典 + Zstd通信协议&架构持续升级 多终端&协议接入 架构升级 云原生生态融合 § MQTT协议的IOT设备接入 § 就近就优海外接入，智能调度 § 蚂蚁全球加速节点，全协议支持 § 支持UDPA § QUIC/HTTP3 TLS，国密 服务鉴权 流量控制 TLS，国密 服务鉴权 流量控制蚂蚁金服率先大规模落地SOFAMesh UDPA 安全 统一数据 平面API 存量连接无损迁移 提升5倍发布效率 TLS双向加密 支持国密算法 WAF 流量镜像 多协议 SOFARPC Dubbo HTTP1.1/2 平滑升级 性能 单跳CPU增加5%消耗 0.2ms RT 蚂蚁金服100+应用，10w+容器已经mesh化，部分业务链路通过下沉，

14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . . . 494 15 加密服务 497 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796 iii 19 网络和进程间通信 797 19.1 asyncio --- 异步 I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含义 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了

464 14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . 466 15 加密服务 469 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752 19 网络和进程间通信 753 19.1 asyncio --- 异步 I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含义 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了

14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . . . 532 15 加密服务 535 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 dummy_threading --- 可直接替代 threading 模块。 . . . . . . . . . . . . . . . . . . . . . . 847 18 网络和进程间通信 849 18.1 asyncio --- 异步 I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含意 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了

493 14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . 496 15 加密服务 499 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 17.12 dummy_threading --- 可直接替代 threading 模块。 . . . . . . . . . . . . . . . . . . . . 790 18 网络和进程间通信 791 18.1 asyncio --- 异步 I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含意 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了

493 14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . 496 15 加密服务 499 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 17.12 dummy_threading --- 可直接替代 threading 模块。 . . . . . . . . . . . . . . . . . . . . 790 18 网络和进程间通信 791 18.1 asyncio --- 异步 I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含意 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567 vii 15 加密服务 569 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . --- 底层多线程 API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893 18 网络和进程间通信 897 18.1 asyncio --- 异步 I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Python 解释器的平台和编译器来打包和解 包数据。打包一个给定 C 结构体的结果包括为所涉及的 C 类型保持正确对齐的填充字节；类似地，当解包 时也会将对齐纳入考虑。相反地，当在外部源之间进行数据通信时，将由程序员负责定义字节顺序和元素之 间的填充。请参阅字节顺序，大小和对齐方式 了解详情。 某些struct 的函数（以及Struct 的方法）接受一个 buffer 参数。这将指向实现了 bufferobjects