## 全栈服务网格 - Aeraki 助你在 Istio 服务网格中管理任何七层流量 赵化冰@腾讯云 ## Huabing Zhao ## Software Engineer @ Tencent Cloud @zhaohuabing @zhaohuabing @zhaohuabing @zhaohuabing https://zhaohuabing.com  ## Agenda ☐ Service Mesh 中的七层流量管理能力 ☐ 几种扩展 Istio 流量管理能力的方法 ☐ Aeraki - 在 Isito 服务网格中管理所有七层流量 ☐ Demo - Dubbo Traffic Management ☐ MetaProtocol - Service Mesh 通用七层协议框架 ## Protocols in a Typical Microservice 0f547185ff9278516/p4_1.jpg) ## What Do We Expect From a Service Mesh? 为了将基础设施的运维管理从应用代码中剥离，我们需要七层的流量管理能力： • Routing based on layer-7 header ☐ Load balancing at requet level ☐ HTTP host/header/url/method

## SolarMesh 基于Istio构建的流量监管平台 ## 目录 1. 为什么我们需要服务网格 2. SolarMesh的定位 3. SolarMesh的特点 4. SolarMesh对Istio社区的产品化改进 5. SolarMesh的架构 6. SolarMesh组件介绍 7. 应用场景 ## 为什么我们需要服务网格 - 微服务化带来的问题 ## 服务间通信的复杂性： jpg) ## 流量管理 部署服务间路由，故障恢复和负载平衡等功能。 ## 可观测性 提供流量和服务性能的端到端视图。 ## 安全 跨服务进行加密，基于角色的访问和身份验证。 服务网格是一个云原生的网络基础设施，它把微服务调度中有关网络的公共能力下沉，在无任何代码侵入的情况下提供可观察性、流量管理和安全性等能力。 ## SolarMesh的定位 - 基于Istio构建的流量监管平台 I Istio是目前服务网格领域最流行的开源项目，38%的企业在生产中使用服务网格，其中有接近一半的选择是Istio SolarMesh 基于 Istio 及容器技术，提供流量监控和管理，提供完善的非侵入式服务治理解决方案。 帮助企业在纷繁复杂的微服务调度中快速定位问题，增强研发效率。 让服务网格不再难学难用，让服务网格在企业落地更加平滑、安全、稳定。 Is your organization using

## 腾讯云 ## I stio 流量管理原理与协议扩展 赵化冰 The provided image is a graphic design and does not contain any chart, graph, or data points that can be extracted and converted into a markdown table. ## 腾讯云 赵化冰 com ## Service Mesh ## 处理服务间通信（主要是七层通信）的云原生基础设施层： Service Mesh 将各个服务中原来使用 SDK 实现的七层通信相关功能抽象出来，使用一个专用层次来实现，Service Mesh 对应用透明，因此应用可以无需关注分布式架构带来的通信相关问题，而专注于其业务价值。 流量控制：服务发现、请求路由、负载均衡、灰度发布、错误重试、断路器、故障注入 1a0fd862792c70b5eca8d6ae/p3_1.jpg) ## I stio 流量管理 – 概览 控制面下发流量规则：Pilot • 数据面标准协议：xDS • 集群内Pod流量出入：Sidecar Proxy • 集群外部流量入口：Ingress Gateway • 集群外部流量出口：Egress Gateway（可选,在一个集中点对外部访问进行控制） ![Image]

## APACHE APISIX的全流量API网关 温铭, 来自一家在远程工作方式下商业化开源项目的创业公司(支流科技), 担任CEO&联合创始人, Apache 顶级项目APISIX的PMC主席, Skywalking开源项目的贡献者(commiter)。在创业之前, 在360做企业安全, 360开源委员会的发起人, 腾讯的TVP, TARS基金会的TOC成员, 在安全领域有四十多个专利 安全和稳定第一：基于 Nginx 实现；mTLS 认证；敏感信息加密加盐(salt)保存 ·高性能：单核心 QPS 1.5 万，延迟低于 0.7 毫秒 ·运维友好：Prometheus，SkyWalking，流量复制，故障注入等 ## 技术架构  6d55c4e684/p7_1.jpg) ## Apache APISIX 能做什么？ ·处理 L4、L7 层流量：HTTP、HTTPS、TCP、UDP、MQTT、Dubbo、gRPC... · 替代 Nginx 处理南北向流量 · 替代 Envoy 处理服务间东西向流量 • k8s ingress controller · 借助 MQTT 插件作为 IoT 网关 · 借助 IdP

## Apache APISIX借助ServiceMesh 实现统一技术栈的全流量管理 金卫（API7 解决方案架构师） ## 金卫 中国大陆  扫一扫上面的二维码图案，加我为朋友。 • 支流科技－解决方案架构师 • Apache APISIX 企业介绍  ## 为全球企业管理并可视化业务流量，驱动数字化转型 深圳支流科技有限公司 2019年4月成立的基础软件开源商业公司，是捐赠给 Apache 基金会项目的中国公司中唯一的初创公司 提供Apache APISIX原厂支持和商业产品 故障，提供商业支持SLA和商业化版本API7产品 提供更多云原生解决方案 提供 API 网关、Kubernetes Ingress Controller、Service Mesh 等微服务和实时流量处理的产品和解决方案 吸引更多开发者 一起做出世界级的开源项目 我们一直在积极投入开源项目的开发，社区的运营，以及和使用者的沟通。 开源项目和社区，是开源商业公司的根基，吸引更多开发者，一起做出世界级的开源项目是支流科技的使命

[Image](/uploads/documents/2/0/0/b/200b4c32f84e0faee885b686d91cf13f/p1_1.jpg) 章淼 百度智能云 架构师 ## 什么是BFE? • 百度统一的七层流量转发平台 • HTTP, HTTPS, HTTP/2, QUIC • 2012年开始建设 • 每日转发请求约1万亿，日峰值超过1KW QPS • 2019年，核心转发引擎对外开源 • BFE BFE的设计思想 02 BFE的实现机制 03 ## 为什么需要BFE？ • 没有统一七层接入的问题 • 功能重复开发 • 运维成本高 • 流量统一控制能力低 • 引入BFE后 • 功能统一开发 • 运维统一管理 • 流量控制能力增强 • BFE平台的主要功能 • 接入和转发，流量调度，安全防攻击，数据分析 ## BFE部署前 ![Image](/uploads/doc |方案|对流量的控制力|资源消耗|对客户端的要求|适用场景| |---|---|---|---|---| |基于负载均衡器|强。可以达到单个连接／请求的粒度。|高。负载均衡器引入了额外的资源消耗。|低。客户端基本不需要实现策略。|总体流量规模不大（从负载均衡器资源消耗的角度）；应用场景对流量控制要求高。| |基于名字服务+客户端策略|弱。客户端直接访问服务，没有可靠的卡控点，无法实现精细的流量控制测量

Istio  服务发现 负载均衡 流量控制   Network Access Layer ## 网络视角： Service Mesh是一个主要针对七层的网络解决方案，解决的是服务间的连通问题 ## Service Mesh是下一代的SDN吗？ ## 通信网络和微服务系统面临类似的问题： ## 通信网络 ● 互不兼容的专有设备 ● 基于IP的通信缺乏质量保证 面向业务和运维 具有较高的抽象层次，比较容易提取统一的控制面标准？ • 主要面向layer 7及以上？ • SMI能否统一控制面标准？如何避免成为最小公分母，扩展支持其它协议？ ## 南向接口 • 面向流量和路由配置 • xDS v2将统一数据面标准？ • xDS接口包含有较多实现相关内容：Listener, Filter, 能否可以成为一个通用的接口协议？是否会出现Envoy之外的大量数据面实现？

Netscaler ## 自研四层网络代理  ## 蚂蚁七层网络代理  ## Bad Gate 1cab1358696c62f61cd1e18230be/p9_3.jpg) ## 蚂蚁七层网络接入代理 ## Spanner  ## 蚂蚁七层网络接入代理 ![Image](/uploads/documents/b/6/9/0/b 2010 • 全面实践全网https 2012 • 首次全流量支撑双十一大促 • 支持蚂蚁LDC架构，三地五中心容灾架构 2013 - 全面上线SSL加速卡，提供软硬件一体加速方案 2015 • All in 无线，通信通道全面升级（MMTP，MTLS协议） 2016 • 安全防护能力提升，WAF，流量镜像 - 通信协议，架构，安全再次升级（物联终端接入，QU

透过 IP 分享器，我们的五部计算机就都能够上网了。此时你得要注意，能否上网与 Internet 有关，Internet 就是那有名的 TCP/IP 通讯协议，而想要了解网络就得要知道啥是 OSI 七层协定。我们也知道能连上 Internet 与所谓的 IP 有关，那么我们内部这五部计算机所取得的 IP 能不能拿来架站？也就是说，IP 有没有不同种类？如果 IP 分享器突然挂了，那你的这五部计算机 来达成某项因特网的通讯协议，以提供相对应的服务而已。所以啰，你当然得要知道这个最基础的网络概念，否则，当服务器的服务出现问题时，你该如何解决啊？您说对吧！这部份最重要的是 TCP/IP 与 OSI 七层协议的相关概念了，这部份难的很～难的很～在这一章中，鸟哥以较为口语的方式来介绍这些基础网络架构，希望能带给朋友们快速了解网络是啥。当然，想要更了解网络相关功能的话，文末的参考资料可以参考看看喔！^_^ 象了。因此，目前你可以使用『速度』作为一个网络区域范围的评量。或许现在我们可以说，整个台湾的学术网络（TANET，注7）可以视为是一个局域网络呢！ #### 2.1.4 计算机网络协议： OSI 七层协定 谈完了网络需要制订的标准、网络联机的组件以及网络的范围之后，接下来就是要讲到，那么各个节点之间是如何沟通讯息的呢？其实就是透过标准的通讯协议啦！但是，整个网络连接的过程相当复杂，包括硬件、软

产品。先后就职于亿阳信通、北电、甲骨文、polycom、阿里巴巴等公司；目前在华为云云原生团队负责网格数据面的架构设计及开发工作。 ## 目录 1. Envoy启动及配置文件 2. Envoy流量拦截原理、常用部署方式 3. Envoy可扩展过滤器架构、可观测性 4. Envoy线程模型 5. 生产环境问题分析及解决方法 6. 针对Envoy做的一些优化及效果 7. 常用性能分析测试工具及使用方法 Envoy采用C++实现，本身为四层及七层代理，可以根据用户应用请求内的数据进行高级服务治理能力，包括服务发现、路由、高级负载均衡、动态配置、链路安全及证书更新、目标健康检查、完整的可观测性等。 - 目前常见数据面主要有三种：Envoy、Linkerd、Traefic。Envoy由于高性能和扩展能力前在数据面遥遥领先。 - Iptables使Pod间出入应用的流量均由Envoy代理，对应用来说完全 • Iptables识别为入流量则进入virtualInbound端口。 - ORIGINAL_DST恢复原始目标后，根据virtualInbound配置的监听过滤器找到对应的本地服务器地址。并发起localhost的请求。 • 请求进入本地服务器内进行处理并返回响应。 ## Envoy原理及总体架构-流量拦截 ## Envoy在每个POD网络空间内设置用于拦截流量的iptables规则 !