Service Mesh 落地之后: 为 sidecar 注入灵魂 周群力 Co-founder of Layotto  • Service Mesh 回顾 • Multi Runtime: 从 sidecar 到机甲 • Runtime API: API: 解决跨云部署和厂商绑定难题 • WebAssembly in sidecar: 让业务逻辑跑在sidecar里 • 展望2022：待解决的问题 • 总结 ## Service Mesh 回顾 ## 由开发了 Linkerd 的Buoyant 公司提出 Service Mesh's Control Plane  服务路由 负载均衡 熔断限流 应用 业务逻辑 SDK 通信序列化协议 sidecar 服务路由 负载均衡 熔断限流 ## 进程通信 • 升级成本高 业务解耦 • SDK 版本不统一 • 平滑升级 异构语言治理能力弱 异构语言治理 ![Image](/uplo

# Redis TLS Origination ## through the sidecar Author: Sam Stoelinga | Twitter: samosx | GitHub: samos123 Based on blog post: https://samos-it.com/posts/securing-redis-istio-tls-origination-termination b7de26979d7d39120/p2_2.jpg) ## I stio TLS Origination - app talks unencrypted TCP to Redis - Sidecar istio-proxy encrypts the Redis traffic and sends to external redis - App doesn’t need to configure f/1/7/4/f17418912988675b7de26979d7d39120/p5_3.jpg) ## How to do Redis TLS origination with the sidecar? 1. Create ServiceEntry for external service such that Istio knows about Redis 2. Create DestinationRule

在打开的页面中可以看到Istio默认安装的命名空间、发布名称；通过勾选来确认是否安装相应的模块，注意勾选下Kiali； 点击 部署Istio 按钮，几十秒钟之后即可完成部署。 ## 自动 Sidecar 注入 查看namespace: 概览 ▼ 集群 集群 节点 存储卷 命名空间 ![Image](/uploads/documents/d/7/9/d/d79d43d2460b4b

## Chaos Mesh 在网易伏羲私有云自动化故障注入实践 Speaker Name: 张慧 网易伏羲 Speaker Title: 网易伏羲私有云质量保障负责人、Chaos Mesh 布道师、云原生社区 Stability SIG 发起人 Email: zhangui05@corp.netease.com ## 1 ## 网易伏羲私有云简介 ![Image](/uploads/d 员，我们并不想去了解整个实现，有时候出现一些边边角角的问题解决起来并不容易。所以，长久的技术支持至关重要。 足够多的注入类型 单纯的 Kill pod 还不够，需要能模拟网络，IO 等，特别对于有状态的服务来说，网络显得尤为重要。 可视化，一目了然，对于应用来说，什么时候注入了故障，什么时候能够恢复，这个对于我们看metrics判断是否有异常是相当重要的。 ## 1 ## Chaos Mesh在网易伏羲的实践

## Stabilizing Istio Istio sidecar proxy specifications • Kubernetes shortcomings with sidecar containers Controlling containers lifecycle ☐ Autoscaling pods with sidecar containers • Are you prepared ## Stabilizing Istio ## I stio sidecar proxy specifications Pod App container All incoming traffic must flow through the sidecar first when entering the pod Sidecar container All outgoing traffic traffic must flow through the sidecar before leaving the pod ## Stabilizing Istio ## What happens when the sidecar container is not ready? Pod App container ![Image](/uploads/documents/8/5/e/0/85e00364ff

Proxy sidecar  Service ## Control Plane Raw metrics Certs, ACLs... HTTP/1 HTTP/2 gRPC Pod Proxy sidecar  #### Sidecar envoy proxy readiness probe failing - Istio 1.6.7 #26792 Siddharthk opened this issue on 25 Aug

8.11 ## 分享内容 ●基于 Secret Discovery Service Sidecar 的证书管理方案 ● 使用可信身份服务构建敏感数据下发通道 ●Service Mesh Sidecar 的 TLS 生产级落地实践 ## 基于 Secret Discovery Service Sidecar 的证书管理方案 ## Kubernetes Secret 证书管理流程 在 Kubernetes Secret 更新时，Sidecar 需要通过热重启方式重新加载，成本高昂 ## 基于 Secret Discovery Service Sidecar 的证书管理方案 ## Envoy SDS 证书管理流程 Secret Discovery Service 是 Envoy 提出的 Sidecar 证书管理方案，方案的核心流程在于引入 SDS Server 进行密钥管理和分发，Sidecar 通过 gRPC 请求获取证书，并利用 gRPC stream 能力实现证书动态轮转。当然，Sidecar 和 SDS Server 的通信也需要保证自身的通信安全，存在以下两种方案： ● Sidecar 与 SDS Server 采用 mTLS 通信，采用静态证书方案，通过 Secret Mount 方式获取通信证书 ● Sidecar 与 SDS Server 采用 UDS 方式实现纯内存通信，不需要使用证书。

Data-Plane Hot-Upgrade 阿里云服务网格团队－史泽寰 ## 目录 Catalog ## - 为什么需要服务网格数据面热升级 - 实现热升级 - 实践热升级 ## 传统Sidecar升级方式的缺点 • 造成请求失败，影响业务质量 • 重启Pod导致业务容器也被重启，需要执行重新初始化 • 不增加workload数量升级，则服务容量受损 - 增加workload保持服 人满意的平衡 ## 为什么需要服务网格数据面热升级 Why do we need Hot-Upgrade for ServiceMesh Data-Plane ## 理想的Sidecar升级 - 只替换/重启Sidecar - 替换/重启过程中进/出不会出现请求失败，连接失败 • 易于运维，可以控制升级策略 ## 目录 Catalog - 为什么需要服务网格数据面热升级 - 实现热升级 Implement Hot-Upgrade ## • Sidecar生命周期管理能力 启动两个Sidecar，以进行Envoy热重启的排水流程两个实例并存的阶段 • 能够对整个热升级流程中的镜像替换进行控制 ## 实现热升级 Implement Hot-Upgrade ## • Sidecar生命周期管理能力 启动两个Sidecar，以进行Envoy热重启的排水流程两个实例并存的阶段 •

ProtocolConverter interface { Multiplexing Convert(data []byte) (map[string]string, []byte) } 解包是对 SIDECAR 代理性能影响最大的因素 多路复用是基本能力，其他能力需要在多路复用能力上构建 协议装换能力允许使用 HTTP2 作为 SOFA-MOSN 之间的通讯协议 ## 基于能力分层的插件化扩展框架