服务网格核心由数据平面(Envoy Sidecar)和控制平面(Pilot、Citadel、Galley等)组成;流量策略通过VirtualService、DestinationRule等CRD定义;可观测性依赖Envoy指标与Kiali联动;安全需渐进式启用mTLS并精细化配置。
服务网格(Service Mesh)是云原生架构中实现微服务间通信、可观测性与安全治理的关键基础设施。它将网络通信逻辑从应用代码中剥离,以轻量代理(如Envoy) Sidecar 形式注入每个服务实例,由控制平面统一调度策略。
服务网格的核心组件怎么搭
典型服务网格(如Istio)分数据平面和控制平面:
- 数据平面:由一组与业务容器同Pod部署的Envoy代理组成,负责拦截进出流量、执行路由、熔断、重试等策略;
- 控制平面:包括Pilot(服务发现与配置分发)、Citadel(证书签发与mTLS管理)、Galley(配置校验)等模块,Kubernetes上常以CRD+Operator方式部署。
在Linux云环境中,推荐用Helm或istioctl命令行工具安装Istio,避免手动部署组件。安装后需启用自动Sidecar注入(label namespace with istio-injection=enabled),让新创建的Pod自动携带Envoy容器。
流量治理策略怎么写才有效
服务网格的价值集中体现在可编程的流量控制能力上。关键策略通过Kubernetes CRD定义:
- VirtualService:定义路由规则,比如按HTTP头、路径、权重分流到不同版本服务(如v1/v2灰度发布);
- DestinationRule:设置目标服务的连接池、熔断阈值、TLS模式(如强制mTLS);
- Gateway:暴露入口流量,替代传统Ingress,支持更细粒度的L7策略;
- PeerAuthentication 和 RequestAuthentication:分别管控服务间双向认证与终端用户JWT鉴权。
注意:策略生效依赖于服务注册一致性,确保所有服务在Kubernetes中正确声明Service与Endpoint,且Pod就绪探针(readinessProbe)配置合理,否则Envoy可能将未就绪实例纳入负载均衡。
可观测性怎么跟服务网格联动
Envoy默认上报指标(Prometheus格式)、访问日志与分布式追踪(Zipkin/Jaeger格式)。要真正用起来,需三步打通:
- 开启Istio遥测组件(如istiod内置的Telemetry v2,或独立部署Prometheus+Grafana+Jaeger);
- 为服务添加app和version标签,让指标带业务维度;
- 在Kiali控制台中查看服务拓扑、延迟热力图、错误率趋势——它直接解析Istio CRD与Envoy指标,无需修改应用代码。
常见误区是只看全局QPS,忽略单个服务实例的连接数激增或上游超时率突升,这些细节在Kiali的服务详情页里点开“Metrics”就能定位。
安全策略怎么落地不踩坑
服务网格让零信任网络在Linux容器环境变得可实施,但配置不当反而引发通信中断:
- mTLS默认仅对网格内服务启用,外部调用(如浏览器访问Ingress Gateway)仍走明文,需单独配置Gateway TLS终止;
- PeerAuthentication设为STRICT模式前,先用PERMISSIVE模式观察流量是否正常,再逐步收紧;
- 避免在Namespace级粗粒度启用mTLS,应按服务对(source→destination)精细化配置,减少误伤;
- Citadel已弃用,新版Istio使用istiod内置CA,证书有效期默认为1年,可通过--set values.global.ca.signedCertTTL=360h调整。
安全不是一劳永逸,建议配合定期轮换根CA、审计RBAC绑定关系、禁用默认允许的NetworkPolicy,形成纵深防御。
