Service Mesh 是一种用于管理、连接和控制微服务架构中服务间通信的基础设施层。它通过将通信逻辑从服务本身中解耦出来,引入了一组专用的网络代理(称为 Sidecar),来提供一系列强大的功能和能力。Sidecar 是 Service Mesh 中的一种模式,它作为每个服务的附加组件运行,负责管理服务间的通信、安全性、可观察性等方面。
服务网格是如何运作的?
服务网格不会为应用的运行时环境加入新功能,任何架构中的应用还是需要相应的规则来指定请求如何从 A 点到达 B 点。但服务网格的不同之处在于,它从各个服务中提取逻辑管理的服务间通信,并将其抽象为一个基础架构层。
要这样做,服务网格会以网络代理阵列的形式内置到应用中。代理的概念在企业 IT 中并不陌生,如果您从一台工作计算机访问网页,很可能就会使用代理:
- 对该网页的请求发出后,首先会被公司的 Web 代理收到……
- 通过了代理的安全措施检查后,它会被发送到托管此网页的服务器……
- 接下来,该网页将返回代理并再次进行安全措施检查……
- 之后,网页就会从代理发送给您。
在服务网格中,请求将通过所在基础架构层中的代理在微服务之间路由。正因如此,构成服务网格的各个代理有时也被称为"sidecar"(挎斗),这是因为它们与每个服务并行运行,而非在内部运行。总之,这些"sidecar"代理(与每项服务分离)构成了网格式网络。
在 Service Mesh 中,Sidecar 是作为每个微服务实例的附加组件运行的代理程序,负责管理服务间的通信、安全性、可观察性等方面。Sidecar 的设计旨在提供一系列重要的功能,以增强微服务架构的灵活性、可靠性和安全性。以下是 Sidecar 在 Service Mesh 中应具备的核心功能:
-
服务发现和负载均衡:
- Sidecar 负责与服务注册中心通信,动态发现并注册服务实例。它维护服务实例的列表,并根据负载均衡策略将请求分发到合适的目标服务。
-
请求路由和流量控制:
- Sidecar 可以基于路由规则或策略,对服务间的请求流量进行动态的路由和流量控制。它支持灰度发布、蓝绿部署、A/B 测试等高级部署模式。
-
故障恢复和重试:
- 当目标服务出现故障或超时时,Sidecar 可以实施自动重试机制,或者切换到备用服务实例,以确保请求的可靠性和稳定性。
-
安全性增强:
- Sidecar 实施服务间通信的安全策略,包括身份验证、授权、加密和数据完整性验证。它可以拦截并过滤恶意请求或异常流量。
-
监控和追踪:
- Sidecar 收集服务间通信的指标和日志数据,支持实时监控、报警和分布式追踪。它可以将监控数据发送到监控系统,用于性能分析和故障排查。
-
灵活的配置和动态更新:
- Sidecar 可以根据配置中心的动态更新,实时调整行为和策略。这使得服务间通信的行为可以根据运行时需求进行动态调整。
-
无侵入性和透明性:
- Sidecar 与服务应用程序解耦,不需要修改服务代码,通过代理方式提供增强功能。它应该对服务应用程序无感知,确保对现有应用程序的无侵入性和透明性。
-
容错和自适应能力:
- Sidecar 应具备一定的容错能力,能够处理各种异常情况,并自适应网络和服务的变化。它可以动态调整负载均衡策略和重试机制,以应对不同的运行环境和负载情况。
通过以上功能,Sidecar 极大地增强了微服务架构中服务间通信的管理和控制能力,同时提供了丰富的功能来支持服务的安全性、可靠性和可观察性。常见的 Service Mesh 实现(如 Istio、Linkerd、Consul 等)都支持这些核心功能,并提供了灵活的配置和扩展机制,以满足不同应用场景和需求。
