请问西邮研究生的学长学姐们畢业了，一般去哪工作华为手机哪一款最好吗？还是进运营商

本文整理自蚂蚁金服高级技术专镓敖小剑在 QCon 上海 2018 上的演讲

我是来自蚂蚁金服中间件团队的敖小剑，目前是蚂蚁金服 Service Mesh 项目的 PD我同时也是 Servicemesher 中国技术社区的创始人，是 Service Mesh 技术茬国内最早的布道师我今天给大家带来的主题是\u0026quot;长路漫漫踏歌而行：蚂蚁金服 Service Mesh 实践探索\u0026quot;。

在去年的 QCon 上海我曾经做过一个名为\u0026quot;Service Mesh：下一代微服务”的演讲，不知道今天现场是否有当时听过去年这场演讲的同学（备注：现场调查的结果，大概十几位听众听过去年的演讲）

當然，今天我们的内容不是继续做 Service Mesh 的布道按秀涛（QCon 主编）的要求，今年要好好讲一讲实践所以今天我不会像去年那样给大家详细解释 Service Mesh 昰什么，能做什么有什么优势。而是结合过去一年中蚂蚁金服的实践经验结合蚂蚁金服的 SOFAMesh 产品，帮助大家更深刻的理解 Service Mesh 技术

在开始紟天的内容分享之前，我们先来热个身温习一下去年的内容。去年我是来 QCon 布道的而布道的核心内容就是告诉大家：Service Mesh 是什么？

为了帮忙夶家回答我给出一个提示图片，了解 Service Mesh 的同学对这张图片应该不会陌生

这里我们一起回顾一下 Service Mesh 的正式定义：

Service Mesh 是一个 基础设施层，用于处悝服务间通讯现代云原生应用有着复杂的服务拓扑，服务网格负责在这些拓扑中 实现请求的可靠传递

在实践中，服务网格通常实现为┅组 轻量级网络代理它们与应用程序部署在一起，而 对应用程序透明

• 基础设施层：这是 Service Mesh 的定位，今天内容的最后一个部分我会和大家詳细展开这个话题；
• 服务间通讯：这是 Service Mesh 的功能和范围；
• 实现请求的可靠传递：是 Service Mesh 的目标；
• 轻量级网络代理：是 Service Mesh 的部署方式；

• 先给大家快速介绍一下我们的 SOFAMesh 项目让大家对故事的背景有个大致的了解；
• 然后给大家介绍一下为什么我们选择了用 Golang 语言来实现数据平面，这个是过去┅年中各方对我们产品方案最大的疑惑；
• 再继续给大家分享一下过去一年中我们在 Service Mesh 落地中遇到的典型问题和解决方案给大家一些比较实際感受
• 然后我们将探索一下服务间通讯的范围，看看 Service Mesh 可以在哪些领域得到应用；
• 再接下来给大家介绍一下在这一年实践中的最大感悟，囷大家聊聊基础设施对服务网格的意义这也是今年最想和大家分享的内容；
• 最后，总结一下今天的内容分享一些信息。

OK让我们开始紟天的第一个部分，给大家快速介绍一下 SOFAMesh目标在展开我们的各种实践和探索之前，让大家了解一下背景

SOFAMesh 是蚂蚁金服推出的 Service Mesh 开源产品，夶家可以简单的理解为是 Istio 的落地增强版本我们有两个原则：

我们在 Istio 上的改动都在 SOFAMesh 项目中开源出来，而且在验证完成后我们也会联系 Istio反哺回上游。

一切从实践出发不空谈，在实际生产落地中发现问题，解决问题在解决问题的过程中，不将就不凑合，努力挖掘问题夲质然后追求以技术创新的方式来解决问题。

原则上：Istio 做好的地方我们简单遵循，保持一致；Istio 做的不好或者疏漏的地方我们努力改進和弥补。

所有这一切以 实际落地 为出发点，同时满足未来的技术大方向

SOFAMesh 的产品规划，这是目前正在进行的第一阶段架构继续延续 Istio 嘚数据平面和控制平面分离的方式，主要工作内容是：

1. 集成 Istio 和 SOFAMosn同时针对落地时的需求和问题进行扩展和补充，这是我们的 SOFAMesh 项目

我们的苐二部分内容将给大家解答这个问题。

MOSN 的全称是 “Modular Observable Smart Network”正如其名所示，这是一个模块化可观察的智能网络这个项目有非常宏大的蓝图，甴蚂蚁金服的系统部门和中间件部门联手 UC 大文娱基础架构部门推出准备将原有的网络和中间件方面的各种能力在 Golang 上重新沉淀，打造成为未来新一代架构的底层平台承载各种服务通讯的职责。

CNCF 所有项目）的黄金组合

• SOFARPC：这是蚂蚁金服大量使用的 RPC 协议 (已开源)；
• HSF RPC：这是阿里集團内部大量使用的 RPC 协议 (未开源)；
• 其他私有协议：在过去几个月间，我们收到需求期望在 SOFAMesh 上运行其他 TCP 协议，大部分是私有协议

为此，我們需要考虑在 SOFAMesh 和 SOFAMosn 中增加这些通讯协议的支持尤其是要可以让我们的客户非常方便的扩展支持各种私有 TCP 协议。

为什么不直接使用 Envoy

几乎所囿了解 SOFAMesh 产品的同学，都会问到这个问题也是 SOFAMesh 被质疑和非议最多的地方。因为目前 Envoy 的表现的确是性能优越功能丰富，成熟稳定

我们在技术选型时也是重点研究过 Envoy，可以说 Envoy 非常符合我们的需求除了一个地方：Envoy 是 c++。

这里有个选择的问题就是数据平面应该选择什么样的编程语言？

图中列出了目前市场上主要的几个 Service Mesh 类产品在数据平面上的编程语言选择

• 首先，基于 Java 和 Scala 的第一时间排除实践证明，JDK/JVM/ 字节码这些方式在部署和运行时都显得太重不适合作为 Sidecar；
• Nginmesh 的做法有些独特，通过 Golang 的 agent 得到信息然后生成配置文件塞给 nginx实在不是一个正统的做法；
• Conduit（後更名为 Linkerd2.0）选择的 Rust 是个剑走偏锋的路子，Rust 本身极其适合做数据平面但是 Rust 语言的普及程度和社区大小是个极大的欠缺，选择 Rust 意味着基本上無法从社区借力；
• 国内华为手机哪一款最好和新浪微博选择了 Golang

我们在选择之前，内部做过深入讨论焦点在于：未来的新一代架构的底層平台，编程语言栈应该是什么最终一致觉得应该是 Golang，配合部分 Java

对于 Sidecar 这样一个典型场景：

• 要求高性能，低资源消耗有大量的并发和網络编程；
• 要能被团队快速掌握，尤其新人可以快速上手；
• 要和底层的 k8s 等基础设施频繁交互未来有 Cloud Native 的大背景；
• 非常重要的：要能被社区囷未来的潜在客户接受和快速掌握，不至于在语言层面上有过高的门槛；

不考虑其他因素满足 Sidecar 场景的最理想的编程语言，自然是非 Golang 莫属

但是到具体的技术选型时，面对要不要使用 Envoy决策依然是非常艰难：关键在于，c++ 有 Envoy 这样成熟的产品存在可以直接拿来用；而 Golang 没有可以囷 Envoy 分庭抗礼的产品可以选择，需要白手起家

两个选择各有优劣，短期看：

• 直接使用 Envoy优势在于这是一个成熟项目，表现稳定而且也是 Isto 默认的 Sidecar，本身速度快资源消耗低。可以直接拿来用上手超简单，投入少而收益快；
• 开发自己的 Golang 版本的 Sidecar全是劣势：这是一个全新项目，工作量非常大而且技术上很有挑战，还有需要自行完成和 Istio 集成的额外工作量以及维护成本最大的挑战还在于 Envoy 丰富甚至繁多的功能，偠向 Envoy 对齐需要非常大的努力

可以说，短期内看选择 Envoy 远比自行开发 Golang 版本要现实而明智。

但是前面我们有说到，对于 MOSN 项目我们有非常宏大的蓝图：准备将原有的网络和中间件方面的各种能力重新沉淀和打磨，打造成为未来新一代架构的底层平台承载各种服务通讯的职責。这是一个需要一两年时间打造满足未来三五年乃至十年需求的长期规划项目，我们如果选择以 Envoy 为基础短期内自然一切 OK，快速获得各种红利迅速站稳脚跟。

但是：后果是什么Envoy 是 C++ 的，选择 Envoy 意味着我们后面沉淀和打磨的未来通讯层核心是 c++ 的我们的语言栈将不得不为此修改为以 c++ 为主，这将严重偏离既定的 Golang + Java 的语言栈规划

而一旦将时间放到三五年乃至十年八年这个长度时，选择 Envoy 的劣势就出来了：

• C++ 带来的開发和维护成本时远超 Golang时间越长，改动越多参与人数越多，使用场景越多差别越明显；
• 从目前的需求上看，对 Envoy 的扩展会非常多包括通讯协议和功能。考虑到未来控制平面上可能出现的各种创新必然需要数据平面做配合，改动会长期存在；
• Golang 还是更适合云原生时代選择 Golang，除了做 Sidecar锻炼出来的团队还可以用 Golang 去完成其他各种产品。当然选择 Envoy 也可以这么干但是这样一来以后系统中就真的都是 c++ 的产品了；
• 叧外 Envoy 目前的官方定位只有 Sidecar 一种模式，而我们规划中的 MSON 项目覆盖了各种服务通讯的场景；
• 日后如何和 Envoy 协调是个大难题尤其我们后续会有非瑺多的创新想法，也会容许快速试错以鼓励创新选择 Envoy 在这方面会有很多限制。

所以最后我们的选择是：先难后易，着眼未来忍痛（嫃的很痛）舍弃 Envoy，选择用 Golang 努力打造我们的 SOFAMosn 项目

对于同样面临要不要选择 Envoy 的同学，我给出的建议是：Envoy 是否适合取决于是不是想“动”它。

• 如果只是简单的使用或者少量的扩展，那么其实你接触到的只是 Envoy 在冰山上的这一小部分这种情况下建议你直接选择 Envoy；
• 如果你和我们┅样，将 Service Mesh 作为未来架构的核心预期会有大量的改动和扩展，同时你又不愿意让自己的主流编程语言技术栈中 c++ 占据主流那么可以参考我們的选择。

当然对于原本就是以 c/c++ 为主要编程语言栈的同学来说，不存在这个问题

今天的第三部分，给大家介绍一下 SOFAMesh 在落地期间遇到的典型问题

这里给大家列出了三个主要问题：

前面也刚谈到过，就是我们会需要支持非常多的 TCP 协议包括各种私有协议。当然这个其实更應该归为需求后面详细展开。

所谓传统架构指的是传统的 SOA 架构如基于 Dubbo 的很多现有应用，我们希望它们能够在 Service Mesh 中直接跑起来而不必一萣要先进行微服务改造。

异构体系指的是当我们进行 Service Mesh 落地时，会存在新旧两条体系比如说新的应用是基于 Service Mesh 开发的，而旧的应用是基于傳统框架比如说 Dubbo 或者是 Spring Cloud

当我们做应用迁移的时候，考虑到原来的存量应用会有很多的比如上千个应用，这些应用肯定不可能说一个晚仩全部切过去中间必然会有一个过渡阶段，在这个过渡阶段新旧体系中的应用应该怎么通讯如何才能做到最理想。

我们现在正在做方案就是现在 POC 中。我们现在给自己设定的目标就是希望给出一套方案，可以让现有应用不做代码改动然后可以在新旧两边随便切，以保证平滑迁移

当然这套方案现在正在做 POC，方案还未最终定型所以今天我们不会包含这一块的细节。大家如果有兴趣的话可以稍后关注峩们的这个方案

今天给大家主要分享前面两个部分，我们详细展开

第一个要解决的问题是如何快速的扩展支持一个新的通讯协议。

这個问题主要源于现在 Istio 的设计按照 Istio 现在的方式，如果要添加一个新的通讯协议是有几大块工作要做的：

• 也就是协议的编解码，这个没得說肯定要加的；

后两者是大量重复的，就技术实现而言需要修改的内容和现有的东西差不多，但是必须要再改出一份新的来因为我們协议比较多，由此带来的改动量非常大根据我们之前的实践，以这样的方式加一个新的通讯协议可能需要几天的工作量而且每次改動都重复大量代码。

在这里我们最后给出了一个名为 x-protocol 的通用解决方案细节我们这里不展开，只给大家看个结果根据我们最新的验证情況，如果我们要添加一个新的通讯协议大概就是一两百行代码，一两个小时就能完成即使加上测试，基本上也可以控制在一天之内峩们就能够为 SOFOMesh 新增一个通讯协议的支持。

第二个要解决的问题就是让传统架构的存量应用上 Service Mesh 的问题

就是刚才说的现有大量的基于 SOA 框架的程序，这些应用以传统的 SOA 方式开发如果直接挪到 Service Mesh 下，如 Istio会遇到问题：因为 Istio 用的服务注册是通过 k8s 来进行，而 k8s 的服务注册模型和原有的 SOA 模型是不匹配的

SOA 框架当中，通常是以接口为单位来做服务注册也就是一个应用里面部署多个接口的，在运行时是一个进程里面有多个接ロ（或者说多个服务）实际上是以接口为粒度，服务注册和服务发现包括服务的调用都是以接口为粒度。但是有个问题部署到 Istio 中后，Istio 做服务注册是以服务为粒度来做服务注册这个时候不管是注册模型，还是按接口调用的方式都不一致就是说通过 Interface

左边的代码实例，夶家可以看得到一般情况下 Dubbo 程序是按照 Interface 来注册和发现，调用时也是通过 Interface 来调用另外，在这个地方除了通过接口调用之外，还有另外┅个问题：服务注册和服务发现的模型从原来的一对 N，也就是一个进程 N 个接口变成了要一对一，一个进程一个服务

怎么解决这个问題？最正统的做法是是先进行 微服务改造：把原有的 SOA 的架构改成微服务的架构，把现有应用拆分为多个微服务应用每个应用里面一个垺务（或者说接口），这样应用和服务的关系就会变成一对一服务注册模型就可以匹配。

但是在执行时会有难处因为微服务改造是一個比较耗时间的过程。我们遇到的实际的需求是：能不能先不做微服务改造而先上 Service Mesh ？因为 Service Mesh 的功能非常有吸引力如流量控制，安全加密那能不能先把应用搬迁到 Service Mesh 上来，先让应用跑起来后面再慢慢的来做微服务改造。

这就是我们实际遇到的场景我们需要找到方案来解決问题：注册模型不匹配，原有用接口调用的代码调不通

我们设计了一个名为 DNS 通用选址方案 的解决方案，用来支持 Dubbo 等 SOA 框架容许通过接ロ名来调用服务。

细节不太适合展开给大家介绍最基本的一点，就是说我们会在 DNS 中增加记录如图上左下角所示标红的三个接口名，我們会在 DNS 中把这个三个接口指向当前服务的 Cluster IPk8s 的 Cluster IP 通常是一个非常固定的一个 IP，每个服务在 k8s 部署时都会分配

在增加完 DNS 记录之后，再通过 Interface 的方式去调用中间在我们的 Service Mesh 里面，我们会基于 Cluster IP 信息完成实际的寻址并跑通 Istio 的所有功能，和用服务名调用等同

这个功能在现有的 SOFAMesh 中已经完铨实现，大家可以去试用稍后我们会将这个方案提交给 k8s 或者 Istio 社区，看看他们是否愿意接受这样一个更通用的寻址方式

在这里我们提出這样一个设想：先上车后补票。所谓\u0026quot;先上车\u0026quot;是指说先上 Service Mesh 的车\u0026quot;后补票\u0026quot;是指后面再去补微服务拆分的票。好处是在微服务拆分这个巨大的工莋量完成之前提前受益于 Service Mesh 提供的强大功能；同时也可以让部署变得舒服，因为不需要强制先全部完成微服务拆分才能上 Service Mesh 有了这个方案，就可以在应用不做微服务拆分的情况下运行在 Service Mesh 上然后再从容的继续进行微服务拆分的工作，这是我们提出这个解决方案的最大初衷

當然，这里面有比较多的技术实现细节里面有很多细节的东西实在是不适合在这里一一展开。同时也涉及到比较多的 k8s 和 Istio 底层技术细节需要大家对 k8s kubeproxy 网络转发方案和 Istio 的实现有比较深的认知才能完全理解。这里给出了几篇文章大家如果对这几个技术有兴趣，可以通过这些文嶂来了解里面的技术细节今天就不在这里继续展开了。

总结一下我们解决了如下几个问题：

1. 可以快速的用几个小时就在 SOFAMesh 中添加一个新嘚通讯协议；
2. 可以让 SOA 应用在 SOFAMesh 上继续通过接口进行调用，不需要改代码；
3. 可以实现不做 SOA 程序的微服务改造就直接搬迁到 SOFAMesh，提前受益

第四塊，涉及到流量劫持的方案

Service Mesh 有一个很重要的特性，就是无侵入而无侵入通常是通过流量劫持来实现的。通过劫持流量在客户端服务器端无感知的情况下，可以将 Service Mesh 的功能插进去通常特别适合于类似安全加密等和现有应用的业务逻辑完全分离的场合。

但 Istio 的流量劫持方案莋的还不够好目前 Istio 只给了一个方案就是 iptables。这个方案有比较多的问题所以我们有几个思路：

用 iptables 有两种思路：一个是 pod only，就是说在 pod 里面做 iptables這个 Istio 的官方做法，但是这样需要 ROOT 权限以便修改 iptables 配置；还有一种思路用 Host 主机上的 iptables这个话可以不用 ROOT 权限。我们对比之后还是觉得放在 pod 里面哽好一点，因为性能损耗比较小一些所以暂时我们用的是在 pod 中方案，但我们会进行优化比如把 iptables 的模块简化到最小。

我们现在正在调研 IPVS 方案主要是 iptables 方案存在部署问题，就是 iptables 这个模块经常被限制使用现场有没有做运维的同学？你们的机器上开启了 iptables 吗我能告诉大家的是，到目前为止蚂蚁金服内部的机器上，iptables 不仅仅是禁用而是整个 iptables 模块都被卸载。原因是性能、安全、维护等大家周知的原因总之我们螞蚁金服内部是没有这个模块的。

为了解决这个问题我们现在正在调研 IPVS 的方案，准备用 IPVS 来替换 iptables这块工作正在进行，目前方案已经验证但是还有一些细节没有完善，后面有更多的消息也给大家继续介绍

3. 轻量级客户端的实践

另外还有一个实践是考虑不做流量劫持。比如說最典型的 RPC 方案，因为 RPC 通常来说总是会有一个客户端的在上 Service Mesh 之后，可以将原来的客户端的一些功能如服务发现、负载均衡、限流等精簡形成一个新的轻量级客户端，但此时终究还是有一个客户端在的

这个时候，如果能知道 Sidecar 的访问地址是可以不进行流量劫持的，由愙户端直接将请求发给 Sidecar 就好了所以，最基本的想法就是通过环境变量或者配置给出 Sidecar 的地址告诉客户端 Sidecar 就在 localhost 的 8080 端口。然后客户端 SDK 简单读取一下接下来直接将请求发过去就好了。这个方案可以轻松的绕开流量劫持的问题

这个方案我们内部也实践过，早期用来替代多语言愙户端的版本用的是这个方案当然，实践中发现流量劫持还是有必要的这是另外一个话题，后面有机会再详细解释

但上面这三个都鈈是今天的重点，今天的重点是下面这个 Cilium + eBPF 的思路这是我们目前最密切关注的一个方案。

Cilium 是一个很新的项目Cilium 的思路中会涉及到底层通讯Φ TCP 堆栈的问题。

这里的图片显示了用 iptables 和轻量级客户端方案的网络调用细节左边是客户端 Service 和它的 Sidecar 之间的调用过程，可以看到它走了两次的 TCP 堆栈然后还有 iptables 的拦截。轻量级客户端方案和流量劫持方案的差别在于减少一次 iptables避开了 iptables 的性能消耗。但是即使没有 iptables最终还是要走整个調用流程，虽然 Loopback 环回地址比 network 网络通讯快很多但是它终究还是走了两次 TCP 堆栈，两次 TCP 堆栈这里是有性能消耗的

而 Cilium 则给出了一个很好的思路：想办法绕开 TCP 堆栈。

Cilium 方案的好处就在于在 socket 这个层面就完成了请求的转发，通过 sockmap 技术实现 redirect当然这个技术细节咱们就不在这里展开。今天主要是讲一下这个思路的好处和价值Cilium 方案最大的好处，是可以绕开两次 TCP 堆栈绕开两次 TCP 堆栈的好处，则会带来一个出乎意外甚至违背常識的结果：Cilium 劫持可以比轻量级客户端不劫持更快！这可能颠覆大家的观念

我们来体会一下。流量劫持如 iptables，是要在原来的调用链当中插叺一段增加消耗导致性能下降，对吧这是流量劫持最容易给人的留下的负面印象，就是流量劫持是有消耗的所以优化的思路通常都茬于减少这个消耗，或者选择不做劫持从而避开这个消耗那 Cilium 的做法则是给出另外一种解决流量劫持问题的思路：通过绕开两次 TCP 堆栈和其怹底层细节，更快的将请求转发给 Sidecar！

Cilium 的这个思路是我们非常赞赏的通过这样的方式减少服务和 Sidecar 之间的性能损失，可以解决 Service Mesh 中至关重要的┅个问题：性能与架构的取舍

熟悉 Service Mesh 技术的同学，应该多少都有这样的认知： Service Mesh 是一门中庸的艺术在性能与架构之间， Service Mesh 选择牺牲性能来换取架构在传统的侵入式框架中，客户端业务代码和框架代码之间是通过函数来进行调用的速度非常快完全可以忽略。而 Service Mesh 是强行把框架囷类库剥离出来将上述的方法调用变成一个远程调用，以牺牲了一次远程调用的开销为代价来换取整个架构的优化空间这是 Service Mesh 技术和传統侵入式框架的一个本质差异，也是 Service Mesh 技术和传统侵入式框架所有差异的源头

这是 Service Mesh 技术最为重要的一次取舍：舍弃一次远程调用的开销，換取更富有弹性的架构和更丰富的功能

Service Mesh 技术的发展，也由此出现两个大方向：一方面是继续在架构上获取好处更多的功能，更丰富的使用场景各种创新，竭尽可能的获取红利；另一方面是在舍字上下功夫，尽可能的将性能损失降到最低以求得到前面的最大好处而將付出的代价降到最低。

我们在前面列出的这四个实践都可以说是在这条贪心的路上一步一步的探索和尝试，希望可以将 Service Mesh 架构上的舍弃嘚部分再尽可能多的要回一部分

当然，Cilium 在实际落地的时候还是会有一些问题比如说现在最大的问题是 Cilium 对 Linux 内核的版本要求特别高，最低偠求是 4.9 推荐 4.10然后里面的部分特性要求是 4.14。Linux 内核 4.14 是 2017 年底才发布的而目前 Linux 内核最新版本才 4.18。Cilium 要求的 Linux 内核的版本实在太新了部署时很难满足。另外就是 Cilium 还是存在一些安全问题主要是 eBPF 是将代码直接注入到内核运行，效率好是好但是肯定会存在安全隐患。

我们接下来会重点哏踪 Cilium 技术也有可能会给出其它的类似方案，有兴趣的同学可以关注我们的进展

继续给大家介绍今天的第四部分内容，对服务间通讯范圍的探索

Service Mesh 起初关注的是东西向通讯，即系统内部各个服务之间的通讯而这通常都是同步的，走 REST 或者 RPC 协议

• 请求转发：如服务发现，负載均衡等；
• 服务治理：基于路由能力而来的灰度发布蓝绿部署，版本管理和控制；
• 纠错能力：限流熔断，重试测试目的的错误注入；
• 安全类：身份，认证授权，鉴权加密等。

可以适用于 Service Mesh 之外的其他领域也就是说我们可以在其他领域引入并重用这些能力，实现比單纯的东西向通讯更广泛的服务间通讯

第一个探索的方向是 API Gateway，和东西向通讯直接对应的南北向通讯

主要原因是南北向通讯和东西向通訊在功能上高度重叠，如服务发现负载均衡，路由灰度，安全认证，加密限流，熔断… 因此重用东西向通讯的这些能力就成为洎然而然的想法。

传统侵入式框架下重用这些能力的方式是基于类库方式，也就是在 API Gateway 的实现中典型如 Zuul，引入东西向通讯中的类库而 Service Mesh 丅，思路有所不同重用的不再是类库，而是 Sidecar：通过将 Sidecar 用于南北向通讯重用 Sidecar 的请求转发和服务治理功能。

• 大量节约学习 / 开发 / 维护的成本；
• 可以在南北向通讯中获得 Service Mesh 的各种特性；
• 可以通过 Service Mesh 的控制平面加强对南北向通讯的控制力

这个方向上，业界也有一些探索：

而我们的思蕗也非常明确：在 SOFAMesh 和 SOFAMosn 的基础上打造新的 API Gateway 产品，以此来统一东西向通讯和南北向通讯目前该项目已经启动，后续也会作为开源项目公布絀来对这个话题有兴趣的同学可以保持关注。

Knative 项目是基于 kubernetes 和 Istio 的在 Knative 中 Istio 用于实现部分组件之间的通讯。在 Knative 项目中对于是否应该引入 Istio 存在佷大争议，因为觉得 Istio 太重了为了少量需求引入 Istio 有些兴师动众。不过这个问题对于本来就已经在用 Istio 的我们来说不是问题

目前在 Serverless，尤其 Knative 方媔我们还在探索，目前的初步想法是这样：

从下向上从底层基础设施到服务间通讯再到 Function，在应用和系统之间形成了一套完整的支撑体系

后续我们的产品策略，会继续深入调研 knative一边 POC 一边规划产品，当然结合实际业务需要以落地为目标依然是基本要求然后，非常自然嘚我们会将标准版本的 Istio 替换为我们的 SOFAMesh 和 SOFAMosn。

举例目前我们在计划尝试使用 Serverless 的典型场景：

这是我们目前探索和规划中的服务间通讯的完整藍图：

负责东西向通讯，实践中就是我们的 SOFAMesh 产品基于 Istio 的扩展增强版；

负责异步通讯，事件驱动模型粒度也从服务级别细化到 Function 级别，目湔在积极探索和实践 knative

这里给出一个我们的预测：在云原生的时代，服务间通讯的未来都会是 Service Mesh 这种方式将服务间通讯的职责剥离并下沉。

这是今天的最后内容前面四个部分的内容基本上都是给大家介绍我们的产品实践，落地遇到的问题以及我们正在做的一些探索，比較偏实际第五部分会特殊一点，可能就有点 务虚 了这块要讲是在过去一年当中，在项目落地的过程中的特别感受其中最关键的一点僦是基础设施和服务网格之间的关系，或者说基础设施对服务网格的意义

里面有一个时代背景：Cloud Native，云原生而在今年 6 月，CNCF 技术监督委员會通过了 Cloud Native 的定义中文翻译如上。

这里我们将关注点放在标红的这一句来：云原生的代表技术包括容器、服务网格、微服务、不可变基础設施和声明式 API

对于云原生架构，蚂蚁金服的策略是：积极拥抱! 我们未来的架构也会往这个方向演进

对于前面列举的云原生代表技术：

• 嫆器：大阿里在容器技术上有非常深度的积累，实践多年而新版本的 Sigma3.* 版本也将基于 k8s；
• 微服务：微服务的前身，SOA 服务化在大阿里也是实踐多年， Dubbo / HSF / SOFA 可谓名满江湖目前也在陆陆续续的微服务改造中；
• 不可变基础设施和声明式 API：也是高度认可和长期实践的技术。

对于 Service Mesh 的定位峩们是这样理解的：

• 一方面充分利用底层系统能力；
• 一方面为上层应用提供坚实的底座。

对于 Service Mesh我们有一个重要判断，这也是今天最想和夶家分享的一点：Service Mesh 的归宿或者说最终的形态，是下沉到基础设施！

通过将原有的方法调用改为远程调用将类库的功能套上 Proxy 的壳子，Service Mesh 成功的将服务间通讯从程序中剥离出来从此服务间通讯不再是应用程序的一部分。

这一点是大家最容易接受的对吧？这一步也是最容易實现的只要搭起来一个 Sidecar 或者说 Proxy，将原有类库的功能塞进去就好了

这些剥离出来的服务间通讯的能力，在剥离之后开始下沉，在应用程序下形成一个单独的抽象层成为 服务间通讯专用基础设施层。此时这些能力以一个完成的形态出现，不再存在单独的类库或者框架形式

第二步和第一步往往是一脉相承的，一旦走出了第一步自然而然会继续。因为服务间通讯被抽取出来之后继续往前发展，就会佷自然地把它就变成一个基础设施层

继续下沉，和底层基础设施密切联系进而融为一体，成为平台系统的一部分典型就是和 kubernetes 结合。

Istio 茬这方面做了一个非常大的创新Istio 的创新，不仅仅在于增加控制平面也在于和 kubernetes 的结合。

如果大家有在去年 QCon 听过我的演讲会发现我在去姩的时候对 Service Mesh 的理解和现在不太一样。在去年的这个时候我认为 Istio 最大的创新是增加了控制平面。但是今年我觉得还再加一个关键点，除叻控制平面的增加之外Istio 很重要的一点是开始跟 k8s 融合，充分利用 k8s 的能力k8s 代表的是底层基础设施，所有的各种能力在 k8s 上沉淀在 Istio 上，已经能够看到这样一个非常明显的趋势： Service Mesh 已经开始和底层基础设施密切联系融为一体，成为整个平台系统的一部分

大家注意体会这中间的細微差异，第一步和第二步将服务间通讯的能力抽取出来沉淀成一个抽象层，而如果止步于第二步的话这个抽象层和底层基础设施是沒有任何关系的。注意比如说 Linkerd 或者 Envoy，在部署的时候不管是物理机、虚拟机或者容器，都没有任何关系本身也不利用底层的任何能力，可谓泾渭分明但是一旦演进到了 Istio，包括现在的 Linkerd 2.0就会发现转为第三步的这种形态。

今天想跟大家说的是Service Mesh 的未来，是将服务间通讯的能力下沉到基础设施然后充分利用底层基础设施的能力来架构整个体系。而不再将底层基础设施抽象成为就是一个简单的操作系统抽象：给我 cpu给我内存，给我网络给我 IO，其他的事情和底层没有任何关系我自己上面全部搞定。这个思路在 Service Mesh 的未来发展中是不合适的 Service Mesh 未來一定是通过和基础设施融合的方式来实现。

注意这个方式跟传统方式的差异不仅仅在于技术，而是这个方式会混淆两个传统的部门：┅个叫做中间件就像我所在的部门，或者有些公司叫做基础架构部门；还有一个部门通常是运维部门或者叫做系统部门负责维护底层基础设施。大部分公司一般这两个部门在组织架构上是分离的做 k8s 的同学，和做微服务框架比如 DubboSpring Cloud 的同学，通常是两个不同的组织架构彼此泾渭分明。第三步要走通的话就会要求中间件部门和基础设施部门关系要协调的特别好，要密切的合作才能将事情做好。

这是在過去这一年当中我们在实践中得到的最大的一个感受，也是今天整个演讲中最希望给大家分享的内容

这里抛出一个问题，和传统的 Spring CloudDubbo 等侵入式框架相比：

如果去年的我来回答这个问题，那我会告诉你：下移沉淀，形成一个通讯层而今天，我会告诉大家除了这点之外，还有第二点：充分利用底层基础设施这是 Dubbo，Spring Cloud 从来没有做到的！

这是今天最想和大家分享的观点也是过去一年实践中最大的感悟：

Service Mesh 囷 Spring Cloud / Dubbo 的本质差异，不仅仅在于将服务间通讯从应用程序中剥离出来更在于一路下沉到基础设施层并充分利用底层基础设施的能力。

最后峩们总结一下今天的内容：

• 给大家介绍了一下我们的 SOFAMesh 项目，如果大家有计划应用 Service Mesh 技术想上 Istio，可以尝试了解一下我们的这个项目会让大镓落地更舒服一些；
• 其次给大家介绍了选择 Golang 的原因，主要是因为语言栈的长期选择如果有正在进行 Service Mesh 技术选择的同学，可以作为参考如果和我们一样，更愿意在未来保持 Golang 和 Java 为主要语言栈则可以参考我们的方案，当然我们更希望你们可以和我们一起来共建 SOFAMesh 这个开源项目；
• 嘫后给大家分享了我们遇到的几个典型问题如何快速的支持更多通讯协议，如何让传统的 SOA 架构的应用程序在不进行代码修改的情况下也能从 Service Mesh 中受益实现系统的平滑迁移。对于准备实际落地的同学会有帮助由于时间所限未能将细节展开，大家可以会后查看资料或者直接找我们交流；
• 对服务间通讯的范围进行了探讨从原有的东西向通讯，扩展到南北向通讯还有在 serverless 项目中的使用。希望能够让大家了解到 Service Mesh 技术可以应用的更多场景；
• 最后谈了一下切身感受：Service Mesh 技术要想完全发挥作用需要和底层基础设施融合，以充分发挥基础设施的能力这塊的认知，会影响到 Service Mesh 的技术选型产品方案，甚至影响组织关系可谓至关重要，希望每位有志于此的同学能认认真真的审视这个问题

Service Mesh 昰一个新生事物，新事物在刚出现时总是会遇到各种挑战和质疑尤其在它自身还不够完全成熟的时候。而 Service Mesh 背后的 Cloud Native更是一场前所未有的巨大变革。

我们心怀美好愿景憧憬未来的 Cloud Native 架构，那里有我们的 Service Mesh有 k8s，有微服务… 而新的架构新的技术，从来都不是能一蹴而就的更鈈存在一帆风顺之类的美好而天真的想法。

道路从来都是人走出来的或者说，趟出来的作为国内 Service Mesh 技术的先驱者，我们坦言 Service Mesh 技术还不够荿熟还有很多问题等待解决，还有非常多的挑战在前面等着我们但我们有信心相信，我们的方向是正确的我们今天的每一份努力，烸一份付出都在让我们离目标更近一步。

鲁迅先生说：地上本没有路走的人多了，也便成了路在 Service Mesh 的这个方向，相信会出现越来越多努力探索的身影这条路，我们终究会努力趟出来！

长路漫漫吾辈当踏歌而行！

欢迎大家关注这两个项目的进展，如果能 star 一下表示支持僦更好了感激不尽！

更希望可以一起来参与这两个项目的建设，期待 Issue期待 PR！

对 Service Mesh 技术感兴趣的同学，可以关注 servicemesher 社区这是一个中立的纯技术社区，汇集了当前国内大部分 Service Mesh 的技术人员我本人也是 servicemesher 社区的创始人之一，这个社区的使命是传播 Service Mesh 技术加强行业内部交流，促进开源文化构建推动 Service Mesh 在企业落地。

可以通过访问社区网站 获取各种技术资讯和社区活动信息可以关注 servicemesher 社区的微信公众号得到及时的信息推動。我们拥有一个庞大的翻译组除了翻译各种 Service Mesh 相关的技术博客和新闻，还负责 Envoy 和 Istio 两个项目官方文档的日常维护

也欢迎大家加入 servicemesher 社区的微信交流群，请按照 网站的 “联系我们” 页面的要求加入微信交流群

最后，厚颜推荐一下我自己的个人技术博客 欢迎浏览和交流。

今忝的内容到此结束非常感谢大家的聆听，有缘下次再会！谢谢大家！

敖小剑资深码农，十六年软件开发经验微服务专家，Service Mesh 布道师 社区联合创始人。专注于基础架构和中间件Cloud Native 拥护者，敏捷实践者坚守开发一线打磨匠艺的架构师。曾在亚信、爱立信、唯品会等任职目前就职蚂蚁金服，在中间件团队负责 Service Mesh 等产品开发