概述

随着分布式云原生架构的广泛应用，企业在构建和管理分布式应用时面临着一系列挑战。分布式场景下，应用可用性、可观测性和安全性等方面的要求变得更加复杂。为了应对这些挑战，华为云推出了UCS服务网格，基于UCS舰队底座提供全域流量治理能力，旨在提升分布式云服务的管理效率和应用的稳定性。UCS服务网格通过提供流量切分、灰度发布、故障倒换等策略，帮助用户实现高可用、高可靠的分布式应用，以满足企业的业务需求。

一 服务网格介绍

谈到服务治理，离不开业界主流服务治理开源软件Istio，Istio 是一个开源的服务网格平台，旨在解决微服务架构下的复杂性和治理挑战。它提供了一种统一的方式来连接、保护和监控微服务之间的通信。Istio 的核心组件包括数据平面和控制平面。

数据平面使用 sidecar 代理（Envoy）注入到每个微服务实例中，负责处理所有进出该实例的网络流量。它提供了流量管理、负载均衡、故障恢复和安全性等功能。通过 sidecar 代理，Istio 能够实现服务之间的负载均衡、故障注入、重试等能力，同时支持流量控制和安全机制，如熔断、限流、TLS 加密等。

控制平面负责配置和管理整个服务网格。它包括 Pilot、Citadel、Galley 和 Mixer 等组件，用于配置和路由规则管理、安全策略和认证、遥测和监控等功能。控制平面与数据平面进行交互，动态地配置和更新代理的行为，实现流量控制、服务发现、监控和故障注入等功能。

通过 Istio，用户可以灵活管理服务之间的通信和流量，实现高级的应用层管理能力，如熔断、限流、重试、超时处理等。它还支持动态路由、流量控制和灰度发布等功能，以及应用监控、故障定位和调用链追踪等能力，为用户提供了全面的服务治理和观测能力。Istio 的目标是简化微服务架构的复杂性，提供一种统一、可靠和安全的服务通信和管理方式。

二 分布式云原生架构下的应用韧性保障

在分布式云原生架构下，保障应用的韧性至关重要。为提升核心业务系统的服务级别协议（SLA），需要跨区域、跨可用区、甚至跨云部署业务，以增加业务的可用性。通过亲和访问、故障倒换等技术手段，实现流量在不同节点之间的平衡和容错，确保系统的高可用性和可靠性，进而满足99.99%以上的SLA要求。

同时，为降低应用版本上线升级的风险，需采取谨慎策略。通过灰度发布和流量切分，逐步引入新版本，确保平滑过渡和测试，减小潜在线上事故对用户的影响。通过持续监控和故障反馈机制，及时发现和解决问题，确保应用的稳定性和可靠性。

在分布式云网络中，提升流量的可见性对于快速定位问题至关重要。借助监控和调用链追踪等工具，实现对流量的观测和分析，以及故障定位和排查。通过可视化的监控仪表板和统一的日志管理，快速定位问题根因，加速故障恢复，并提升整体的运维效率。

此外，构建分布式零信任网络基础设施是确保应用安全性的关键。通过负载均衡、故障倒换和动态路由等技术手段，实现网络流量的动态管理和安全隔离。同时，采用零信任原则，对所有网络连接进行认证和授权，确保只有经过验证的用户和服务才能访问敏感数据和资源。

分布式云原生架构下的应用韧性保障需要跨区域部署、灰度发布、流量观测、零信任网络等策略的综合应用，以提高核心业务系统的可用性、降低升级风险，并确保网络安全和流量可见性。

三 UCS服务网格介绍

3.1 华为云UCS：为企业分布式业务提供无处不在的云原生服务

华为云UCS（Ubiquitous Cloud Native Service）是业界首个专为集群跨云场景设计的分布式云原生产品。它提供全域一致性体验，使企业能够在云原生应用中无感知地跨地域、跨云、跨流量进行部署和管理，加速各行各业对云原生的采用。华为云UCS基于CNCF的多云容器编排项目Karmada，实现了云原生应用在不同云平台（包括华为云、伙伴云、用户自有基础设施和第三方云服务设施）上的统一管理。它覆盖了中心区域、热点区域、客户机房和业务现场等多种使用场景。

华为云UCS具有三大创新模式：应用与数据协同创新模式，通过分布式数据管理实现应用与数据的一键迁移和全业务一体化迁移、弹性和容灾；应用算力供给新模式，通过分布式调度管理，随时提供应用所需的算力资源；应用流量治理新模式，通过分布式流量控制实现智能流量分发调度，实时跨域、按需调配应用访问流量。

在分布式云原生架构中，统一是一个重要的关键词。它体现在以下五个方面：

1. 统一资源接入：通过统一的资源接入机制，将华为云、多云、边缘云和客户数据中心等不同资源纳入统一管理，实现资源的整合和共享，提高资源利用率和灵活性。

2. 统一算力调度：基于CPU、内存、存储等资源指标，实现统一的算力调度，优化资源分配和任务调度，提高系统的性能和效率。

3. 统一流量治理：通过统一的流量治理机制，包括流量切分、灰度发布和故障倒换等，实现对流量的全局管理和控制，确保系统的稳定性和可靠性。

4. 统一智能运维：借助人工智能和自动化技术，实现统一的智能运维，包括容器健康监测、智能故障检测和自动化运维等，提高系统的可用性和可维护性。

5. 统一应用生态：构建统一的应用生态系统，提供150+应用开箱即用、一键部署和全城分发等功能，促进应用的快速上线和分发，增强用户的一致体验。

通过统一这些关键方面，分布式云原生架构可以实现资源的高效利用、流量的灵活管理、运维的智能化以及应用的快速部署和分发，从而提升系统的整体性能和可靠性。

3.2 服务网格以基础设施形态连接上层应用和下层云资源

UCS服务网格作为高性能、高可靠性的网络基础设施，可以连接上层应用和下层云资源，提供统一的应用管理和服务治理。以下是三个业务场景：

1. 分布式云全域治理：UCS服务网格可以实现地理访问亲和性和全局负载均衡，跨集群、跨Region故障倒换等功能，统一管理分布式云环境中的多云、混合云的容器和传统微服务。通过基于舰队的流量管理和多地城服务分流的灰度发布，实现全域治理，提升系统的可用性和可靠性。

2. 非侵入应用智能运维：UCS服务网格提供应用健康诊断、故障定界与定位、分布式调用链追踪等功能，帮助用户实现对应用的智能运维。通过定义和保障服务级别协议（SLA），多粒度的应用访问拓扑和性能扩缩容能力，提升应用的可靠性和性能，简化应用开发流程。

3. 应用现代化改造：UCS服务网格支持非侵入式的服务治理，为应用现代化改造提供支持。通过统一的容器服务和虚拟机服务管理平台，提供信任应用安全和平滑的应用上云迁移。结合灰度发布和流水线，实现应用的云原生改造和持续交付，加速用户业务的上云和现代化改造过程。

UCS服务网格作为基础设施可以提供全方位的应用管理和服务治理，帮助用户简化应用开发流程、加速业务上云和应用现代化改造，提升系统的可用性、可靠性和安全性。

3.3 UCS服务网格构建分布式云全域应用流量治理架构

UCS服务网格通过构建分布式云全域应用流量治理架构，提供统一的流量管理和控制。以下是该架构的主要特点：

1. 舰队入口和服务间流量统一管理：UCS服务网格对于分布在不同Region、多云和混合云环境中的服务流量进行统一管理。通过统一的流量模型和策略，确保入口和服务间的流量执行一致的动作，提高流量管理的效率和一致性。

2. 全线启用流量管理功能：UCS服务网格在舰队级别上启用全局流量管理功能，实现对整个分布式云环境的流量控制和调度。这包括负载均衡、亲和访问、故障倒换、流量切分、灰度发布和动态路由等功能，为应用流量提供全方位的治理和管理。

3. 跨Region、多云混合云的负载均衡：UCS服务网格支持跨Region、多云和混合云环境中实例上的流量进行全局负载均衡。通过智能的流量调度算法，平衡不同实例之间的负载，提高系统的整体性能和可靠性。

4. 亲和访问和故障倒换：UCS服务网格实现用户流量的亲和接入，将访问导向到与其亲和的后端服务。同时，当某个区域的实例发生故障时，根据设定的策略自动将一定比例或全部的流量切换到其他健康的实例上，保证业务的连续性和可靠性。

5. 流量切分和灰度发布：UCS服务网格支持根据权重或基于流量内容将流量切分到其他区域或具有特定特征的服务后端上。这样可以实现灵活的流量控制和管理，同时在分布式环境下进行灰度发布，逐步引入不同版本的服务。

6. 动态路由：UCS服务网格根据流量的特征动态修改服务的访问路由。通过高级的流量管理策略，实现智能路由和流量控制，提升系统的灵活性和性能。

UCS服务网格构建了一个分布式云全域应用流量治理架构，为用户提供统一的流量管理和控制，提高应用的性能、可靠性和灵活性。UCS服务网格构建了一个分布式云全域应用流量治理架构，实现了流量入口和服务间流量的统一管理，跨Region、多云混合云的负载均衡，亲和访问和故障倒换，流量切分和灰度发布，以及动态路由等功能。这样的架构提供了全方位的流量控制和管理，简化了分布式云环境下的应用开发和现代化改造过程。

3.4 UCS服务网格分布式云全域应用流量治理场景

UCS服务网格在分布式云全域应用流量治理场景下提供了一套强大的功能和策略，以实现高效的流量管理和控制。首先，跨地域故障倒换是其中的关键功能之一。当一个地域的后端实例发生故障时，UCS服务网格能够将部分流量转移到其他地域的健康实例上，确保业务的连续性和可靠性。这种故障倒换是基于实例位置标签的优先级或权重来控制流量的分配比例。

其次，区域流量切分是另一个重要的功能。UCS服务网格允许根据预先配置的策略，灵活地将流量按比例切分到不同地域的实例上。这种灵活性使得企业可以根据业务需求和地域条件，优化流量的分布和处理，实现更高的性能和可扩展性。

另外，UCS服务网格提供全局负载均衡功能，确保跨地域的服务实例能够根据负载均衡策略均衡地处理流量。这样可以有效地分发流量到多个地域的服务后端实例上，提高整个系统的性能和可用性。

而访问亲和性是在全局负载均衡的基础上实现的。通过配置访问策略，UCS服务网格可以根据实例的地域信息，优先将流量分发到同一地域的服务实例上。这样可以减少跨地域的网络延迟，提供更快速和高效的访问体验。UCS服务网格的分布式云全域应用流量治理架构通过跨地域故障倒换、区域流量切分、全局负载均衡和访问亲和性等功能，为企业提供了灵活、高可用和高性能的流量管理解决方案。这种架构不仅提供了系统级别的流量控制能力，还提升了应用的可靠性和弹性，同时提供了更好的用户体验和业务效率。对于企业在分布式云环境中构建和管理应用流量，UCS服务网格是一个强大的选择。

3.5 UCS服务网格构建零信任安全的应用网络基础设施

UCS服务网格通过构建零信任安全的应用网络基础设施，实现了一系列安全目标和措施，确保应用和数据的安全性。首先，它提供了默认安全特性，基础设施应用安全能力由网格提供，应用代码无需感知或修改。这意味着应用部署在网格上时，下层基础设施可以保持不受修改，同时获得安全保护。

其次，UCS服务网格采用了零信任网络的理念，在不可信任的网络上构建安全的解决方案。不仅客户端到网格入口的网络被视为不安全，网格内部的服务间访问也被认为不安全。通过这种方式，UCS服务网格提供了全面的安全性，保护了网格内外的通信。

UCS服务网格还实现了深度防御，将透明安全能力与多种安全系统集成，提供多重安全防御。身份标识是其中的重要措施之一，支持Kubernetes Service Account、云平台身份等多种身份标识，并自动为网格中的负载生成、更新和吊销证书。JWT认证用于验证JWT令牌中携带的身份信息，双向认证确保网格数据面代理应用之间进行透明的双向认证和访问通道加密。此外，基于JWT认证信息或双向认证的服务身份，结合应用访问内容，UCS服务网格提供细粒度的授权策略，精确控制资源访问权限。

为了实现全面的安全监控，UCS服务网格还提供了访问审计功能，详细记录服务间访问的情况，以便进行安全审计和故障排查。UCS服务网格通过构建零信任安全的应用网络基础设施，实现了默认安全、零信任网络、深度防御和安全措施等安全目标。这些措施确保了网格中应用和数据的安全性，为企业提供了高级别的安全保护，促进了应用的安全部署和通信。

3.6 UCS服务网格节点代理模式

UCS服务网格的节点代理模式提供了一系列关键能力，显著提升了资源占用、请求时延、QPS和sockmap支持等方面的性能。首先，节点代理模式将5K服务单节点内存占用减少了70%，有效降低了资源消耗，提供更高的可扩展性和效率。

其次，通过节点代理模式，平均tp90时延下降了50%，并且在更高的连接情况下，tp90时延可以达到1毫秒。这意味着请求的响应时间更短，提供了更好的用户体验和更高的性能。

另外，节点代理模式还带来了QPS的显著提升。在相同的连接数情况下，相比之前的版本，QPS可以增加一倍，使系统能够处理更多的请求并提高并发性能。

最后，节点代理模式还支持sockmap技术，对于节点内的请求，使用HTTP1协议时，tp90时延降低了13%，QPS提升了14%。在固定10K QPS的情况下，使用HTTP2协议时，tp90时延降低了68%。这些改进使得UCS服务网格能够更好地处理高流量和高并发的场景，提供更快速和高效的请求处理能力。UCS服务网格的节点代理模式通过降低资源占用、减少请求时延、提升QPS和支持sockmap技术等关键能力，提供了更高效、更可靠的应用流量管理和控制。这些改进显著提升了系统的性能和可扩展性，为企业提供了更好的用户体验和更高的业务效率。

四 总结

分布式云原生架构提高了基础设施的稳定性，但也增加了服务治理的复杂性。在这种场景下，UCS服务网格利用UCS舰队底座提供全域流量治理能力，以实现高效的分布式云服务管理。它提供了多种流量治理策略，如流量切分、灰度发布和故障倒换等，从而提升了服务的韧性，帮助用户实现应用的高可用性和可靠性。通过基于UCS舰队底座启用UCS服务网格，并在两个地域的集群中进行管理，可以演示UCS服务网格的全域流量治理能力，包括灰度发布、地域亲和访问、地域故障隔离与转移等功能。

另外，华为云还有ASM平台，其是一个高性能、高可靠性和易用性的全托管服务网格，为多个行业的客户提供服务，包括互联网、汽车、制造、物流和政府等领域的近千家客户。

ASM为多云和混合云环境中的各种应用提供统一的管理视图、零信任安全体系、全域一致的流量行为、多层次的服务韧性管理、智能的应用故障诊断和健康管理等能力。它支持容器、虚拟机、Serverless、传统微服务和Proxyless服务等不同类型的应用。华为云将基于其在服务网格和云原生领域的丰富技术积累和产品解决方案经验，将这些能力应用到其产品中。

在分布式云原生场景下，华为云基于ASM提供透明的应用层能力，构建全域的应用流量管理，实践UCS的分布式应用管理理念。通过提供一致的云原生体验和使用方式，华为云能够将流量、韧性、安全等能力传送到用户所需的任何地方，从而加速用户的业务上云和应用现代化改造。这种能力构建了分布式云全域应用流量治理能力，支持企业的数字化转型和业务创新。

华为云的UCS场景中的应用服务网格ASM提供了高性能、高可靠性和易用性的全托管服务网格，为多个行业的客户提供统一的应用管理视图、安全体系、流量行为、服务韧性管理、应用故障诊断和健康管理等能力，以支持企业的数字化转型和业务创新。

本文参与华为云社区【内容共创】活动第24期 。

任务26：2023华为开发者大赛 · 大赛大咖说系列直播：UCS服务网格：跨云跨集群全域流量治理