无边车服务网格

随着基于 sidecar 的服务网格在成本和运维复杂性方面的持续存在，我们很高兴看到另一种 无边车服务网格（Service mesh without sidecar） 方案的出现：Istio ambient 模式。Ambient 模式引入了一种分层架构，将职责划分为两个关键组件：每个节点的 L4 代理（ztunnel）和每个命名空间的 L7 代理（Waypoint proxy）。ztunnel 确保 L3 和 L4 流量能够高效且安全地传输。它通过为所有节点身份获取证书并处理往返于启用 Ambient 模式工作负载的流量重定向，从而支撑整个 Ambient 数据平面。Waypoint proxy 是一个可选的 Ambient 模式组件，可启用更丰富的 Istio 功能，如流量管理、安全性和可观测性。我们在小规模集群中已经获得了良好的使用体验，并期待随着采用的增长，能在大规模集群中获得更多实践洞察和最佳实践。

服务网格的通常实现形式为与每个服务实例一并部署的反向代理进程，即“边车 (Sidecar)”。尽管这些“边车”属于轻量级进程，但每个新服务实例的创建都意味着一个“边车”的新增，采用服务网格的整体开销和运维复杂度也会随之增加。然而，随着 eBPF 的发展，我们发现一种被称为无边车服务网格的模式能够将网格的功能安全地下沉到操作系统内核层，从而使得相同节点上的服务可以通过套接字透明地通信，而无需额外的代理。您可以通过Cilium 服务网格对上述模式进行尝试，并从“每个服务一个代理”的部署模式简化为“每个节点一个代理”。我们对 eBPF 的能力十分感兴趣，并发现这一服务网格的演进十分重要且值得评估。