什么是服务网格（service mesh），为什么要使用它？

Question

Accepted Answer

**服务网格**（Istio、Linkerd）将跨域网络关注点——重试、超时、mTLS、流量路由、可观测性——从**应用代码中移出**，转移到**sidecar 代理**的网络基础设施层。

## 工作原理

每个服务实例都运行一个**sidecar 代理**（例如 Envoy）。所有流量都通过代理，代理们组成**数据平面**；一个**控制平面**对它们进行配置。

```text
┌─────────────────┐        ┌─────────────────┐
│ Service A       │        │ Service B       │
│  app  ⇄ [proxy] │◀──────▶│ [proxy] ⇄  app  │
└─────────────────┘  mTLS  └─────────────────┘
        ▲ configured by ▲
        └──── Control Plane (Istio/Linkerd) ────┘
```

## 它提供什么

- 服务之间自动启用 **mTLS**（无需修改应用）。
- **弹性**——在代理层实现重试、超时、熔断。
- **流量管理**——灰度发布、A/B 测试、加权路由。
- **可观测性**——统一的指标、链路追踪、日志。

## 策略示例

```yaml
# shift 10% of traffic to v2 (canary), no code change
route:
  - destination: { host: orders, subset: v1 }
    weight: 90
  - destination: { host: orders, subset: v2 }
    weight: 10
```

## 权衡

网格会增加延迟（额外的跳转）、资源开销（每个 pod 一个代理），以及真实的运维复杂性。

## 为什么这很重要

网格在整个系统中标准化了弹性、安全和可观测性，无需每个团队用不同的语言重新实现它们。

但网格很重：只有当你有足够多的服务，使得重复的网络逻辑超过网格的运维成本时，才应该采用它。