14、服务网格：功能、案例与选型指南

服务网格：功能、案例与选型指南

1. 服务网格分类

服务网格有不同的实现风格，下面的表格展示了基于库、基于代理和基于操作系统/内核的服务网格之间的差异：
| 使用场景 | 基于库（无代理） | 基于边车代理 | 基于操作系统/内核 |
| — | — | — | — |
| 语言/平台支持 | 单语言库，平台无关 | 语言无关，广泛的平台支持 | 语言无关，操作系统级支持 |
| 运行机制 | 打包并在应用程序内运行 | 在单独的进程中与应用程序并行运行 | 作为操作系统内核的一部分运行，可完全访问用户和内核空间 |
| 升级服务网格组件 | 需要重新构建和重新部署整个应用程序 | 需要重新部署边车组件（通常可以零停机） | 需要更新/修补内核程序 |
| 可观测性 | 全面洞察应用程序和流量，易于传播上下文 | 仅洞察流量，传播上下文需要语言支持或垫片 | 仅洞察流量，传播上下文需要语言支持或垫片 |
| 安全威胁模型 | 库代码作为应用程序的一部分运行 | 边车通常与应用程序共享进程和网络命名空间 | 应用程序通过系统调用直接与操作系统交互 |

2. 案例研究：使用服务网格进行路由、可观测性和安全控制

本部分将通过几个具体示例，展示如何使用服务网格来实现服务间流量的路由、观测和安全分段（通过授权）。所有示例都将使用 Kubernetes，因为它是服务网格最常用的部署平台，但这些概念适用于每个服务网格支持的所有平台和基础设施。

2.1 使用 Istio 进行路由

可以使用 istioctl 工具将 Istio 安装到 Kuberne