文档中心

概述

百度智能云服务网格（Cloud Service Mesh，简称CSM）全面兼容原生Istio服务网格，提供丰富的负载均衡、路由转发、超时重试、熔断限流、加密鉴权等策略，支持跨集群、多语言、多协议、精细化服务治理，使服务间调用更加便捷、稳定、安全、易于追踪、便于管理。通过服务网格，将微服务治理能力下沉到基础设施层，让业务开发与微服务治理解耦，极大地减轻开发与运维的工作负担。

核心概念

百度智能云服务网格由Istio原生组件、百度增强能力构成的控制平面，和由网关、Sidecar代理组件的数据转发平面两个平面构成，针对微服务治理的规则，总体上控制平面下发策略、数据平面执行策略。
产品完全兼容社区的Istio、Envoy，用户可通过百度智能云控制台、原生API等多种方式进行服务网格的产品管理。

• 产品架构

• 托管网格
  Istio相关组件部署在托管集群中，简化控制平面运维，用户无需运维控制平面。
• 控制平面
  控制平面告诉数据平面如何路由流量的组件，它存储、管理配置，帮助管理员与Sidecar代理进行交互并控制Istio服务网格。在转换分离的架构体系下，微服务间流量不会发送至控制面，在控制面短暂异常时，数据平面也会使用已下发的规则进行流量转发。
• 数据平面
  Istio默认采用Envoy作为Sidecar和Gateway构成数据平面，Envoy代理业务流量，并按控制面下发的策略进行转发。服务网格CSM默认采用Envoy，保持与社区全面的兼容，同时可支持Proxyless等其它的数据面选型。
• Istio 资源
  服务网格的流量管理、可观测、安全等能力，通过Istio的众多CRD实现相关的配置，这些CRD在服务网格CSM中称之为Istio资源。包括Virtual Service、Destination Rule等，服务网格CSM完全兼容社区Istio的CRD。详细CRD及使用方式，参考Istio官方文档。
• 集群管理
  同一个服务网格实例，可以同时治理多个Kubernetes集群中的服务，集群管理帮助用户快速将Kubernetes集群添加至CSM或从CSM移出。请确保添加的Kubernetes集群中运行的代理容器能访问服务网格实例暴露的控制面地址。
• Sidecar 注入
  服务网格的代理容器，以Sidecar容器的形式和业务容器部署在同一个Pod中，Sidecar代理容器不需要用户创建工作负载时手工添加。通过在命名空间或工作负载的Annotation中标识，服务网格就会在工作负载创建时，同时创建好Sidecar代理容器，这一过程称为Sidecar注入。通过服务网格CSM产品，可以实现Sidecar容器资源配额和是否开启注入的快速配置。
• 服务
  服务网格推荐使用Kubernetes服务发现机制，同时服务网格支持用户通过Service Entry CRD手动将服务注册至服务网格。服务网格CSM中的服务，代表着一个提供服务的入口和对应的工作负载。当多个Kubernetes Service或Service Entry注册的是同一个服务的入口时，对于服务网格CSM认为是同一个服务，Kubernetes Service或Service Entry对应的多个工作负载，均视为这一个服务的实例。

优势

托管服务网格

• Istio相关组件部署在托管集群中，简化控制平面运维，用户无需运维控制平面。

完全兼容 Istio

• 快速跟进社区更新。完全兼容原生Istio和Envoy，独立网格支持Istio 1.13，托管服务网格支持 Istio 1.14。

高性能高可用

• 控制面和数据面在Istio社区版本基础上进行优化、加固，提供可视化视图辅助运维。

多集群统一流量管理

• 单实例可管理多Kubernetes集群，实现多集群统一服务发现，统一流量调度。

丰富的治理策略

• 提供丰富的负载均衡、路由转发、超时重试、熔断限流、加密鉴权策略。

功能

流量管理

• 服务网格丰富的流量管理规则可以让用户轻松地控制服务之间的流量，提供开箱即用的熔断、限流、重试等能力，支持动态进行多种负载均衡、百分比路由、基于成份的路由等转发规则。

可观测

• 服务网格内的所有通信无侵入的生成详细的遥测数据，可以提供详细的指标、分布式跟踪和完整的访问日志。

安全

• 提供了强大的身份、强大的策略、透明的TLS加密，以及验证、授权和审计工具来保护您的服务和数据。