平台功能总体说明

产品能力概述

服务网格包括三大模块：标准服务组件、服务治理和平台管理端，每个模块包括对应的功能点。系统整体功能架构如下所示：

标准服务组件包括网格Istio、服务代理（基于Envoy）、流量管控、网关路由、认证与鉴权等基础组件功能，同时具备服务多协议发布、多种分布式开发框架并存的能力，目前主要是对Spring Cloud Rest、Dubbo RPC框架和协议的接入支持。该功能的主要用途及目的如下所示。 * 将企业内的服务进行统一管控，形成一致的服务注册、服务发现标准与规范，降低不同业务部门、不同开发框架、不同协议带来的系统部署及管理的复杂性，也便于从整体视角审视企业内的服务部署、调用、资源使用情况。 * 统一服务代理，采用sidecar的部署模式，使应用开发阶段需要引入或者编码的工作逐步下沉到基础设施（服务网格），降低了应用开发、构建的成本，既可以避免服务治理模块升级带来的服务重新构建升级，也为企业服务开发语言的多样化提供了支持。 * 多协议发布，主要是支持多协议开发的业务服务，快速接入网格进行服务发现、及服务治理。 * 多种分布式框架，主要是指Dubbo、Spring Cloud等主流分布式开发框架，包括兼容框架自身的服务注册、发现机制，保障原有分布式框架的服务可以平滑的接入到服务网格的统一框架下，以最低的成本接入已有业务系统。 * 网关路由主要是指允许用户定义路由规则，并由系统自动将对应的配置下发到对应服务的服务代理（sidecar），进而由sidecar按照配置执行路由转发等行为。 * 服务治理，主要提供对服务自身以及服务之间访问的治理能力，包括负载均衡、健康检查、网关路由等功能。 * 服务监控，包括服务实时日志、服务使用资源的实时/历史监控，用来对服务及其资源使用情况进行管理。

容器云平台可以是原生K8s或其它PaaS平台，不局限于时速云的TCE容器云平台，对容器微服务提供完整的底层容器资源调度和运维能力。 服务网格与各产品之间的关系如下图所示。

• 网格外服务通过网格网关访问网格内服务
• 传统微服务框架（TMF）可作为外部注册中心接入网格，其注册中心中的服务也可一键接入网格，通过网格网关暴露对外访问，使用网格治理的能力
• 接入网格的服务也可接入链路，实现链路追踪的功能，支持全链路拓扑的查看、trace链路的查询等
• 接入网格的服务也可开启在线诊断，查看线程监控，进行方法诊断，下载火焰图进行分析等
• 当TDSF配合时速云TCE使用时，网格服务基于日志服务可进行原始日志查询，结构化分析查询等

主要业务流程

前提：已安装网格Istio 首先由平台管理员在服务网格上为子公司或业务系统（根据实际需要）创建租户，并在租户内根据需要创建项目/项目角色，添加项目成员，然后项目成员将具体项目对应业务系统按需部署于容器环境，项目维度打开服务网格开关，一键接入服务网格。系统接入完毕后，应用运维人员为该业务系统创建各项服务治理策略。最后通过平台界面或告警通知对业务系统运行状态进行日常的监控工作，如果发现问题，可以调整服务治理策略。 平台的主要业务流程如下图所示。PaaS平台可以是时速云TCE，也可以是原生K8s或其它PaaS平台。

基本概念

序号	名词	说明
1	网格	部署的一套Istio环境，支持多集群、多租户部署模式，实现生产环境、测试环境的隔离部署使用
2	集群管理	同一个网格中，可治理一个或多个Kubernetes 集群中的服务，集群管理帮助用户快速将Kubernetes集群添加或移出网格。每个网格中只有一个primary集群，可以没有或者有多个remote集群。控制平面在primary集群
3	网格网关	网格的入口网关ingress gateway，为某网格创建一个入口网关服务时，会部署一个Kubernetes service和Deployment 资源到指定的用户集群中
4	部署方式	容器部署、传统主机部署
5	网关路由	路由关联网格的入口网关，通过配置路由规则暴露后端服务对外访问，支持HTTP\HTTPS\TCP访问协议
6	负载均衡	随机、轮询、会话保持
7	Envoy	Envoy is an open source edge and service proxy, designed for cloud-native applications.开源的边缘和服务代理，用于云原生应用
8	Sidecar	服务边车进程，负责拦截访问服务的流量，以便对服务流量进行管控，对所有流入与流出的网络请求进行拦截，实现各种网络策略，例如服务发现与负载均衡、流量拆分、故障注入（fault injection）、熔断器以及分阶段发布等功能。
9	Kubernetes	容器调度和管理框架