服务网格Istio与Spring Cloud:两套体系的共存与迁移策略
服务网格Istio与Spring Cloud:两套体系的共存与迁移策略
适读人群:正在评估或实施服务网格的后端工程师 | 阅读时长:约26分钟 | Spring Boot 3.2 / Istio 1.20
开篇故事
去年我们公司开始推进"全面上K8s"的项目,基础设施团队顺势提出要引入Istio,说可以用服务网格替代Spring Cloud里的很多功能,比如熔断、限流、负载均衡,应用层代码可以"瘦身"。
我是支持Istio的,但也提出了一个现实问题:我们有几十个Spring Cloud微服务,都用着Spring Cloud LoadBalancer、Sentinel、Sleuth,这些功能和Istio在功能上高度重叠。如果两套体系同时存在,到底谁说了算?比如Spring Cloud LoadBalancer在应用层做了轮询,Istio Sidecar又在网络层做了一遍,会不会干扰?Sentinel的限流和Istio的限流规则会不会冲突?
那段时间我研究了很多资料,也在测试环境做了大量验证,弄清楚了两套体系的功能边界和共存时的最佳实践。今天把这些经验系统地写出来。
一、核心问题分析
Spring Cloud和Istio在功能上有大量重叠,主要体现在以下几个方面:
| 功能 | Spring Cloud | Istio |
|---|---|---|
| 服务发现 | Nacos/Eureka | Kubernetes Service + Envoy |
| 负载均衡 | Spring Cloud LoadBalancer | Envoy(L7 LB) |
| 熔断 | Resilience4j | Outlier Detection |
| 限流 | Sentinel | EnvoyFilter/RateLimitService |
| 链路追踪 | Micrometer Tracing | Envoy自动注入Trace头 |
| mTLS | 无 | 自动mTLS(零信任网络) |
| 流量管理 | Spring Cloud Gateway | VirtualService/DestinationRule |
当两套体系同时存在时,有三种处理策略:
策略一:功能重叠时,以Istio为准,屏蔽Spring Cloud同类功能。适合已经熟悉Istio且基础设施运维能力强的团队。Istio在网络层的功能更全面,不受编程语言限制。
策略二:功能互补,各司其职。Istio负责网络层的功能(mTLS、流量镜像、蓝绿部署),Spring Cloud负责业务层的功能(业务熔断、业务限流、应用层认证)。这是过渡期最常见的选择。
策略三:逐步迁移,最终以Istio为主。先引入Istio,关闭Spring Cloud中与Istio重叠的功能,逐步把流量管理的控制权交给Istio。
二、原理深度解析
2.1 Istio Sidecar与Spring Cloud的请求处理链路
注意:当Spring Cloud LoadBalancer和Istio的DestinationRule同时生效时,LB发生了两次,可能导致预期外的流量分配。
2.2 链路追踪的配合
2.3 功能迁移路径
三、完整代码实现
3.1 关闭Spring Cloud LoadBalancer(交给Istio处理)
当迁移到Istio后,Spring Cloud LoadBalancer会干扰Istio的流量路由,需要关闭:
spring:
cloud:
loadbalancer:
enabled: false # 关闭Spring Cloud LoadBalancer
# 此时Feign直接通过Kubernetes Service名访问,由Istio的Envoy做LBFeign客户端配置也需要相应调整:
// 迁移到Istio后,FeignClient的url不再用服务发现,直接用K8s Service名
@FeignClient(
name = "inventory-service",
url = "http://inventory-service.default.svc.cluster.local"
// 或者直接用服务名,K8s DNS会解析
// url = "http://inventory-service"
)
public interface InventoryServiceClient {
@GetMapping("/api/inventory/check")
boolean checkStock(@RequestParam String productId, @RequestParam int quantity);
}3.2 Istio VirtualService配置(灰度路由)
原来用Spring Cloud Gateway的灰度路由,迁移到Istio的VirtualService后:
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: order-service
spec:
hosts:
- order-service
http:
# 灰度路由:带X-Gray-Tag: true的请求路由到v2
- match:
- headers:
X-Gray-Tag:
exact: "true"
route:
- destination:
host: order-service
subset: v2
# 其他请求:90%到v1,10%到v2(金丝雀发布)
- route:
- destination:
host: order-service
subset: v1
weight: 90
- destination:
host: order-service
subset: v2
weight: 10
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: order-service
spec:
host: order-service
subsets:
- name: v1
labels:
version: v1 # 对应Pod的label: version: v1
- name: v2
labels:
version: v2
# 连接池配置(相当于Spring Cloud的线程池限制)
trafficPolicy:
connectionPool:
tcp:
maxConnections: 100
http:
http1MaxPendingRequests: 100
http2MaxRequests: 1000
# 熔断配置(相当于Resilience4j的Outlier Detection)
outlierDetection:
consecutive5xxErrors: 5
interval: 10s
baseEjectionTime: 30s
maxEjectionPercent: 503.3 共存期的配置调整
在两套体系共存期间,需要特别注意以下配置:
# 共存期的application.yml
spring:
cloud:
# 保留Spring Cloud的业务熔断(Sentinel),但关闭与Istio重叠的功能
loadbalancer:
enabled: true # 暂时保留,待全面迁移后关闭
# Micrometer Tracing配置:与Istio的TraceId头兼容
management:
tracing:
sampling:
probability: 1.0
zipkin:
tracing:
endpoint: http://jaeger-collector:9411/api/v2/spans
# 关键:Micrometer要能识别Istio/Envoy注入的B3 TraceId格式
spring:
sleuth:
propagation:
type: B3 # 与Istio Envoy默认使用的B3格式保持一致3.4 分布式追踪中的TraceId兼容
Istio Envoy使用B3格式的TraceId头,Spring Boot 3.x的Micrometer Tracing默认支持W3C Trace Context格式。需要配置成B3格式才能和Istio的链路追踪无缝融合:
package com.laozhang.istio.config;
import io.micrometer.tracing.Tracer;
import io.micrometer.tracing.brave.bridge.BraveBaggageManager;
import io.micrometer.tracing.brave.bridge.BraveTracer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
@Configuration
public class TracingConfig {
/**
* 配置B3 Propagation格式,与Istio Envoy兼容
* Istio默认使用B3(单Header或多Header格式)
*/
@Bean
public brave.propagation.Propagation.Factory b3PropagationFactory() {
// B3_MULTI = x-b3-traceid, x-b3-spanid, x-b3-sampled (多个Header)
// B3_SINGLE = b3 (单个Header)
// Istio Envoy默认使用B3_MULTI
return brave.propagation.B3Propagation.newFactoryBuilder()
.injectFormat(brave.propagation.B3Propagation.Format.MULTI)
.build();
}
}3.5 Sentinel与Istio限流共存的配置
Sentinel做业务级限流(按用户、按接口参数),Istio做网络级限流(按连接数、按全局QPS):
// Sentinel:精细化业务限流(Istio做不到这个粒度)
@SentinelResource(
value = "queryOrderByUser",
blockHandler = "blockQueryOrder"
)
public List<Order> queryOrdersByUser(String userId, int page, int size) {
return orderRepository.findByUserId(userId, page, size);
}# Istio:全局连接限流(防止服务过载)
# 在DestinationRule中配置,不需要修改应用代码
trafficPolicy:
connectionPool:
http:
http1MaxPendingRequests: 100
http2MaxRequests: 500四、生产配置与调优
4.1 迁移检查清单
共存期需要检查的配置项:
# 检查项1:Feign URL是否需要从lb://改成K8s Service名
# 检查项2:链路追踪是否使用B3格式(与Istio兼容)
# 检查项3:Spring Cloud LoadBalancer是否会干扰Istio路由规则
# 检查项4:两套熔断是否会叠加导致过度熔断
# 检查项5:日志中的TraceId是否与Istio的TraceId一致4.2 Istio Sidecar注入配置
apiVersion: v1
kind: Namespace
metadata:
name: production
labels:
# 给整个命名空间开启Sidecar自动注入
istio-injection: enabled五、踩坑实录
坑一:Spring Cloud LoadBalancer和Istio DestinationRule同时生效,流量分配结果不符合预期。
我们配置了Istio VirtualService:90%流量给v1,10%给v2。但实际上Spring Cloud LoadBalancer先在应用层做了轮询,把请求均匀发到v1和v2的实例上,再到Envoy时又经过一次DestinationRule的权重路由,两次叠加的结果不是90:10,而是非常复杂的比例。
解决方案:使用Istio做流量管理时,必须关闭Spring Cloud LoadBalancer(spring.cloud.loadbalancer.enabled=false),或者使用Kubernetes Service(不指定Pod subset)作为Feign的目标,让Istio全权负责流量路由。
坑二:链路追踪在Istio中断链,Envoy的Span和应用的Span不在同一条链路里。
原因是Istio Envoy使用B3格式TraceId头(x-b3-traceid),而Micrometer默认使用W3C TraceContext格式(traceparent)。两边用不同的Header名,互相看不到对方的TraceId,导致链路断开。
解决方案:配置Micrometer使用B3格式,或者在Istio里配置支持W3C格式(需要Istio 1.16+)。
坑三:mTLS开启后,Spring Boot的Actuator健康检查失败。
Istio开启严格mTLS后,所有Service间通信都需要mTLS。但是K8s的健康检查(存活/就绪探针)是直接访问Pod的,没有经过Envoy,所以不带mTLS证书,会被拒绝。
解决方案:K8s健康检查使用exec方式(在容器内执行curl)而不是httpGet方式,或者为健康检查端口配置Istio的PermissiveMTLS(混合模式)。
六、总结
Istio和Spring Cloud并不是非此即彼的关系。Istio擅长网络层的统一治理(mTLS、流量权重、熔断检测),Spring Cloud擅长业务层的精细化控制(业务熔断逻辑、按用户维度的限流)。共存期的关键是避免功能重叠导致的相互干扰,尤其是LoadBalancer和链路追踪格式问题。迁移完成后,应用代码可以大幅简化,去掉大量框架依赖,这是Istio最大的价值。