consur提供了一个多云服务网络层来连接、配置和保护服务。对于动态应用程序和基础设施，它提供了一个分布式服务网格，可以跨任何运行时平台和云安全地连接服务。consur与其他服务网格的区别在于，无论您在何处运行工作负载，consur都允许您将所有应用程序链接到一个专用的网络层中。consur还支持多数据中心；它使您能够链接区域、云和混合环境。这篇文章是一个多部分的博客系列文章之一，介绍consur提供的核心用例和功能。您将了解服务网格的好处，您是否应该在您的项目中采用它，以及如何在本系列博客中应用它。最初发布时发布的前一篇博客文章讨论了服务网格问题的安全方面，以及它如何为用户提供一种简单的方法，通过自动配置的相互tl来管理服务标识，并使用基于意图的安全策略来管理服务级别分段。本博客预告了一系列令人兴奋的新功能，这些功能扩展了consur的服务网格功能：可观测性。侧车代理的可配置指标和跟踪。ACL身份验证方法。使应用程序能够使用受信任的第三方身份（如Kubernetes服务帐户）自动获取具有正确权限的ACL令牌。代理的集中配置。集中管理代理配置，如可观测性、路由和流量转移。基于HTTP路径的路由。侧车代理的高级基于路径的路由。流量可以根据HTTP请求路径路由到不同的上游。交通转移。对于sidecar代理的加权服务选择，此功能支持Canary测试和其他加权负载平衡模式。连接多个群集的网关。网关是一种新功能，允许在不同数据中心的应用程序之间进行简单而安全的连接。高级故障切换选项。当本地数据中心中的服务不正常时，高级故障转移选项允许故障转移到不同数据中心中的正常服务。UI增强功能。新的服务和侧车代理视图，自动刷新服务状态和外部仪表板链接。代理生态系统支持。新的插件接口打开了对更多代理供应商（如HAproxy）和社区贡献的代理的支持。我们的第一个版本将包括可观测性和Kubernetes的ACL Auth方法。本文中提到的其他特性将包含在后续版本中。我们将在本系列的其余部分详细讨论每个关键特性。»可观测性当使用服务网格进行服务对服务通信时，所有进出服务的流量都会通过一个侧车代理。代理构成一个传输请求的数据平面，而consur Connect充当一个控制平面，确保所有代理都正确配置并响应工作负载和网络中的动态变化。这种方法还允许可靠性模式的外部化；数据平面可以管理重试、超时、电路中断等。这提高了应用程序的可观察性，因为现在与网络和可靠性相关的指标，这些指标以前由许多不同的应用程序发出，现在由数据平面以一致的方式发射。通过HTTP或gRPC响应代码细分的连接数、传输的字节数、重试次数、超时、开路和请求速率等指标都会透明地发送到像普罗米修斯这样的时间序列数据库，或者像DataDog这样的软件即服务平台。除了指标之外，consur Connect还允许您配置分布式跟踪，允许开发人员可视化应用程序中服务的调用流；这有助于您查明故障并确定延迟。从1.5版开始，consur将支持第4层、第7层HTTP和gRPC的度量和分布式跟踪配置。»ACL身份验证方法在一个不安全的系统中，如果攻击者能够绕过您的外围防火墙并能够与consur通信，他们就能够注册假服务并重新配置意图。访问控制列表（ACL）令牌只允许对客户端所需的consur数据和api进行受限访问。虽然acl对于保护consur数据非常重要，但在使用consur Connect时它们是必不可少的。consur Connect确保服务的身份，这允许您限制服务之间的网络访问。确保服务标识只能由预期服务获得是至关重要的。一旦出现漏洞，ACL令牌通过限制服务可以获得的身份和攻击者可以在conver集群上执行的操作来限制爆炸半径。在建立这样一个系统时，用户面临的主要复杂问题是如何为具有正确访问权的服务创建和分发有效的ACL令牌，以便在服务目录中注册自己，并获得使用安全流量的mTLS证书。为了简化这个问题，consur引入了ACL auth方法。ACL身份验证方法使应用程序能够使用可信的第三方身份（如Kubernetes服务帐户）自动获得具有正确权限的ACL令牌。第一个auth方法将用于Kubernetes，它允许服务使用Kubernetes服务帐户获得有效的ACL令牌。ACL Auth方法增强了在Kubernetes上运行consur Connect的出色用户体验，并大大简化了保护服务的操作方法。»代理的集中配置对于现有的consur数据模型，服务的配置由本地consur代理管理。这将配置与应用程序的部署紧密结合起来。对于只在consur的服务目录中注册的服务，这不会带来太大的问题；但是，对于高级服务网格配置，服务配置和应用程序部署之间需要独立。例如，使用当前数据模型，如果需要更改流量转移设置，则需要使用更新的配置重新部署应用程序。另一个挑战是全局配置服务的可观测性设置。通过集中式配置，您可以从一个中心位置管理它，并且代理会监听conver服务器中的配置更改。更新配置时，所有引用此配置的代理都会自动重新加载其设置，而无需重新部署。下面的示例显示了一个集中式配置的片段，它允许配置StatsD采集器以获得可观测性度量。政策.hclkind="代理默认值"name="全局"配置{特使_dogstatsd_url="udp://127.0.0.1：9125英寸}可以使用命令conver config write将此配置写入consur服务器代理.hcl. 每当注册新的连接服务时，该配置将自动附加到任何特定于服务的配置中。»基于HTTP路径的路由目前，consur Connect中的上游配置只允许基本的第4层网络；数据平面通过本地端口向您的应用程序公开上游服务。consur的一个新特性引入了高级第7层路由的能力；流量可以根据路径或HTTP报头路由到不同的上游服务。虽然本地端口和上游服务之间的1-1关系在许多情况下都很好，但是HTTP路由的功能使得构建聚合服务（如API网关）或用更智能的分散方法替换集中式负载均衡器变得容易。»交通转移流量转移允许您将一定百分比的流量路由到服务的标记实例或完全不同的服务。流量转移很容易实现Canary测试，而不是大爆炸式的发布，您可以将所有流量的一个百分比发送到应用程序的新版本，并对其进行监控，以确保可接受的性能。随着对新版本的信心增强，流量百分比会增加，直到达到100%，此时旧版本可能会被弃用。CONSUR Connect将实现对交通转移配置的完全控制。您还可以结合基于HTTP路径的路由和流量转移来创建高级路由模型。»连接多个群集的网关当一个应用程序跨越多个平台或环境时，可能会有很大的复杂性，而您需要将这些不同的服务链接在一起。跨越不同的云，云到本地以及现代调度器和虚拟机之间的连接需要仔细的网络和安全配置。此配置可确保两个环境之间的子网不会重叠，并强制实施网络分段。传统的方法是使用点对点VPN连接连接不同的环境；但是，这增加了网络规划和正确配置和操作VPN隧道的复杂性。网关是consur Connect的一个新功能，它通过允许平台和环境之间的安全连接来简化此问题。当服务A需要与位于不同物理数据中心的服务B通信时，通过网关安全地代理流量，然后网关将其转发到目标服务。因为数据中心之间的流量由Connect网关代理，所以本地服务不需要直接连接到目标服务。除此之外，系统管理员不需要担心子网重叠或网络地址转换。为了提高安全性和性能，网关无法访问目标服务器证书或密钥。网关利用服务器名称指示（SNI），它是TLS协议的扩展。使用SNI，客户机发送目标主机名作为TLS握手的一部分。网关在