Service mesh — microservice’lar orasidagi service-to-service trafikni boshqarish, himoyalash va kuzatish uchun application kodidan ajratilgan infratuzilma qatlami. Data plane proxy yoki node-level komponentlar trafikni uzatadi; control plane ularga routing, mTLS, policy va telemetry konfiguratsiyasini tarqatadi. Mesh biznes logikasini yoki service boundaryni belgilamaydi.
Data plane
Sidecar modelida har workload yonida proxy ishlaydi. Application outbound ulanishi proxy orqali chiqadi, inbound trafik ham avval proxyga keladi. Proxy service discovery, load balancing, retry, timeout va TLSni bajarishi mumkin. Ambient yoki sidecarless modellarda ayrim vazifa node/tunnel va waypoint qatlamlariga bo‘linadi.
Data plane request pathga qo‘shimcha hop, CPU va memory qo‘shadi. Proxy resource limitlari applicationdan alohida rejalashtiriladi. Proxy crash yoki noto‘g‘ri config workload trafikini to‘xtatishi mumkin.
Control plane
Control plane service registry va deklarativ policylarni olib, proxylar uchun konfiguratsiyaga aylantiradi. U odatda har data request yo‘lida turmaydi; mavjud proxy config control plane vaqtincha ishlamasa ham trafikni davom ettirishi mumkin. Yangi workload yoki policy yangilanishi esa kechikadi.
Config distribution eventual bo‘lishi mumkin. Rolling update vaqtida turli proxy qisqa muddat boshqa versiyadagi route’ni ko‘radi. Validation va staged rollout katta blast radiusni kamaytiradi.
mTLS va identitet
Mesh workloadga cryptographic identity va sertifikat beradi. Proxylar o‘zaro mTLS orqali encryption, server va client authentication bajaradi. Authorization policy “frontend identity payments service’ning /charge metodiga kira oladi” kabi qoidani ifodalaydi.
Transport identity end-user authorizationni almashtirmaydi. Frontend nomidan kelgan request qaysi foydalanuvchiga tegishli ekanini application tekshiradi. Certificate rotation avtomatik bo‘lishi mumkin; soat skew va trust bundle xatosi barcha ulanishni buzadi.
Trafik boshqaruvi
Mesh versiya yoki header bo‘yicha routing, canary weight, request mirroring va fault injection beradi. Retry faqat idempotent operatsiyaga mos bo‘lishi kerak. Bir nechta qatlam — client library, mesh va gateway — har biri retry qilsa urinishlar ko‘payib ketadi.
Outlier detection nosoz endpointni vaqtincha pooldan chiqaradi. Circuit breaking connection va pending request limitini boshqarishi mumkin. Application-level breaker business error semantikasini yaxshiroq biladi; mesh transport/statusga qaraydi.
Observability
Proxy barcha trafikni ko‘rgani uchun request count, latency va response code metriclarini kodsiz beradi. Trace context headerlarini uzatadi va span yaratishi mumkin. Application ichidagi business bosqichlar uchun manual instrumentation baribir kerak.
Encrypted payload proxyda terminate bo‘lsa telemetry ko‘rinadi, end-to-end application TLS ichida bo‘lsa mesh HTTP atributini ko‘rmasligi mumkin. Protocol detection xato qilsa TCP trafik HTTP sifatida noto‘g‘ri talqin qilinadi.
Egress va ingress
Ingress gateway tashqi trafikni mesh xizmatlariga olib kiradi. Egress gateway tashqi APIga chiqishni markaziy policy, audit va fixed source IP bilan boshqarishi mumkin. Barcha egressni bitta gatewayga bog‘lash failure va bandwidth bottleneck yaratishi mumkin; high availability kerak.
Meshni joriy etishdan oldin service inventory, identity, port/protocol va ownership aniq bo‘ladi. U distributed monolithni mustaqil xizmatlarga aylantirmaydi, faqat aloqa qatlamini standartlashtiradi.
Multi-cluster
Bir nechta cluster yoki regionda mesh service nomlari, trust domain va east-west gateway orqali bog‘lanadi. Locality-aware routing avval yaqin endpointni tanlaydi, region fail bo‘lsa masofaviyga o‘tadi. Bir xil service nomining qaysi clusterda authoritative ekani va data residency policy aniq bo‘lishi kerak.
Upgrade jarayoni
Control plane va data-plane proxy versiyalari compatibility matritsasiga ega. Canary control plane yoki revision-based rollout workloadlarni bosqichma-bosqich yangi proxyga o‘tkazadi. Birdan barcha sidecarni restart qilish capacity va connection uzilishiga sabab bo‘lishi mumkin. Upgrade oldidan config validation va rollback artefakti tayyorlanadi.
Bog‘liq tushunchalar
Sidecar proxy, mTLS, Service discovery, Traffic management, Distributed tracing, Zero Trust