技能 service-mesh-expert
📦

service-mesh-expert

安全

使用 Istio 和 Linkerd 设计服务网格架构

微服务需要安全、可观测的通信而不引入复杂性。本技能提供关于 Istio 和 Linkerd 部署的专家指导,包括零信任网络和流量管理。

支持: Claude Codex Code(CC)
🥉 74 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“service-mesh-expert”。 请求 mTLS 配置

预期结果:

PeerAuthentication 和 DestinationRule 配置的逐步说明,用于在整个集群范围内强制执行严格的 mTLS,从 permissive 模式迁移路径开始,并提供验证命令以确认加密。

正在使用“service-mesh-expert”。 调试服务连接问题

预期结果:

系统化的故障排除清单,包括 sidecar 注入验证、VirtualService 路由分析、授权策略冲突以及带有预期输出的 istioctl 调试命令。

安全审计

安全
v1 • 2/25/2026

Static analysis flagged 4 patterns that are all false positives. Line 22 uses Markdown backticks for documentation reference, not shell execution. Lines 3, 46, and 60 contain no cryptographic code - they reference mTLS conceptually in documentation. This is a markdown-only skill with no executable code, external commands, or security risks.

1
已扫描文件
61
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
100
安全
91
规范符合性

你能构建什么

Kubernetes 平台工程师

为处理高可用性要求的生产微服务平台部署 Istio 服务网格,包含 mTLS 强制执行和流量策略。

DevOps 团队负责人

使用 Istio VirtualService 和 DestinationRule 配置实现带有流量拆分和自动回滚的金丝雀部署。

安全架构师

设计零信任网络架构,在所有命名空间中使用 mTLS 和 AuthorizationPolicy 强制执行服务间身份验证。

试试这些提示

基本服务网格设置
帮我在 Kubernetes 集群上设置 Istio 服务网格。我有 3 个命名空间(dev、staging、prod),需要在服务之间使用基本的 mTLS。安装步骤和初始配置是什么?
流量路由配置
我需要将 90% 的流量路由到 version-1,10% 的流量路由到 version-2 的支付服务。创建 Istio VirtualService 和 DestinationRule YAML 配置并附带解释。
熔断器实现
为我的订单服务设计熔断器配置以优雅地处理上游故障。包括使用 Istio 的连接池设置、异常检测和重试策略。
多集群联合
规划跨 AWS EKS 和 GCP GKE 的多集群 Istio 网格。包括跨集群服务发现、证书管理以及两个网格之间的流量联合的要求。

最佳实践

  • 从 PERMISSIVE mTLS 模式开始,在验证所有服务正常通信后逐步迁移到 STRICT
  • 在生产部署之前实施熔断器和重试策略,而不是在故障发生后
  • 使用命名空间级别的策略隔离,为每个环境应用不同的安全和流量规则

避免

  • 在未先在 permissive 模式下测试的情况下在整个集群范围内启用严格 mTLS - 会导致立即的服务中断
  • 假设服务可靠而跳过熔断器配置 - 在负载下会发生级联故障
  • 未监控实际 CPU 和内存使用率就过度配置 sidecar 资源 - 不必要地增加成本

常见问题

对于我的使用场景,Istio 和 Linkerd 有什么区别?
Istio 提供全面的流量管理、安全性和可观测性,具有更多的配置选项但复杂度更高。Linkerd 提供更简单的 mTLS 和基础可观测性,资源开销更低。对于复杂的路由需求选择 Istio,对于需要最小运维负担的简单 mTLS 选择 Linkerd。
服务网格是否会给我的服务增加显著的延迟?
典型的 sidecar 代理开销是每个请求 3-10ms 用于 mTLS 和路由。Linkerd 通常比 Istio 具有更低的开销(2-5ms 对比 5-10ms)。安全性和可观测性的好处通常超过延迟成本,但在生产部署前应测量您的具体工作负载。
我可以在非 Kubernetes 工作负载上使用服务网格吗?
Istio 通过 istio-vm 集成支持虚拟机,允许混合部署。Linkerd 需要 Kubernetes。对于混合环境,Istio 是更好的选择,需要适当的 VM sidecar 代理配置。
我如何通过服务网格处理数据库连接?
数据库流量通常使用流量排除规则绕过网格。为数据库端口配置 sidecar 拦截排除,或使用出口网关进行受控的外部访问并采用适当的 TLS 源起。
我应该为服务网格设置哪些监控?
监控 sidecar 代理 CPU 和内存、请求延迟百分位数(p50、p95、p99)、错误率、mTLS 连接状态和配置同步健康状况。使用内置的 Istio 或 Linkerd 仪表板与 Prometheus 和 Grafana 集成。
如何回滚有问题的网格配置?
在 Git 中保存版本化的 Istio 配置。使用 kubectl apply 与之前的清单版本进行立即回滚。对于严重问题,在命名空间级别禁用 sidecar 注入并重新部署 pod 以临时绕过网格。

开发者详情

文件结构

📄 SKILL.md