本文分享自华为云社区《Kmesh进入CNCF 云原生全景图》，作者：云容器大未来。

近日，Kmesh 正式进入 CNCF 云原生全景图，位于 Service Mesh 类别下。

Kmesh：业界首个内核级Sidecarless流量治理引擎

近年来服务网格逐步流行，但sidecar架构在资源开销、升级部署、时延等方面仍存在挑战，如何消减代理开销，构建sidecarless的服务网格已成为业界共识。

Kmesh从立项之初，就瞄准网格痛点问题，创新性的提出业内首个内核级sidecarless流量治理引擎，通过eBPF + 可编程内核技术将L4~L7治理下沉OS，治理过程无需经过代理组件，实现服务网格内服务通信路径多跳变一跳，彻底消除代理开销，真正实现网格治理sidecarless化。

Kmesh架构图

Kmesh优势

• 高性能

  内核中原生支持 L4~L7 流量治理功能，网格内微服务转发时延降低60%，微服务启动性能提升40%；

• 低开销

  微服务中无需部署sidecar，服务网格数据面开销降低70%；

• 高可用

  内核流量治理不会截断连接，组件升级、重启完全不影响业务已有连接；

• 零信任网络

  支持基于内核mTLS构建零信任网络；

• 安全隔离

  基于eBPF的虚机安全，且具备cgroup级治理隔离；

• 灵活治理模式

  除了全内核治理形态，Kmesh还支持四七层治理分离架构，内核eBPF和waypoint组件分别处理L4和L7流量，允许用户逐步采用Kmesh，从而实现从无网格->安全L4治理->L7治理的平稳过渡；

• 平滑兼容

  与Istio无缝集成，支持xDS协议标准。目前同时支持Istio API和Gateway API，可以与现有sidecar协同工作。