本文永久链接 – https://tonybai.com/2023/10/13/multiple-ways-to-bind-certificates-on-go-tls-server-side

随着互联网的发展，网站提供的服务类型和规模不断扩大，同时也对Web服务的安全性提出了更高的要求。TLS(Transport Layer Security)已然成为Web服务最重要的安全基础设施之一。默认情况下，一个TLS服务器通常只绑定一个证书，但当服务复杂度增加时，单一证书已然难以满足需求。这时，服务端绑定多个TLS证书就成为一个非常实用的功能。

Go语言中的net/http包和tls包对TLS提供了强大的支持，在密码学和安全专家Filippo Valsorda的精心设计下，Go提供了多种TLS服务端绑定证书的方式，本文将详细探讨服务端绑定TLS证书的几种方式，包括绑定单个证书、多个证书、自定义证书绑定逻辑等。我会配合示例代码，了解每种方式的使用场景、实现原理和优缺点。

注：本文假设读者已熟悉基本的TLS使用方法，并具备Go语言编程经验。如果你不具备Go语言基础知识，可以将学习我撰写的极客时间专栏《Go语言第一课》作为你入门Go的起点。

1. 热身：制作证书

为了后续示例说明方便，我们先来把示例所需的私钥和证书都做出来，本文涉及的证书以及他们之间的签发关系如下图：

注：示例使用的自签名根证书。

从图中我们看到，我们证书分为三个层次，最左边是CA的根证书(root certificate，比如ca-cert.pem)，之后是根CA签发的中间CA证书(intermediate certificate，比如inter-cert.pem)，从安全和管理角度出发，真正签发服务器证书的都是这些中间CA；最右侧则是由中间CA签发的叶子证书(leaf certificate，比如leaf-server-cert.pem)，也就是服务器配置的服务端证书(server certificate)，我们为三个不同域名创建了不同的服务器证书。

在这里，我们制作上述证书没有使用类似openssl这样的工具，而是通过Go代码生成的，下面是生成上述证书的代码片段：

// tls-certs-binding/make_certs/main.go

func main() {
    // 生成CA根证书密钥对
    caKey, err := rsa.GenerateKey(rand.Reader, 2048)
    checkError(err)

    // 生成CA证书模板
    caTemplate := x509.Certificate{
        SerialNumber: big.NewInt(1),
        Subject: pkix.Name{
            Organization: []string{"Go CA"},
        },
        NotBefore:             time.Now(),
        NotAfter:              time.Now().Add(time.Hour * 24 * 365),
        KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
        BasicConstraintsValid: true,
        IsCA:                  true,
    }

    // 使用模板自签名生成CA证书
    caCert, err := x509.CreateCertificate(rand.Reader, &caTemplate, &caTemplate, &caKey.PublicKey, caKey)
    checkError(err)

    // 生成中间CA密钥对
    interKey, err := rsa.GenerateKey(rand.Reader, 2048)
    checkError(err)

    // 生成中间CA证书模板
    interTemplate := x509.Certificate{
        SerialNumber: big.NewInt(2),
        Subject: pkix.Name{
            Organization: []string{"Go Intermediate CA"},
        },
        NotBefore:             time.Now(),
        NotAfter:              time.Now().Add(time.Hour * 24 * 365),
        KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
        BasicConstraintsValid: true,
        IsCA:                  true,
    }

    // 用CA证书签名生成中间CA证书
    interCert, err := x509.CreateCertificate(rand.Reader, &interTemplate, &caTemplate, &interKey.PublicKey, caKey)
    checkError(err)

    // 生成叶子证书密钥对
    leafKey, err := rsa.GenerateKey(rand.Reader, 2048)
    checkError(err)

    // 生成叶子证书模板,CN为server.com
    leafTemplate := x509.Certificate{
        SerialNumber: big.NewInt(3),
        Subject: pkix.Name{
            Organization: []string{"Go Server"},
            CommonName:   "server.com",
        },
        NotBefore:    time.Now(),
        NotAfter:     time.Now().Add(time.Hour * 24 * 365),
        KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
        ExtKeyUsage:  []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
        IPAddresses:  []net.IP{net.ParseIP("127.0.0.1")},
        DNSNames:     []string{"server.com"},
        SubjectKeyId: []byte{1, 2, 3, 4},
    }

    // 用中间CA证书签名生成叶子证书
    leafCert, err := x509.CreateCertificate(rand.Reader, &leafTemplate, &interTemplate, &leafKey.PublicKey, interKey)
    checkError(err)

    // 生成server1.com叶子证书
    leafKey1, _ := rsa.GenerateKey(rand.Reader, 2048)

    leafTemplate1 := x509.Certificate{
        SerialNumber: big.NewInt(4),
        Subject: pkix.Name{
            CommonName: "server1.com",
        },
        NotBefore: time.Now(),
        NotAfter:  time.Now().Add(time.Hour * 24 * 365),

        KeyUsage:    x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
        ExtKeyUsage: []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
        DNSNames:    []string{"server1.com"},
    }

    leafCert1, _ := x509.CreateCertificate(rand.Reader, &leafTemplate1, &interTemplate, &leafKey1.PublicKey, interKey)

    // 生成server2.com叶子证书
    leafKey2, _ := rsa.GenerateKey(rand.Reader, 2048)

    leafTemplate2 := x509.Certificate{
        SerialNumber: big.NewInt(5),
        Subject: pkix.Name{
            CommonName: "server2.com",
        },
        NotBefore: time.Now(),
        NotAfter:  time.Now().Add(time.Hour * 24 * 365),

        KeyUsage:    x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
        ExtKeyUsage: []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
        DNSNames:    []string{"server2.com"},
    }

    leafCert2, _ := x509.CreateCertificate(rand.Reader, &leafTemplate2, &interTemplate, &leafKey2.PublicKey, interKey)

    // 将证书和密钥编码为PEM格式
    caCertPEM := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: caCert})
    caKeyPEM := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(caKey)})

    interCertPEM := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: interCert})
    interKeyPEM := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(interKey)})

    leafCertPEM := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: leafCert})
    leafKeyPEM := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(leafKey)})

    leafCertPEM1 := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: leafCert1})
    leafKeyPEM1 := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(leafKey1)})

    leafCertPEM2 := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: leafCert2})
    leafKeyPEM2 := pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: x509.MarshalPKCS1PrivateKey(leafKey2)})

    // 将PEM写入文件
    writeDataToFile("ca-cert.pem", caCertPEM)
    writeDataToFile("ca-key.pem", caKeyPEM)

    writeDataToFile("inter-cert.pem", interCertPEM)
    writeDataToFile("inter-key.pem", interKeyPEM)

    writeDataToFile("leaf-server-cert.pem", leafCertPEM)
    writeDataToFile("leaf-server-key.pem", leafKeyPEM)

    writeDataToFile("leaf-server1-cert.pem", leafCertPEM1)
    writeDataToFile("leaf-server1-key.pem", leafKeyPEM1)

    writeDataToFile("leaf-server2-cert.pem", leafCertPEM2)
    writeDataToFile("leaf-server2-key.pem", leafKeyPEM2)
}

运行这个程序后，当前目录下就会出现如下私钥文件(xx-key.pem)和证书文件(xx-cert.pem)：

$ls *pem
ca-cert.pem     inter-cert.pem      leaf-server-cert.pem    leaf-server1-cert.pem   leaf-server2-cert.pem
ca-key.pem      inter-key.pem       leaf-server-key.pem leaf-server1-key.pem    leaf-server2-key.pem

制作完证书后，我们就来看看日常使用最多的绑定单一TLS证书的情况。

2. 绑定单一TLS证书

做过web应用的读者，想必对绑定单一TLS证书的实现方式并不陌生。服务端只需要加载一对服务端私钥与公钥证书即可对外提供基于TLS的安全网络服务，这里一个echo服务为例，我们来看下服务端的代码：

// tls-certs-binding/bind_single_cert/sever/main.go

// 服务端
func startServer(certFile, keyFile string) {
    // 读取证书和密钥
    cert, err := tls.LoadX509KeyPair(certFile, keyFile)
    if err != nil {
        log.Fatal(err)
    }

    // 创建TLS配置
    config := &tls.Config{
        Certificates: []tls.Certificate{cert},
    }

    // 启动TLS服务器
    listener, err := tls.Listen("tcp", ":8443", config)
    if err != nil {
        log.Fatal(err)
    }
    defer listener.Close()

    log.Println("Server started")

    for {
        conn, err := listener.Accept()
        if err != nil {
            log.Println(err)
            continue
        }
        handleConnection(conn)
    }
}

func handleConnection(conn net.Conn) {
    defer conn.Close()
    // 处理连接...
    // 循环读取客户端的数据
    for {
        buf := make([]byte, 1024)
        n, err := conn.Read(buf)
        if err != nil {
            // 读取失败则退出
            return
        }

        // 回显数据给客户端
        s := string(buf[:n])
        fmt.Printf("recv data: %s\n", s)
        conn.Write(buf[:n])
    }
}

func main() {
    // 启动服务器
    startServer("leaf-server-cert.pem", "leaf-server-key.pem")
}

根据TLS的原理，客户端在与服务端的握手过程中，服务端会将服务端证书(leaf-server-cert.pem)发到客户端供后者验证，客户端使用服务器公钥证书校验服务器身份。这一过程的实质是客户端利用CA证书中的公钥或中间CA证书中的公钥对服务端证书中由CA私钥或中间CA私钥签名的数据进行验签。

// tls-certs-binding/bind_single_cert/client/main.go

func main() {
    caCert, err := ioutil.ReadFile("inter-cert.pem")
    if err != nil {
        log.Fatal(err)
    }

    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(caCert)

    config := &tls.Config{
        RootCAs: caCertPool,
    }

    conn, err := tls.Dial("tcp", "server.com:8443", config)
    if err != nil {
        log.Fatal(err)
    }
    defer conn.Close()

    // 每秒发送信息
    ticker := time.NewTicker(time.Second)
    for range ticker.C {
        msg := "hello, tls"
        conn.Write([]byte(msg))

        // 读取回复
        buf := make([]byte, len(msg))
        conn.Read(buf)
        log.Println(string(buf))
    }

}

这里我们使用了签发了leaf-server-cert.pem证书的中间CA(inter-cert.pem)来验证服务端证书(leaf-server-cert.pem)的合法性，毫无疑问这是会成功的！

// server
$go run main.go
2023/10/05 22:49:17 Server started

// client

$go run main.go
2023/10/05 22:49:22 hello, tls
2023/10/05 22:49:23 hello, tls
... ...

注：运行上述代码之前，需修改/etc/hosts文件，添加server.com的IP为127.0.0.1。

不过要注意的是，在这里用CA根证书(ca-cert.pem)直接验证叶子证书(leaf-server-cert.pem)会失败，因为根证书不是叶子证书的直接签发者，必须通过验证证书链来建立根证书和叶子证书之间的信任链。

3. 证书链

实际生产中，服务器实体证书和根证书分别只有一张，但中间证书可以有多张，这些中间证书在客户端并不一定存在，这就可能导致客户端与服务端的连接无法建立。通过openssl命令也可以印证这一点：

// 在make_certs目录下

// CA根证书无法直接验证叶子证书
$openssl verify -CAfile ca-cert.pem leaf-server-cert.pem
leaf-server-cert.pem: O = Go Server, CN = server.com
error 20 at 0 depth lookup:unable to get local issuer certificate

// 证书链不完整，也无法验证
$openssl verify -CAfile inter-cert.pem leaf-server-cert.pem
leaf-server-cert.pem: O = Go Intermediate CA
error 2 at 1 depth lookup:unable to get issuer certificate

// 需要用完整证书链来验证
$openssl verify -CAfile ca-cert.pem -untrusted inter-cert.pem leaf-server-cert.pem
leaf-server-cert.pem: OK

为此在建连阶段，服务端不仅要将服务器实体证书发给客户端，还要发送完整的证书链(如下图所示)。

证书链的最顶端是CA根证书，它的签名值是自己签名的，验证签名的公钥就包含在根证书中，根证书的签发者（Issuer）与使用者（Subject）是相同的。除了根证书，每个证书的签发者（Issuer）是它的上一级证书的使用者（Subject）。以上图为例，下列关系是成立的：

- ca-cert.pem的Issuer == ca-cert.pem的Subject
- inter1-cert.pem的Issuer == ca-cert.pem的Subject
- inter2-cert.pem的Issuer == inter1-cert.pem的Subject
... ...
- interN-cert.pem的Issuer == interN-1-cert.pem的Subject
- leaf-server-cert.pem的Issuer == interN-cert.pem的Subject

每张证书包含的重要信息是签发者(Issuer)、数字签名算法、签名值、使用者（Subject）域名、使用者公钥。除了根证书，每个证书（比如inter2-cert.pem证书）被它的上一级证书（比如inter1-cert.pem证书）对应的私钥签名，签名值包含在证书中，上一级证书包含的公钥可以用来验证该证书中的签名值(inter2-cert.pem证书可以用来验证inter1-cert.pem证书中的签名值)。

那么如何在服务端返回证书链呢？如何在客户端接收并验证证书链呢？我们来看下面示例。在这个示例中，客户端仅部署了根证书(ca-cert.pem)，而服务端需要将服务证书与签发服务证书的中间CA证书以证书链的形式返回给客户端。

我们先来看服务端：

// tls-certs-binding/bind_single_cert/server-with-certs-chain/main.go

// 服务端
func startServer(certFile, keyFile string) {
    // 读取证书和密钥
    cert, err := tls.LoadX509KeyPair(certFile, keyFile)
    if err != nil {
        log.Fatal(err)
    }

    interCertBytes, err := os.ReadFile("inter-cert.pem")
    if err != nil {
        log.Fatal(err)
    }

    interCertblock, _ := pem.Decode(interCertBytes)

    // 将中间证书添加到证书链
    cert.Certificate = append(cert.Certificate, interCertblock.Bytes)

    // 创建TLS配置
    config := &tls.Config{
        Certificates: []tls.Certificate{cert},
    }

    // 启动TLS服务器
    listener, err := tls.Listen("tcp", ":8443", config)
    if err != nil {
        log.Fatal(err)
    }
    defer listener.Close()

    log.Println("Server started")

    for {
        conn, err := listener.Accept()
        if err != nil {
            log.Println(err)
            continue
        }
        handleConnection(conn)
    }
}

我们看到：服务端在加载完服务端证书后，又将中间CA证书inter-cert.pem attach到cert.Certificate，这样cert.Certificate中就构造出了一个证书链，而不单单是一个服务端证书了。

我们要注意证书链构造时的顺序，这里按照的是如下顺序构造证书链的：

- 服务端证书 (leaf certificate)
- 中间CA证书N
- 中间CA证书N-1
... ...
- 中间CA证书2
- 中间CA证书1

如果客户端没有根CA证书 (root certificate)，在服务端构造证书链时，需要将根CA证书作为最后一个证书attach到证书链中。

下面则是客户端验证证书链的代码：

// tls-certs-binding/bind_single_cert/client-verify-certs-chain/main.go

func main() {
    // 加载ca-cert.pem
    caCertBytes, err := os.ReadFile("ca-cert.pem")
    if err != nil {
        log.Fatal(err)
    }

    caCertblock, _ := pem.Decode(caCertBytes)
    caCert, err := x509.ParseCertificate(caCertblock.Bytes)
    if err != nil {
        log.Fatal(err)
    }

    // 创建TLS配置
    config := &tls.Config{
        InsecureSkipVerify: true, // trigger to call VerifyPeerCertificate

        // 设置证书验证回调函数
        VerifyPeerCertificate: func(rawCerts [][]byte, verifiedChains [][]*x509.Certificate) error {
            // 解析服务端返回的证书链(顺序：server-cert.pem, inter-cert.pem，inter-cert.pem's issuer...)

            var issuer *x509.Certificate
            var cert *x509.Certificate
            var err error

            if len(rawCerts) == 0 {
                return errors.New("no server certificate found")
            }

            issuer = caCert

            for i := len(rawCerts) - 1; i >= 0; i-- {
                cert, err = x509.ParseCertificate(rawCerts[i])
                if err != nil {
                    return err
                }

                if !verifyCert(issuer, cert) {
                    return errors.New("verifyCert failed")
                }

                issuer = cert
            }
            return nil
        },
    }

    conn, err := tls.Dial("tcp", "server.com:8443", config)
    if err != nil {
        log.Fatal(err)
    }
    defer conn.Close()

    // 每秒发送信息
    ticker := time.NewTicker(time.Second)
    for range ticker.C {
        msg := "hello, tls"
        conn.Write([]byte(msg))

        // 读取回复
        buf := make([]byte, len(msg))
        conn.Read(buf)
        log.Println(string(buf))
    }

}

// 验证cert是否是issuer的签发
func verifyCert(issuer, cert *x509.Certificate) bool {

    // 验证证书
    certPool := x509.NewCertPool()
    certPool.AddCert(issuer) // ok
    opts := x509.VerifyOptions{
        Roots: certPool,
    }
    _, err := cert.Verify(opts)
    return err == nil
}

从代码可以看到，当正常验证失败或没有使用正常验证的情况下，我们需要将InsecureSkipVerify设置为true才能触发证书链的自定义校验逻辑(VerifyPeerCertificate)。在VerifyPeerCertificate中，我们先用ca根证书校验位于证书链最后的那个证书，验证成功后，用验证成功的证书验证倒数第二个证书，依次类推，知道全部证书都校验ok，说明证书链是可信任的。

服务端绑定一个证书或一套证书链是最简单的，也是最常见的方案，但在一些场景下，比如考虑支持多个域名、证书轮换等，TLS服务端可能需要绑定多个证书以满足要求。下面我们就来看看如何为TLS服务端绑定多个证书。

4. 绑定多个TLS证书

这个示例的证书绑定情况如下图：

我们在服务端部署并绑定了三个证书，三个证书与域名的对应关系如下：

- 证书leaf-server-cert.pem 对应 server.com
- 证书leaf-server1-cert.pem 对应 server1.com
- 证书leaf-server2-cert.pem 对应 server2.com

注：在/etc/hosts中添加server1.com和server2.com对应的ip均为127.0.0.1。

// tls-certs-binding/bind_multi_certs/server/main.go

func main() {
    certFiles := []string{"leaf-server-cert.pem", "leaf-server1-cert.pem", "leaf-server2-cert.pem"}
    keyFiles := []string{"leaf-server-key.pem", "leaf-server1-key.pem", "leaf-server2-key.pem"}

    // 启动服务器
    startServer(certFiles, keyFiles)
}

// 服务端
func startServer(certFiles, keyFiles []string) {
    // 读取证书和密钥

    var certs []tls.Certificate
    for i := 0; i < len(certFiles); i++ {
        cert, err := tls.LoadX509KeyPair(certFiles[i], keyFiles[i])
        if err != nil {
            log.Fatal(err)
        }
        certs = append(certs, cert)
    }

    // 创建TLS配置
    config := &tls.Config{
        Certificates: certs,
    }

    // 启动TLS服务器
    listener, err := tls.Listen("tcp", ":8443", config)
    if err != nil {
        log.Fatal(err)
    }
    defer listener.Close()

    log.Println("Server started")

    for {
        conn, err := listener.Accept()
        if err != nil {
            log.Println(err)
            continue
        }
        handleConnection(conn)
    }
}

我们看到，绑定多个证书与绑定一个证书的原理是完全一样的，tls.Config的Certificates字段原本就是一个切片，可以容纳单个证书，也可以容纳证书链，容纳多个证书也不是问题。

客户端代码变化不大，我们仅是通过下面代码输出了服务端返回的证书的Subject.CN：

// tls-certs-binding/bind_multi_certs/client/main.go

// 解析连接的服务器证书
certs := conn.ConnectionState().PeerCertificates
if len(certs) > 0 {
    log.Println("Server CN:", certs[0].Subject.CommonName)
}

接下来我们通过client连接不同的域名，得到如下执行结果：

// 服务端
$go run main.go
2023/10/06 10:22:38 Server started

// 客户端
$go run main.go -server server.com:8443
2023/10/06 10:22:57 Server CN: server.com
2023/10/06 10:22:58 hello, tls

$go run main.go -server server1.com:8443
2023/10/06 10:23:02 Server CN: server1.com
2023/10/06 10:23:03 hello, tls
2023/10/06 10:23:04 hello, tls

$go run main.go -server server2.com:8443
2023/10/06 10:23:08 Server CN: server2.com
2023/10/06 10:23:09 hello, tls
... ...

我们看到，由于绑定多个域名对应的证书，程序可以支持访问不同域名的请求，并根据请求的域名，返回对应域名的证书。

5. 自定义证书选择绑定逻辑

无论是单一TLS证书、证书链还是多TLS证书，他们都有一个共同特点，那就是证书的绑定是事先已知的，是一种“静态”模式的绑定；有些场景下，服务端在初始化启动后并不会绑定某个固定的证书，而是根据客户端的连接需求以及特定规则在证书池中选择某个匹配的证书。在这种情况下，我们需要使用GetCertificate回调从自定义的证书池中选择匹配的证书，而不能在用上面示例中那种“静态”模式了。

我们来看一个自定义证书选择逻辑的示例，下面示意图展示了客户端和服务端的证书部署情况：

我们主要看一下服务端的代码逻辑变动：

// tls-certs-binding/bind_custom_logic/server/main.go

func startServer(certsPath string) {

    // 创建TLS配置
    config := &tls.Config{
        GetCertificate: func(info *tls.ClientHelloInfo) (*tls.Certificate, error) {
            // 根据clientHello信息选择cert

            certFile := fmt.Sprintf("%s/leaf-%s-cert.pem", certsPath, info.ServerName[:len(info.ServerName)-4])
            keyFile := fmt.Sprintf("%s/leaf-%s-key.pem", certsPath, info.ServerName[:len(info.ServerName)-4])

            // 读取证书和密钥
            cert, err := tls.LoadX509KeyPair(certFile, keyFile)
            return &cert, err
        },
    }
    ... ...
}

我们看到: tls.Config我们建立了一个匿名函数赋值给了GetCertificate字段，该函数的实现逻辑就是根据客户端clientHello信息(tls握手时发送的信息)按照规则从证书池目录中查找并加载对应的证书与其私钥信息。示例使用ServerName来查找带有同名信息的证书。

例子的运行结果与上面的示例都差不多，这里就不赘述了。

利用这种动态的证书选择逻辑，我们还可以实现通过执行外部命令来获取证书、从数据库加载证书等。

6. 小结

通过本文的介绍，我们全面了解了在Go服务端绑定单个、多个TLS证书的各种方式。我们首先介绍了生成自签名证书的方法，这为我们的示例程序奠定了基础。然后我们详细探讨了绑定单证书、证书链、多证书、定制从证书池取特定证书的逻辑等不同机制的用法、优劣势和适用场景。同时，在介绍每种用法时，我们都用代码示例进一步解释了这些绑定方式的具体实现流程。

单证书TLS简单易理解，运行性能优异。多证书TLS在提高性能、安全性、便利管理等方面有着重要意义。而自定义证书选取逻辑则更加灵活。通过综合运用各种绑定机制，可以使我们的Go语言服务器端更加强大和灵活。

本文示例所涉及的Go源码可以在这里下载。

注：代码仓库中的证书和key文件有效期为一年，大家如发现证书已经过期，可以在make_certs目录下重新生成各种证书和私钥并copy到对应的其他目录中去。

7. 参考资料

• 《深入浅出 HTTPS：从原理到实战》 – https://book.douban.com/subject/30250772/
• Certificate chains and cross-certification – https://en.wikipedia.org/wiki/X.509#Certificate_chains_and_cross-certification

“Gopher部落”知识星球旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！2023年，Gopher部落将进一步聚焦于如何编写雅、地道、可读、可测试的Go代码，关注代码质量并深入理解Go核心技术，并继续加强与星友的互动。欢迎大家加入！

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻) – https://gopherdaily.tonybai.com

我的联系方式：

• 微博(暂不可用)：https://weibo.com/bigwhite20xx
• 微博2：https://weibo.com/u/6484441286
• 博客：tonybai.com
• github: https://github.com/bigwhite
• Gopher Daily归档 – https://github.com/bigwhite/gopherdaily

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。

本文永久链接 – https://tonybai.com/2023/10/09/service-weaver-coding-in-monolithic-deploy-in-microservices

分布式应用的主流架构模式演化为微服务架构已经有些年头了。微服务、DevOps、持续交付和容器技术(k8s)是构成最初云原生概念的核心要素。它们相生相拌，共同演进，并推动了云计算全面进入云原生时代。

云原生应用普遍采用微服务架构，遗留的单体应用程序会逐步演进并拆分为多个微服务，新应用则会直接采用微服务架构进行设计与实现。微服务的好处是显而易见的：

• 每个微服务都编译为一个二进制文件并独立部署和扩展，可以提高资源利用率；
• 一个微服务的崩溃不会影响到其他微服务，限制了错误的传播半径，从而提高了容错能力；
• 改善了抽象的边界。微服务需要清晰明确的API，降低了代码纠缠不清的可能性；
• 灵活部署，不同微服务的二进制文件可以以不同频率发布，从而实现更敏捷的代码升级。
• … …

不过做过微服务的朋友都知道，微服务架构带来的不仅仅是好处，还有很多挑战：

• 单体应用内的模块间可通过内存直接交互，而在微服务架构的应用中，多个微服务需要进行跨进程跨机器的通信，对数据的序列化和反序列化操作必不可少，其开销很难避免，对应用性能是有较大损耗的；
• 研究表明，三分之二的故障是由于不同版本的微服务之间的交互引发的，这会损害应用的正确性；
• 每个微服务开发人员都有自己的发布和管理计划，而无法像单体应用那样使用单个二进制文件来统一构建、测试和部署，这给微服务开发管理带来了很高的复杂性；
• API管理变得复杂。一旦某个微服务发布了，它的API很难在不影响其他使用该API的服务的情况下进行变更，新老API同时存在是常态；
• 减慢了应用程序开发的速度。在进行会影响多个微服务的更改时，开发人员无法原子地实现和部署这些更改。他们必须仔细计划如何根据自己的发布时间表在n个微服务中引入变更；
  … …

由此可见，微服务并非“银弹”，人们在消除微服务的缺点方面做了很多工作，不可谓不努力，但收效甚微，甚至出现了回归monolith(大单体)的现象。

今年年初Google发布了一个在这方面的探索成果：Service Weaver。Service Weaver不仅仅是一个分布式应用的开发框架，更是一个旨在减少或消除微服务弊端的探索实验的结论。

Service Weaver到底有何与众不同？它的核心抽象是什么？它的最大优点又是什么呢？在这一篇文章中，我就和大家一起来学习和了解一下Service Weaver这个开发框架。

1. Service Weaver简介

Service Weaver是Google开源的一个编程框架(programming framework) ，用于编写、部署和管理用Go开发的分布式应用程序。

注：随着Service Weaver的演进，后续可能会有其他语言的版本。

使用Service Weaver，你可以像编写在本地机器上运行的传统单进程Go可执行文件一样编写应用程序。然后，将其部署到云中，该框架会将其分解为一组微服务，并将其与云提供商(主要是k8s)集成（如监控、跟踪、日志等）。简单来说，就是“以单体形式编码，以微服务形式部署”。

开篇提过，Google开源的Service Weaver本就是为解决微服务架构在实践中出现的诸多问题而提出的创新思路与实验，为此它提出并实现了三个核心原则：

• 在构建阶段，开发人员只需编写模块化的单体程序；
• 在首次部署和运行阶段，Service Weaver会将逻辑组件分配给物理进程，可以是本地的一个进程，也可以是多个进程，当然最主流的还是分配给运行在公有云提供商k8s的不同pod；
• 以原子方式升级变更应用，彻底杜绝应用的不同版本间的交互。

这么说依然很抽象，闻名不如见面，接下来我们就用一些例子来看一下Service Weaver是如何践行这三个原则的。

我们先来看看用Service Weaver开发的“Hello, World”程序长什么样子。

2. Hello, World

安装Service Weaver很简单，只需执行下面命令：

$go install github.com/ServiceWeaver/weaver/cmd/weaver@latest

$weaver
USAGE

  weaver generate                 // weaver code generator
  weaver version                  // show weaver version
  weaver single    <command> ...  // for single process deployments
  weaver multi     <command> ...  // for multiprocess deployments
  weaver ssh       <command> ...  // for multimachine deployments
  weaver gke       <command> ...  // for GKE deployments
  weaver gke-local <command> ...  // for simulated GKE deployments
  weaver kube      <command> ...  // for vanilla Kubernetes deployments

DESCRIPTION

  Use the "weaver" command to deploy and manage Weaver applications.

  The "weaver generate", "weaver version", "weaver single", "weaver multi", and
  "weaver ssh" subcommands are baked in, but all other subcommands of the form
  "weaver <deployer>" dispatch to a binary called "weaver-<deployer>".
  "weaver gke status", for example, dispatches to "weaver-gke status".

注：Weaver要求Go版本高于1.21。另外在MacOS上安装使用时，官方文档提到要开启export CGO_ENABLED=1; export CC=gcc; 不过CGO_ENABLED=1通常是默认的。另外我使用CC=clang也可以正常安装和使用weaver。

安装完Weaver后，我们就来看一个基于Weaver的Hello, World示例，了解一下基于Weaver框架开发的应用的基本结构。

我们创建一个hello目录，然后在hello下面使用go mod init hello来初始化一个go module。这个例子非常简单，hello目录下只有一个main.go：

// serviceweaver-examples/hello/main.go

package main

import (
    "context"
    "fmt"
    "log"

    "github.com/ServiceWeaver/weaver"
)

func main() {
    if err := weaver.Run(context.Background(), serve); err != nil {
        log.Fatal(err)
    }
}

// app is the main component of the application. weaver.Run creates
// it and passes it to serve.
type app struct {
    weaver.Implements[weaver.Main]
}

// serve is called by weaver.Run and contains the body of the application.
func serve(context.Context, *app) error {
    fmt.Println("Hello, World")
    return nil
}

我们看到：示例导入了weaver包，然后在main函数中调用weaver.Run函数。Run函数的原型如下：

// github.com/ServiceWeaver/weaver/weaver.go
func Run[T any, P PointerToMain[T]](ctx context.Context, app func(context.Context, *T) error) error

weaver充分利用了Go 1.18引入的泛型，Run就是一个泛型函数，它的第二个参数为app，这是一个函数类型的参数。顾名思义，app这个函数封装了整个应用的主运行逻辑。在hello这个示例中，我们为Run的第二个参数传入的是serve。而serve的逻辑非常简单，就是输出“Hello, World”，然后就返回nil了，返回nil表示正常退出。weaver.Run会处理应用的生命周期，比如优雅关闭等，serve函数就只需要关心业务逻辑即可，通过这种方式，通用的服务框架代码和业务代码便分离开来，降低了耦合，提高可维护性。

到这里，很多读者可能注意到了：由于示例过于简单，serve函数并没有使用传入的第二个参数(类型为*app)，但在用Weaver开发的实用程序中，Run的第二个参数是整个应用的核心，并且app这个类型恰好就是weaver.Run泛型函数中T的类型实参(type argument)。

Run函数的注释中明确说明：T类型(app)必须是一个struct类型且包含一个weaver.Implements[weaver.Main]的嵌入字段，在该示例中app类型的定义恰是如此：

// serviceweaver-examples/hello/main.go
type app struct {
    weaver.Implements[weaver.Main]
}

说到这里，就不得不提到Service Weaver的核心抽象：组件(component)了！基于Service Weaver框架开发的应用是由一个组件的集合。实际上，Weaver中的组件就是一个普通Go接口的实现，编写代码时，组件间的交互也是通过接口的方法调用完成的。

那么，上面示例中的组件在哪里呢？上面的示例仅包含一个Weaver应用必须的组件：main组件。app类型就理解为一个main组件，它通过嵌入weaver.Implements[weaver.Main]这个类型实现了weaver.Main接口：

// Main is the interface implemented by an application's main component.
type Main interface{}

对于Weaver应用而言，main组件是不可获取的，如果注释掉app结构体类型中weaver.Implements[weaver.Main]这一行，那么无论执行weaver generate命令还是go run命令，你得到的都会是错误：

$weaver generate .
-: # hello
./main.go:12:22: *app does not satisfy "github.com/ServiceWeaver/weaver".PointerToMain[app] (missing method implements)
/Users/tonybai/Test/Go/service-weaver/hello/main.go:12:12: *app does not satisfy "github.com/ServiceWeaver/weaver".PointerToMain[app] (missing method implements)

$go run .
# hello
./weaver_gen.go:34:40: cannot use (*app)(nil) (value of type *app) as "github.com/ServiceWeaver/weaver".InstanceOf["github.com/ServiceWeaver/weaver".Main] value in variable declaration: *app does not implement "github.com/ServiceWeaver/weaver".InstanceOf["github.com/ServiceWeaver/weaver".Main] (missing method implements)
./weaver_gen.go:37:25: cannot use (*app)(nil) (value of type *app) as "github.com/ServiceWeaver/weaver".Unrouted value in variable declaration: *app does not implement "github.com/ServiceWeaver/weaver".Unrouted (missing method routedBy)
./main.go:12:22: *app does not satisfy "github.com/ServiceWeaver/weaver".PointerToMain[app] (missing method implements)

好了，大致了解Weaver应用的结构后，我们来运行一下这个示例：

$go mod tidy
go: finding module for package github.com/ServiceWeaver/weaver
go: found github.com/ServiceWeaver/weaver in github.com/ServiceWeaver/weaver v0.21.2
go: downloading modernc.org/ccgo/v3 v3.16.13
go: downloading modernc.org/cc/v3 v3.40.0
go: downloading lukechampine.com/uint128 v1.2.0
go: downloading modernc.org/token v1.0.1

$weaver generate .
$go run .
╭───────────────────────────────────────────────────╮
│ app        : hello                                │
│ deployment : ca0fcdf2-d9bc-456b-a668-159688e3cca5 │
╰───────────────────────────────────────────────────╯
Hello, World

我们看到，在go run执行之前，我们通过weaver generate命令生成一些代码，这些生成的代码放在了weaver_gen.go中，有100多行，是weaver应用运行所必须的stub代码。

hello, world虽然简单易懂，但对Weaver的核心抽象：逻辑组件(component)的体现并不明显，我们再来看一个复杂一些的例子。

3. 一个http服务器例子

我们来实现一个http服务器的例子，下面是这个例子的组件逻辑拓扑结构：

从图中可以看到，这个实例程序一共有三个weaver component：main组件(listener)、reverser组件(用于将输入的字符串反转)和converter组件（用于将输入的字符串变成大写字符串）。

reverser组件和converter组件都比较简单，每个组件对应的接口仅有一个方法，它们的代码如下：

// serviceweaver-examples/httpserver/reverser.go

package main

import (
    "context"

    "github.com/ServiceWeaver/weaver"
)

// Reverser component.
type Reverser interface {
    Reverse(context.Context, string) (string, error)
}

// Implementation of the Reverser component.
type reverser struct {
    weaver.Implements[Reverser]
}

func (r *reverser) Reverse(_ context.Context, s string) (string, error) {
    runes := []rune(s)
    n := len(runes)
    for i := 0; i < n/2; i++ {
        runes[i], runes[n-i-1] = runes[n-i-1], runes[i]
    }
    return string(runes), nil
}

// serviceweaver-examples/httpserver/converter.go

package main

import (
    "context"
    "strings"

    "github.com/ServiceWeaver/weaver"
)

// Converter component.
type Converter interface {
    ToUpper(context.Context, string) (string, error)
}

// Implementation of the Converter component.
type converter struct {
    weaver.Implements[Converter]
}

func (r *converter) ToUpper(_ context.Context, s string) (string, error) {
    return strings.ToUpper(s), nil
}

接下来，我们实现这个示例的实现weaver.Main接口的app类型：

// serviceweaver-examples/httpserver/main.go

type app struct {
    weaver.Implements[weaver.Main]
    reverser  weaver.Ref[Reverser]
    converter weaver.Ref[Converter]
    lis       weaver.Listener
}

这里app结构体类型通过weaver.Ref嵌入了实现了另外两个组件接口的组件实例，Ref函数的定义如下：

// Ref[T] is a field that can be placed inside a component implementation
// struct. T must be a component type. Service Weaver will automatically
// fill such a field with a handle to the corresponding component.
type Ref[T any] struct {
    value T
}

// Get returns a handle to the component of type T.
func (r Ref[T]) Get() T { return r.value }

此外，通过泛型类型Ref的Get方法，可以获得对相应组件的访问权。

app结构体类型中还包含了一个weaver.Listener类型的实例，Listener理论上并非组件，而是Weaver框架提供了网络服务端口监听的实现，可以放置在任何提供网络服务的组件实现内部，比如本示例的app这个main组件。app将reverser、converter和listener聚合在一起，为后续的serve函数实现提供支持。

接下来，我们看看serve函数的实现：

// serviceweaver-examples/httpserver/main.go

func serve(ctx context.Context, app *app) error {
    // The lis listener will listen on a random port chosen by the operating
    // system. This behavior can be changed in the config file.
    fmt.Printf("http listener available on %v\n", app.lis)

    // Serve the /reverse endpoint.
    http.HandleFunc("/reverse", func(w http.ResponseWriter, r *http.Request) {
        name := r.URL.Query().Get("name")
        if name == "" {
            name = "World"
        }
        reversed, err := app.reverser.Get().Reverse(ctx, name)
        if err != nil {
            http.Error(w, err.Error(), http.StatusInternalServerError)
            return
        }
        fmt.Fprintf(w, "after reversing, name is %s\n", reversed)
    })
    // Serve the /convert endpoint.
    http.HandleFunc("/convert", func(w http.ResponseWriter, r *http.Request) {
        name := r.URL.Query().Get("name")
        if name == "" {
            name = "World"
        }
        converted, err := app.converter.Get().ToUpper(ctx, name)
        if err != nil {
            http.Error(w, err.Error(), http.StatusInternalServerError)
            return
        }
        fmt.Fprintf(w, "after converting, name is %s\n", converted)
    })
    return http.Serve(app.lis, nil)
}

我们看到serve函数定义了两个端点/reverse和/convert的Handler函数，并通过http.Serve启动了一个http服务器，http服务器返回，应用退出，否则http服务将一直运行。

我们来运行一下这个程序：

$cd serviceweaver-examples/httpserver
$go mod tidy
$weaver generate .
$go run .
╭───────────────────────────────────────────────────╮
│ app        : httpserver                           │
│ deployment : 55827837-896f-4060-88c2-f1f1d953d142 │
╰───────────────────────────────────────────────────╯
http listener available on [::]:59493

我们看到，示例中的httpserver启动后在59493这个端口监听客户端的连接，我们用curl工具来测试一下：

$curl "http://localhost:59493/convert?name=abcdefg"
after converting, name is ABCDEFG
$curl  "http://localhost:59493/reverse?name=abcdefg"
after reversing, name is gfedcba

我们看到，无论是reverser组件还是converter组件工作都正常。

由于我们没有指定端口，59493是一个随机端口。如果要指定监听的地址和端口，我们可以借助weaver提供的toml格式的配置文件来实现：

// weaver.toml
[single]
listeners.lis = {address = "localhost:8080"}

基于weaver.toml配置文件启动httpserver的命令如下：

$SERVICEWEAVER_CONFIG=weaver.toml go run .
╭───────────────────────────────────────────────────╮
│ app        : httpserver                           │
│ deployment : ee49694c-4935-4f44-96f3-cc7d1d0167ae │
╰───────────────────────────────────────────────────╯
http listener available on 127.0.0.1:8080

在这种模式下启动的httpserver，所有组件都会在一个单一的进程中，组件间的通信通过方法调用进行。这种单体程序在单个进程中部署运行的方式称为single process部署模式，十分适合开发者对程序的开发与调试。weaver为这种方式提供了专门的子命令single，我们可以通过single命令在单进程启动httpserver，不过我们要修改一下weaver.toml：

// weaver.toml

[single]
listeners.lis = {address = "localhost:8080"}

[serviceweaver]
binary = "./httpserver"

无论是single子命令，还是后面即将讲到的multi，都是基于一个可执行文件进行的，因此我们要将httpserver这个示例编译为一个可执行文件”httpserver”，我已经将编译命令放入Makefile，大家输入make命令执行即可。

有了可执行的二进制文件httpserver后，我们就可以使用single子命令启动单进程版的httpserver了：

$weaver single deploy weaver.toml
╭───────────────────────────────────────────────────╮
│ app        : httpserver                           │
│ deployment : ad7c0341-d5d2-4182-8944-306d7682e708 │
╰───────────────────────────────────────────────────╯
http listener available on 127.0.0.1:8080

在开篇讲Service Weaver的三个核心原则时提到，基于Weaver的应用既可以跑在一个进程中，也可以部署在多个进程，以及云提供商的k8s环境中，下面我们就来看看weaver应用的部署，先来将单进程部署模式改为本地多进程部署模式。

4. 部署

基于Weaver应用的部署方式与编码完全解耦，我们无需修改源码便可以实现多进程部署。唯一要做的就是改改weaver.toml，新增多进程部署模式下应用的监听地址信息：

// weaver.toml
[single]
listeners.lis = {address = "localhost:8080"}

[serviceweaver]
binary = "./httpserver"

[multi]
listeners.lis = {address = "localhost:8080"} // 新增

接下来使用下面命令，我们就可以将httpserver以多进程的形式启动起来：

$weaver multi deploy weaver.toml
╭───────────────────────────────────────────────────╮
│ app        : httpserver                           │
│ deployment : bd689290-4929-47f1-a0f0-774d5e1a9307 │
╰───────────────────────────────────────────────────╯
S1003 18:51:02.042859 stdout               ac04576d                      │ http listener available on 127.0.0.1:8080
S1003 18:51:02.043210 stdout               c03c4eed                      │ http listener available on 127.0.0.1:8080

weaver multi子命令提供了查看httpserver多进程启动后状态的方法：

$weaver multi status
╭──────────────────────────────────────────────────────────╮
│ DEPLOYMENTS                                              │
├────────────┬──────────────────────────────────────┬──────┤
│ APP        │ DEPLOYMENT                           │ AGE  │
├────────────┼──────────────────────────────────────┼──────┤
│ httpserver │ bd689290-4929-47f1-a0f0-774d5e1a9307 │ 1m3s │
╰────────────┴──────────────────────────────────────┴──────╯
╭───────────────────────────────────────────────────────────────╮
│ COMPONENTS                                                    │
├────────────┬────────────┬──────────────────────┬──────────────┤
│ APP        │ DEPLOYMENT │ COMPONENT            │ REPLICA PIDS │
├────────────┼────────────┼──────────────────────┼──────────────┤
│ httpserver │ bd689290   │ weaver.Main          │ 30194, 30195 │
│ httpserver │ bd689290   │ httpserver.Converter │ 30198, 30199 │
│ httpserver │ bd689290   │ httpserver.Reverser  │ 30196, 30197 │
╰────────────┴────────────┴──────────────────────┴──────────────╯
╭─────────────────────────────────────────────────────╮
│ LISTENERS                                           │
├────────────┬────────────┬──────────┬────────────────┤
│ APP        │ DEPLOYMENT │ LISTENER │ ADDRESS        │
├────────────┼────────────┼──────────┼────────────────┤
│ httpserver │ bd689290   │ lis      │ 127.0.0.1:8080 │
╰────────────┴────────────┴──────────┴────────────────╯

在status输出的信息中，我们能看到deployment(部署)信息、组件(components)信息以及listener信息。从组件信息来看，weaver multi子命令将每个component放入了一个单独进程，包括main component，并且每个component的副本数(replica)为2，即一共启动了6个进程。从下面ps命令的输出结果也能印证这点：

$ps -ef|grep httpserver
  501 30194 30193   0  6:51下午 ttys006    0:00.05 /Users/tonybai/test/go/service-weaver/httpserver/httpserver
  501 30195 30193   0  6:51下午 ttys006    0:00.05 /Users/tonybai/test/go/service-weaver/httpserver/httpserver
  501 30196 30193   0  6:51下午 ttys006    0:00.07 /Users/tonybai/test/go/service-weaver/httpserver/httpserver
  501 30197 30193   0  6:51下午 ttys006    0:00.04 /Users/tonybai/test/go/service-weaver/httpserver/httpserver
  501 30198 30193   0  6:51下午 ttys006    0:00.05 /Users/tonybai/test/go/service-weaver/httpserver/httpserver
  501 30199 30193   0  6:51下午 ttys006    0:00.04 /Users/tonybai/test/go/service-weaver/httpserver/httpserver

在multi process这种模式下，应用的各个组件由于不在同一进程内，它们之间的通信由基于方法调用改为了基于RPC调用的方式。

weaver multi还提供了以web形式查看应用运行状态的命令：dashboard

$weaver multi dashboard
Dashboard available at: http://127.0.0.1:62183

weaver multi dashboard命令会自动打开浏览器并展示httpserver的各种运行信息和状态信息：

点击页面上的Deployment超链接，我们将进入到下面的页面中：

除此之外，页面最下方还有一个展示组件拓扑以及组件间traffic的图：

通过上图我们知道，reverse端点和convert端点分别接到过2次和1次请求。

注：web状态页面上的traces由于没有开启trace，会暂无数据。

和weaver multi一样，weaver ssh可以实现多机器部署，weaver kube实现基于k8s的部署，weaver gke实现在Google Kubernetes Engine上的部署，这里的multi、ssh、kube等都可以称为deployer。single、multi、ssh是weaver内置支持的，而其他weaver 则是调用weaver-完成的，比如：weaver gke status将调用weaver-gke status命令。

注：由于手里没有现成的kubernetes环境，weaver kube命令无法展示了。

到这里，我们已经践行了Service Weaver的两大核心原则：开发阶段以单体程序形式编码开发，以及运行时通过不同deployer(multi、ssh、k8s等)来实现部署环境与代码的解耦。到这里，你是否体会到了本文题目“以单体形式编码，以微服务形式部署”的深意了呢！

下面我们再来看看Weaver核心原则的第3条：原子升级。

5. 升级

对于使用go run或weaver multi deployment部署的应用程序来说，避免升级过程中的跨版本通信是轻而易举的事，因为每个部署都是独立运行的。

我本地没有Kubernetes环境，也没有GKE的账号，那么如何验证weaver的原子升级过程呢？好在weaver提供了gke-local，即在本地建立一个模拟gke环境，我们可以使用这种方式来看看通过weaver如何实现app的原子升级。

首先我们要执行下面命令单独安装weaver-gke-local：

$go install github.com/ServiceWeaver/weaver-gke/cmd/weaver-gke-local@latest

在我的机器和网络环境下，这个安装过程略显“漫长”，因为要拉取很多依赖的go module，还包括像k8s、k8s client这样的go module。

安装好weaver-gke-local后，我们基于httpserver建立一个新module：httpserver-upgrade。然后修改其weaver.toml，增加gke和rollout相关配置：

// serviceweaver-examples/httpserver-upgrade/weaver.toml

[single]
listeners.lis = {address = "localhost:8080"}

[serviceweaver]
binary = "./httpserver"
rollout = "5m" # Perform five minutes slow rollout.

[multi]
listeners.lis = {address = "localhost:8080"}

[gke]
regions = ["us-west1"]
listeners.lis = {public_hostname = "hello.com"}

然后，为了区分不同版本，我在main.go中为各个端点的处理handler加上了一些带有版本信息的日志，并重新执行make构建新的可执行文件。

下面我们就在gke-local环境下首次部署httpserver：

$weaver gke-local deploy weaver.toml
Deploying the application... Done
Version "b343b4de-bb84-4bd7-8bc0-09eb0054b07d" of app "httpserver" started successfully.
Note that stopping this binary will not affect the app in any way.
Tailing the logs...
S1004 06:33:14.621470 stdout               ea68b26c                      │ http v1 listener available on http://localhost:8000
S1004 06:33:14.627226 stdout               be97798d                      │ http v1 listener available on http://localhost:8000

我们可以ctrl+c结束weaver gke-local deploy这个命令的执行，但一旦部署成功，即便这个命令退出，已经部署的程序依然会运行。

^CTo continue watching the logs, run the following command:

    weaver gke-local logs --follow 'version == "b343b4de"'

并且按照上述提示，我们可以继续执行下面命令来tail整个应用的输出日志：

$weaver gke-local logs --follow 'version == "b343b4de"'
S1004 06:33:14.621470 stdout               ea68b26c                      │ http v1 listener available on http://localhost:8000
S1004 06:33:14.627226 stdout               be97798d                      │ http v1 listener available on http://localhost:8000

和multi子命令在本地多进程部署一样，在gke-local下部署后，我们也可以使用status查看应用部署信息和状态：

$weaver gke-local status
╭────────────────────────────────────────────────────────────────────╮
│ Deployments                                                        │
├────────────┬──────────────────────────────────────┬───────┬────────┤
│ APP        │ DEPLOYMENT                           │ AGE   │ STATUS │
├────────────┼──────────────────────────────────────┼───────┼────────┤
│ httpserver │ b343b4de-bb84-4bd7-8bc0-09eb0054b07d │ 4m55s │ ACTIVE │
╰────────────┴──────────────────────────────────────┴───────┴────────╯
╭─────────────────────────────────────────────────────────────────────╮
│ COMPONENTS                                                          │
├────────────┬────────────┬──────────┬──────────────────────┬─────────┤
│ APP        │ DEPLOYMENT │ LOCATION │ COMPONENT            │ HEALTHY │
├────────────┼────────────┼──────────┼──────────────────────┼─────────┤
│ httpserver │ b343b4de   │ us-west1 │ weaver.Main          │ 2/2     │
│ httpserver │ b343b4de   │ us-west1 │ httpserver.Converter │ 2/2     │
│ httpserver │ b343b4de   │ us-west1 │ httpserver.Reverser  │ 2/2     │
╰────────────┴────────────┴──────────┴──────────────────────┴─────────╯
╭─────────────────────────────────────────────────────────────────────────────────────────────╮
│ TRAFFIC                                                                                     │
├───────────┬────────────┬────────────┬────────────┬──────────┬────────────┬──────────────────┤
│ HOST      │ VISIBILITY │ APP        │ DEPLOYMENT │ LOCATION │ ADDRESS    │ TRAFFIC FRACTION │
├───────────┼────────────┼────────────┼────────────┼──────────┼────────────┼──────────────────┤
│ hello.com │ public     │ httpserver │ b343b4de   │ us-west1 │ [::]:62559 │ 0.5              │
│ hello.com │ public     │ httpserver │ b343b4de   │ us-west1 │ [::]:62564 │ 0.5              │
╰───────────┴────────────┴────────────┴────────────┴──────────┴────────────┴──────────────────╯
╭────────────────────────────╮
│ ROLLOUT OF httpserver      │
├─────────────────┬──────────┤
│                 │ us-west1 │
├─────────────────┼──────────┤
│ TIME            │ b343b4de │
│ Oct  3 22:37:59 │ 1.00     │
╰─────────────────┴──────────╯

我们看到整个应用被模拟部署到us-west1 region，每个组件有两个副本，用ps命令查看，我们也能看到6个进程：

$ps -ef|grep httpserver
  501 38480 35224   0  6:33上午 ttys006    0:00.13 /Users/tonybai/test/go/service-weaver/httpserver-upgrade/httpserver
  501 38481 35224   0  6:33上午 ttys006    0:00.11 /Users/tonybai/test/go/service-weaver/httpserver-upgrade/httpserver
  501 38482 35224   0  6:33上午 ttys006    0:00.10 /Users/tonybai/test/go/service-weaver/httpserver-upgrade/httpserver
  501 38483 35224   0  6:33上午 ttys006    0:00.10 /Users/tonybai/test/go/service-weaver/httpserver-upgrade/httpserver
  501 38484 35224   0  6:33上午 ttys006    0:00.10 /Users/tonybai/test/go/service-weaver/httpserver-upgrade/httpserver
  501 38485 35224   0  6:33上午 ttys006    0:00.10 /Users/tonybai/test/go/service-weaver/httpserver-upgrade/httpserver

现在我们可以使用curl命令来验证一下应用的可用性：

$curl  --header 'Host: hello.com' "http://localhost:8000/reverse?name=abcdefg"
after reversing-v1, name is gfedcba
$curl  --header 'Host: hello.com' "http://localhost:8000/reverse?name=abcdefg"
after reversing-v1, name is gfedcba
$curl  --header 'Host: hello.com' "http://localhost:8000/reverse?name=abcdefg"
after reversing-v1, name is gfedcba
$curl  --header 'Host: hello.com' "http://localhost:8000/convert?name=abcdefg"
after converting-v1, name is ABCDEFG
$curl  --header 'Host: hello.com' "http://localhost:8000/convert?name=abcdefg"
after converting-v1, name is ABCDEFG

可以看到，app工作正常！

此外，我们还可以通过dashboard可以以图形化的方式观测app状态(weaver gke-local dashboard)，在后续升级过程中，通过dashboard可以清楚地看到整个升级过程：

注：gke-local会在本地建立一个模拟load balancer，并将发到hello.com主机的请求按Traffic Fraction分发给不同副本。

接下来，我们就来开发httpserver的v2版本，将main.go中的version改为v2，然后重新编译httpserver，执行下面命令部署新版httpserver：

$weaver gke-local deploy weaver.toml
Deploying the application... Done
Version "2ee38e73-323f-4b42-b115-ee5bc40a8c09" of app "httpserver" started successfully.
Note that stopping this binary will not affect the app in any way.
Tailing the logs...
S1004 06:50:12.575585 stdout               702058ba                      │ http v2 listener available on http://localhost:8000
S1004 06:50:12.586352 stdout               ef3d7c3f                      │ http v2 listener available on http://localhost:8000

^CTo continue watching the logs, run the following command:

    weaver gke-local logs --follow 'version == "2ee38e73"'

由于我们配置的rollout为5分钟，所以新版httpserver替换掉旧版httpserver的过程会持续5分钟。而这个过程中load balancer针对新旧两个版本的Traffic Fraction也会动态调整：旧版本会逐渐降低，新版本会逐渐升高：

这时向app发送的请求，既可能由v1版本处理，也可能由v2版本处理：

$curl  --header 'Host: hello.com' "http://localhost:8000/convert?name=abcdefg"
after converting-v1, name is ABCDEFG
$curl  --header 'Host: hello.com' "http://localhost:8000/reverse?name=abcdefg"
after reversing-v1, name is gfedcba
$curl  --header 'Host: hello.com' "http://localhost:8000/convert?name=abcdefg"
after converting-v1, name is ABCDEFG
$curl  --header 'Host: hello.com' "http://localhost:8000/reverse?name=abcdefg"
after reversing-v2, name is gfedcba

最后新版app将全面接手对请求的处理：

之后，旧版的app将被delete掉：

这样新版app的升级部署(rollout)就结束了！rollout后，所有请求将被v2版本处理，应答中将带有v2字样。

在新版本升级的过程中，你如果使用ps查看httpserver进程数量，你会发现数量多出一倍，那是因为整个rollout过程采用的是蓝绿部署方式，即完全部署一套新app，然后通过调整load balancer的分发比例，让新版app逐渐承担全部流量，而在这个过程中，不会存在新老版本组件交互的情况出现。下图展示了这一过程：

注：如果要杀掉app，可以用weaver gke-local kill httpserver命令。

6. 小结

Service Weaver是一个优秀的框架，可以帮助开发人员以单体形式快速构建、以微服务形式快速部署分布式应用，其三个核心原则的创新思路值得我们学习借鉴。

但Service Weaver也不是万能的，Service Weaver主要针对在线的分布式服务系统，即需要在用户请求到达时处理它们的系统，例如网络应用程序或API Server正是此类分布式服务系统。基于Weaver开发这类系统，应用可以轻松获取网络Listener并建立HTTP 服务器，应用可以支持原子升级，且应用组件的副本数量可以根据请求压力的大小自动扩缩(本文并未演示这个特性)。

不过要注意的是：Service Weaver仅仅开源了几个月，其API尚未Stable，本文中的示例基于v0.21.2版本实现，也许在未来的某个时间点，这些示例可能会因API的变化而无法Run起来, status命令和dashboard命令所展现给用户的样式也会发生变化。另外学习weaver本身也是有学习成本的，weaver自身的代码由于采用了泛型和反射，读起来也是很晦涩。

综上，Service Weaver所践行的理念的优秀的，但考虑其成熟度以及Go社区崇尚的“The Best Go framework is no framework”的信条，选择引入Service Weaver框架之前务必要仔细斟酌。

本文涉及的Go源码，可以在这里下载。

7. 参考资料

• A Quick Introduction to Service Weaver – https://serviceweaver.dev/blog/quick_intro.html
• Towards Modern Development of Cloud Applications – https://serviceweaver.dev/assets/docs/hotos23_vision_paper.pdf
• Service Weaver FAQ – https://serviceweaver.dev/docs.html#faq

“Gopher部落”知识星球旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！2023年，Gopher部落将进一步聚焦于如何编写雅、地道、可读、可测试的Go代码，关注代码质量并深入理解Go核心技术，并继续加强与星友的互动。欢迎大家加入！

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻) – https://gopherdaily.tonybai.com

我的联系方式：

微博(暂不可用)：https://weibo.com/bigwhite20xx
微博2：https://weibo.com/u/6484441286
博客：tonybai.com
github: https://github.com/bigwhite
Gopher Daily归档 – https://github.com/bigwhite/gopherdaily

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。