<EbeneX/>
DevOps Web · Updated 19. Februar 2026

Service Mesh

Definition

Eine dedizierte Infrastrukturschicht, die die Kommunikation zwischen Microservices übernimmt – inklusive Load Balancing, Verschlüsselung, Observability und Traffic-Management.

Experte 2 Min. Lesezeit EN: Service Mesh
ERKLÄRUNG

Einfach erklärt

In einer Microservices-Architektur kommunizieren Dutzende oder Hunderte Services miteinander. Jede Verbindung braucht Retry-Logik, Timeouts, Verschlüsselung und Monitoring. Diese Logik in jeden Service einzeln einzubauen ist fehleranfällig und aufwändig. Ein Service Mesh löst das, indem es diese Querschnittsaufgaben aus dem Anwendungscode herausnimmt und in eine eigene Infrastrukturschicht verlagert.

Das Kernprinzip ist das Sidecar-Pattern: Neben jedem Service-Container läuft ein kleiner Proxy-Container (meist Envoy). Dieser Proxy fängt allen ein- und ausgehenden Traffic ab und kümmert sich um Verschlüsselung, Load Balancing, Retries und Telemetrie – ohne dass der Service-Code angepasst werden muss.

Data Plane vs. Control Plane:

EbeneAufgabeBeispiel
Data PlaneVerarbeitet tatsächlichen TrafficEnvoy-Proxies
Control PlaneKonfiguriert und überwacht die ProxiesIstio Pilot

Technischer Deep Dive

Kernfunktionen

  • mTLS: Gegenseitige TLS-Authentifizierung zwischen allen Services – kein Service kann sich als ein anderer ausgeben
  • Circuit Breaking: Wenn ein Service überlastet ist, werden Anfragen automatisch abgewiesen statt zu warten
  • Retries & Timeouts: Konfigurierbar pro Route, ohne Code-Änderungen
  • Distributed Tracing: Jede Anfrage bekommt eine Trace-ID, die durch alle Services weitergegeben wird

Typische Istio-Konfiguration

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: llm-service
spec:
  http:
  - route:
    - destination:
        host: llm-service
        subset: v2
      weight: 10   # 10% Canary Traffic
    - destination:
        host: llm-service
        subset: v1
      weight: 90
ANALOGIE

Ein Service Mesh ist wie ein Postamt zwischen Abteilungen eines Unternehmens: Jede Abteilung gibt ihre Briefe ab, und das Postamt kümmert sich um Zustellung, Nachverfolgung, Verschlüsselung und Fehlermeldungen – ohne dass die Abteilungen selbst wissen müssen, wie das alles funktioniert.

WICHTIGSTE PUNKTE

Übernimmt Netzwerkkommunikation zwischen Services als separate Schicht

Sidecar-Proxy-Muster: Jeder Service bekommt einen eigenen Proxy (z. B. Envoy)

Bietet Observability, mTLS-Verschlüsselung, Retries und Circuit Breaking out-of-the-box

ANWENDUNGSFÄLLE

Zero-Trust-Netzwerk

Automatische mTLS-Verschlüsselung zwischen allen Services ohne Code-Änderungen

Traffic Management

Canary Deployments und A/B-Tests auf Netzwerkebene steuern

Debugging verteilter Systeme

Distributed Tracing über alle Service-Calls hinweg ohne Instrumentierung im Code

HÄUFIGE FRAGEN
Brauche ich ein Service Mesh?

Erst ab einer gewissen Komplexität sinnvoll: viele Services, strenge Sicherheitsanforderungen oder Debugging-Probleme in verteilten Systemen. Für kleine Setups mit 3-5 Services ist der Overhead meist nicht gerechtfertigt.

Was ist der Unterschied zwischen Service Mesh und API Gateway?

Ein API Gateway sitzt am Rand (Nord-Süd-Traffic: extern zu intern), ein Service Mesh regelt die interne Kommunikation (Ost-West-Traffic: Service zu Service). Beide ergänzen sich.

Was ist ein Sidecar-Proxy?

Ein kleiner Proxy-Container (meist Envoy), der neben jedem Service-Container läuft und dessen gesamten Netzwerkverkehr abfängt. Der Service selbst merkt davon nichts – er kommuniziert wie gewohnt, der Sidecar übernimmt den Rest.

TOOLS & RESSOURCEN
Istio

Meistgenutztes Service Mesh, basiert auf Envoy-Proxy
Linkerd

Leichtgewichtiges Service Mesh mit Fokus auf Einfachheit
Consul Connect

HashiCorp-Lösung, kombiniert Service Discovery und Mesh
VERWANDTE BEGRIFFE
Web DevOps

Microservices

Ein Architekturmuster, bei dem eine Anwendung aus vielen kleinen, unabhängigen Services besteht, die jeweils eine spezifische Aufgabe erfüllen.
Web DevOps

Kubernetes

Eine Open-Source-Plattform zur Automatisierung von Deployment, Skalierung und Verwaltung von Container-Anwendungen – der Standard für Container-Orchestrierung.
Web DevOps

Container (Docker)

Eine Technologie, die Anwendungen mit allen Abhängigkeiten in isolierte, portable Pakete verpackt – damit sie überall gleich laufen.
Web DevOps

Load Balancing

Das Verteilen von eingehenden Anfragen auf mehrere Server oder Instanzen, um Überlastung zu vermeiden, Ausfallsicherheit zu erhöhen und die Performance zu optimieren.
DevOps

Observability

Die Fähigkeit, den internen Zustand eines Systems anhand seiner externen Ausgaben zu verstehen – bestehend aus den drei Säulen Logs, Metrics und Traces.

Dein persönliches Share-Bild für Instagram – 1080×1080px, bereit zum Posten.
Zurück zum Glossar