快讯新闻 | Istio v1.2 正式发布
新闻
作者: 小君君
译者: 小君君
2019-06-20 15:17

Istio v1.2 的主题是可预测版本——质量可预测。

几乎所有使用 Istio v1.0 的人都注意到了,Istio 团队花了很长的时间才发布 Istio v1.1。这是因为 Istio 团队需要在测试和基础设施上做一些工作,但是这个过程过于手动。因此,在 Istio v1.2 中,他们更专注于提高这些新功能的稳定性,改善产品的健康状况。

为了提高 Istio 的发布质量和时间可预测性,Istio 团队声明了一个“Code Mauve”,这意味着 Istio 下一次的迭代将重点放在项目基础设施上。

更新情况

在过去三个月,Istio 大多数新功能都已在 v1.1.x 中提供。这些功能现在在 Istio v1.2 正式发布。

流量管理:

  • 在多集群环境中改进了基于位置的路由;
  • 改进 ALLOW_ANY 模式下的 Outbound 流量策略。对现有端口上未知 HTTP/ HTTPS 主机的流量将按原样转发。Envoy 访问日志中将记录未知流量;
  • 添加了对上游服务设置 HTTP 空闲超时的支持;
  • 改进了对 NONE 模式的 Sidecar 支持(没有 iptables);
  • 支持 Envoy DNS 解析频率配置,减少对 DNS 服务的压力;
  • Sidecar API 升级到 API Alpha 和运行时 Beta。

安全:

  • Citadel 自签名根证书的默认生命周期将延长至 10 年;
  • 通过在 PodSpec 注解中配置 sidecar.istio.io/rewriteAppHTTPProbers: "true"来配置重写每负载的 Kubernetes Readiness/Liveness HTTP 健康检查;
  • 添加了对为 Istio TLS 证书配置 secret 路径的支持;
  • 增加了对 PKCS 8 工作负载专用私钥的支持,这是通过 Citadel 上的 pkcs8-keys 标志启用的;
  • 改进的 JWT 公钥获取逻辑对网络故障更具弹性;
  • 工作负载证书中的固定 SAN 字段设置为 critical。这解决了一些自定义证书验证程序无法验证 Istio 证书的问题;
  • 支持 HTTPS 的 Readiness/Liveness 探针重写;
  • Ingress Gateway 上多证书的 SNI 支持从 Alpha 升级为 Stable;
  • Ingress Gateway 上的证书管理从 Alpha 升级为 Beta。

遥测:

  • 通过使用注释,基于统计前缀,后缀和正则表达式,添加了对 Envoy 统计数据生成控制的完全支持;
  • 已更改的 Prometheus 生成的流量将从指标中排除;
  • 添加了向 Datadog 发送跟踪的支持;
  • 分布式调用链追踪从 Beta 升级为 Stable。

策略:

  • 修复基于 Mixer 的 TCP 策略执行;
  • RBAC 授权功能升级到 API Alpha、运行时 Beta。

配置管理:

  • 改进了策略和遥测 CRD 的验证;
  • 基本配置资源对象的校验从 Alpha 升级为 Beta。

其他:

  • 添加了 traffic.sidecar.istio.io/includeInboundPorts 注释以消除服务所有者 containerPort 在部署 YAML 文件中声明的需要。这将成为未来版本的默认设置;
  • 为 Kubernetes 集群添加了 IPv6 支持。

在发行说明中,你会发现现在可以全局设置控制平面和数据平面的日志级别。你可以使用 istioctl 来验证你的 Kubernetes 安装是否符合 Istio 的要求。并且新的 traffic.sidecar.istio.io/includeInboundPorts 注释消除了服务所有者 containerPort 在部署 YAML 中声明的需要。

当然,Istio 还有许多需要完成的功能要求,该团队也将在近期发布一份 Istio 的发展路线图,敬请期待。

更多功能更新,见:https://istio.io/about/notes/1.2/

853 comCount 0