[zh] Sync 1.21.4, 1.22.2 release notes and security update into Chinese (#15374)

* Sync 1.21.4, 1.22.2 release notes and security update into Chinese

* done
This commit is contained in:
Wilson Wu 2024-07-02 16:39:50 +08:00 committed by GitHub
parent 33372f2bac
commit a1ddafabcf
No known key found for this signature in database
GPG Key ID: B5690EEEBB952194
4 changed files with 121 additions and 6 deletions

View File

@ -68,11 +68,10 @@ Istio 控制面可以比数据面高一个版本。但数据面的版本不能
Istio 不保证超出支持窗口期的次要版本都有已知的 CVE 补丁。请使用最新和受支持的版本。
{{< /warning >}}
| 次要版本 | 没有已知 CVE 的补丁版本 |
|------------------|------------------------------------------------------|
| 1.22.x | 1.22.1+ |
| 1.21.x | 1.21.3+ |
| 1.20.x | 1.20.7+ |
| 次要版本 | 没有已知 CVE 的补丁版本 |
|------------------|------------------------------------|
| 1.22.x | 1.22.2+ |
| 1.21.x | 1.21.4+ |
## 支持的 Envoy 版本 {#supported-envoy-versions}
@ -84,7 +83,6 @@ Istio 的数据面基于 [Envoy](https://github.com/envoyproxy/envoy)。
|---------------|----------------------|
| 1.22.x | release/v1.30 |
| 1.21.x | release/v1.29 |
| 1.20.x | release/v1.28 |
您可以在 [`istio/proxy` 仓库](https://github.com/istio/proxy/blob/{{< source_branch_name >}}/WORKSPACE#L26)中找到
Istio 使用的具体 Envoy 提交:查找 `ENVOY_SHA` 变量。

View File

@ -0,0 +1,34 @@
---
title: 发布 Istio 1.21.4
linktitle: 1.21.4
subtitle: 补丁发布
description: Istio 1.21.4 补丁发布。
publishdate: 2024-06-27
release: 1.21.4
---
本次发布实现了 6 月 27 日公布的安全更新 [`ISTIO-SECURITY-2024-005`](/zh/news/security/istio-security-2024-005)
并修复了一些错误,提高了稳健性。
本发布说明描述了 Istio 1.21.3 和 Istio 1.21.4 之间的不同之处。
{{< relnote >}}
## 变更 {#changes}
- **新增** 添加了 `gateways.securityContext` 到清单中,以提供自定义网关 `securityContext` 的选项。
([Issue #49549](https://github.com/istio/istio/issues/49549))
- **修复** 修复了 `istioctl analyze` 返回 IST0162 误报的问题。
([Issue #51257](https://github.com/istio/istio/issues/51257))
- **修复** 当设置 `credentialName``workloadSelector` 时,修复了 IST0128 和 IST0129 中的误报问题。
([Issue #51567](https://github.com/istio/istio/issues/51567))
- **修复** 修复了当获取其他 URI 时出现错误时,从 URI 获取的 JWKS 未及时更新的问题。
([Issue #51636](https://github.com/istio/istio/issues/51636))
- **修复** 修复了启用 mTLS 后创建的 `auto-passthrough` 网关返回的 503 错误。
- **修复** 修复了代理标签的 `serviceRegistry` 排序,因此我们将 Kubernetes 注册表放在前面。
([Issue #50968](https://github.com/istio/istio/issues/50968))

View File

@ -0,0 +1,58 @@
---
title: 发布 Istio 1.22.2
linktitle: 1.22.2
subtitle: 补丁发布
description: Istio 1.22.2 补丁发布。
publishdate: 2024-06-27
release: 1.22.2
---
本次发布实现了 6 月 27 日公布的安全更新 [`ISTIO-SECURITY-2024-005`](/zh/news/security/istio-security-2024-005)
并修复了一些错误,提高了稳健性。
本发布说明描述了 Istio 1.22.1 和 Istio 1.22.2 之间的不同之处。
{{< relnote >}}
## 变更 {#changes}
- **改进** 改进了 waypoint 代理不再以 root 身份运行的问题。
- **新增** 添加了 `gateways.securityContext` 到清单中,以提供自定义网关 `securityContext` 的选项。
([Issue #49549](https://github.com/istio/istio/issues/49549))
- **新增** 在 ztunnel 中添加了一个新选项,以完全禁用 IPv6从而可以在禁用 IPv6 的内核上运行。
- **修复** 修复了 `istioctl analyze` 返回 IST0162 误报的问题。
([Issue #51257](https://github.com/istio/istio/issues/51257))
- **修复** 修复了 `ENABLE_ENHANCED_RESOURCE_SCOPING` 不属于 Istio 1.20/1.21 的 Helm 兼容性配置文件的一部分的问题。
([Issue #51399](https://github.com/istio/istio/issues/51399))
- **修复** 修复了尽管处于终止状态,但 Kubernetes Job Pod IP 可能无法完全从 Ambient 中取消注册的问题。
- **修复** 当设置 `credentialName``workloadSelector` 时,修复了 IST0128 和 IST0129 中的误报问题。
([Issue #51567](https://github.com/istio/istio/issues/51567))
- **修复** 修复了当获取其他 URI 时出现错误时,从 URI 获取的 JWKS 未及时更新的问题。
([Issue #51636](https://github.com/istio/istio/issues/51636))
- **修复** 修复了导致 `workloadSelector` 策略应用于 ztunnel 中错误命名空间的问题。
([Issue #51556](https://github.com/istio/istio/issues/51556))
- **修复** 修复了导致 `discoverySelectors` 意外过滤掉所有 `GatewayClasses` 的错误。
- **修复** 修复了证书链解析,通过修剪不必要的中间证书来避免不必要的解析错误。
- **修复** 修复了 Ambient 模式中的一个错误,该错误导致 Pod 生命周期开始时的请求被拒绝并显示 `unknown source`
- **修复** 修复了 ztunnel 中一些预期的连接终止被报告为错误的问题。
- **修复** 修复了当使用仅存在于部分 Pod 上的 `targetPort` 连接服务时 ztunnel 中出现的问题。
- **修复** 修复了当多个 `ServiceEntry` 中存在重复的主机名时删除 `ServiceEntry` 时出现的问题。
- **修复** 修复了当连接到 `LoadBalancer` IP 时,
ztunnel 会直接发送到 Pod而不是经过 `LoadBalancer` 的问题。
- **修复** 修复了 ztunnel 会将流量发送到终止 Pod 的问题。

View File

@ -0,0 +1,25 @@
---
title: ISTIO-SECURITY-2024-005
subtitle: 安全公告
description: Envoy 上报的 CVE 漏洞。
cves: []
cvss: "7.5"
vector: "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H"
releases: ["1.21.0 to 1.21.3", "1.22.0 to 1.22.1"]
publishdate: 2024-06-27
keywords: [CVE]
skip_seealso: true
---
{{< security_bulletin >}}
## CVE
### Envoy CVE {#envoy-cves}
- __[GHSA-8mq4-c2v5-3h39](https://github.com/envoyproxy/envoy/security/advisories/GHSA-8mq4-c2v5-3h39)__:
(CVSS Score 7.5, Moderate)DatadogDatadog 追踪器不处理带有 Unicode 字符标头的链路。
## 我受到影响了吗?{#am-i-impacted}
如果您使用 Istio 1.21.0 到 1.21.3 或 1.22.0 到 1.22.1 并且启用了 Datadog 追踪器,则会受到影响。