mirror of https://github.com/istio/istio.io.git
6644 lines
412 KiB
XML
6644 lines
412 KiB
XML
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Istio News</title><description>Connect, secure, control, and observe services.</description><link>/v1.6</link><image><url>/v1.6/favicons/android-192x192.png</url><link>/v1.6</link></image><category>Service mesh</category><item><title>Istio 1.4.5 发布公告</title><description>
|
||
<p>此版本包含一些 bug 修复程序,可提高稳定性。此发行说明描述了 Istio 1.4.4 和 Istio 1.4.5 之间的区别。</p>
|
||
<p>以下修复程序着重于节点重新启动期间发生的各种错误。如果您在使用 Istio CNI,或重启节点,则强烈建议您进行升级。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/1.4.5">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.4/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.4.4...1.4.5">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="improvements">改进</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> 节点重启触发的 bug,该 bug 会导致 Pod 接收到错误的配置(<a href="https://github.com/istio/istio/issues/20676">Issue 20676</a>)。</li>
|
||
<li><strong>改进</strong> <a href="/v1.6/zh/docs/setup/additional-setup/cni/">Istio CNI</a> 的健壮性。以前,当节点重新启动时,可能会在安装 CNI 之前就创建新的 Pod,从而导致在没有配置 <code>iptables</code> 规则的情况下创建 Pod(<a href="https://github.com/istio/istio/issues/14327">Issue 14327</a>)。</li>
|
||
<li><strong>修复</strong> MCP 指标,现在会包含 MCP 响应的大小,而不只是包含请求(<a href="https://github.com/istio/istio/issues/21049">Issue 21049</a>)。</li>
|
||
</ul></description><pubDate>Tue, 18 Feb 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.4.x/announcing-1.4.5/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.4.x/announcing-1.4.5/</guid></item><item><title>对 Istio 1.3 的支持已终止</title><description><p>如<a href="/v1.6/zh/news/support/announcing-1.3-eol/">先前宣布</a>的一样, 对 Istio 1.3 的支持现已正式终止。</p>
|
||
<p>我们将不再为 1.3 提供针对安全问题和关键错误的修复程序,因此,如果您尚未升级,
|
||
我们建议您升级到最新版本的 Istio (1.6.8)。</p></description><pubDate>Fri, 14 Feb 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.3-eol-final/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.3-eol-final/</guid></item><item><title>ISTIO-SECURITY-2020-002</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8843">CVE-2020-8843</a><br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td>7.4 <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV%3aN%2fAC%3aH%2fPR%3aN%2fUI%3aN%2fS%3aU%2fC%3aH%2fI%3aH%2fA%3aN">AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N</a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
1.3 to 1.3.6<br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<p>Istio 1.3 到 1.3.6 包含了影响 Mixer 策略检查的漏洞。</p>
|
||
<p>注意:我们在 Istio 1.4.0 以及 Istio 1.3.7 中默认地修复了该漏洞。
|
||
Istio 1.4.0 中的一个<a href="https://github.com/istio/istio/issues/12063">问题</a>及其<a href="https://github.com/istio/istio/pull/17692">修复</a>是一个非安全性问题。我们在 2019 年 12 月将该问题重新分类为漏洞。
|
||
<strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8843">CVE-2020-8843</a></strong>:在某些情况下,可以绕过特定配置的 Mixer 策略。Istio-proxy 在 ingress 处接受 <code>x-istio-attributes</code> header,当 Mixer 策略有选择地应用至 source 时,等价于应用至 ingress,其可能会影响策略决策。
|
||
为了避免这种情况,Istio 必须启用并以指定方式使用 Mixer 策略。在 Istio 1.3 和 1.4 中,默认情况下未启用此功能。</p>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li>对于 Istio 1.3.x 部署: 请升级至 <a href="/v1.6/zh/news/releases/1.3.x/announcing-1.3.7">Istio 1.3.7</a> 或更高的版本。</li>
|
||
</ul>
|
||
<h2 id="credit">鸣谢</h2>
|
||
<p>Istio 团队在此对 <a href="https://www.splunk.com/">Splunk</a> 的 Krishnan Anantheswaran 和 Eric Zhang 提供的私人 bug 报告表示感谢。</p>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Tue, 11 Feb 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2020-002/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2020-002/</guid><category>CVE</category></item><item><title>ISTIO-SECURITY-2020-001</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8595">CVE-2020-8595</a><br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td>9.0 <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV%3aN%2fAC%3aH%2fPR%3aN%2fUI%3aN%2fS%3aC%2fC%3aH%2fI%3aH%2fA%3aH">AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H</a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
1.3 to 1.3.7<br>
|
||
1.4 to 1.4.3<br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<p>Istio 1.3 到 1.3.7 以及 1.4 到 1.4.3 容易受到一个新发现漏洞的攻击,其会影响<a href="/v1.6/zh/docs/reference/config/security/istio.authentication.v1alpha1/#Policy">认证策略</a>:</p>
|
||
<ul>
|
||
<li><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8595">CVE-2020-8595</a></strong>:Istio 身份认证策略精确路径匹配逻辑中的一个 bug,允许在没有有效 JWT 令牌的情况下,对资源进行未经授权的访问。此 bug 会影响所有支持基于路径触发规则的 JWT 身份验证策略的 Istio 版本。Istio JWT 过滤器中用于精确路径匹配的逻辑包括查询字符串或片段,而不是在匹配之前将其剥离。这意味着攻击者可以通过在受保护的路径之后添加 <code>?</code> 或 <code>##</code> 字符来绕过 JWT 验证。</li>
|
||
</ul>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li>对于 Istio 1.3.x 部署: 请升级至 <a href="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8">Istio 1.3.8</a> 或更高的版本。</li>
|
||
<li>对于 Istio 1.4.x 部署: 请升级至 <a href="/v1.6/zh/news/releases/1.4.x/announcing-1.4.4">Istio 1.4.4</a> 或更高的版本。</li>
|
||
</ul>
|
||
<h2 id="credit">鸣谢</h2>
|
||
<p>Istio 团队在此对 <a href="https://aspenmesh.com/2H8qf3r">Aspen Mesh</a> 的原始错误报告和 <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8595">CVE-2020-8595</a> 的修复代码表示感谢。</p>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Tue, 11 Feb 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2020-001/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2020-001/</guid><category>CVE</category></item><item><title>Istio 1.4.4 发布公告</title><description>
|
||
<p>此版本包含一些错误修复程序,以改善健壮性和用户体验,并修复了<a href="/v1.6/zh/news/security/istio-security-2020-001">我们在 2020 年 2 月 11 日新闻</a>中描述的安全漏洞。<a href="/v1.6/zh/news/security/istio-security-2020-001">我们在 2020 年 2 月 11 日新闻</a>中描述的安全漏洞的修复程序。此发行说明描述了 Istio 1.4.3 和 Istio 1.3.4 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.4.4"
|
||
data-downloadbuttontext="DOWNLOAD 1.4.4"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.4.4)'
|
||
data-updatebutton='了解 Istio 1.4.5'
|
||
data-updatehref="/v1.6/zh/news/releases/1.4.x/announcing-1.4.5/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.4/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.4.3...1.4.4">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<ul>
|
||
<li><strong>ISTIO-SECURITY-2020-001</strong> 在 <code>AuthenticationPolicy</code> 中发现了错误的输入验证。</li>
|
||
</ul>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8595">CVE-2020-8595</a></strong>:Istio 的<a href="/v1.6/zh/docs/reference/config/security/istio.authentication.v1alpha1/#Policy">认证策略</a>精确路径匹配逻辑中的一个 bug,允许在没有效的 JWT 令牌、未经授权的情况下访问资源。</p>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> Debian <code>iptables</code> 脚本的包(<a href="https://github.com/istio/istio/issues/19615">Issue 19615</a>)。</li>
|
||
<li><strong>修复</strong> 当多次使用同一端口时 Pilot 会生成错误的 Envoy 配置的问题(<a href="https://github.com/istio/istio/issues/19935">Issue 19935</a>)。</li>
|
||
<li><strong>修复</strong> 运行多个 Pilot 实例可能导致崩溃的问题(<a href="https://github.com/istio/istio/issues/20047">Issue 20047</a>)。</li>
|
||
<li><strong>修复</strong> 将部署规模收缩为 0 时,一个潜在的从 Pilot 到 Envoy 配置推送洪流的问题(<a href="https://github.com/istio/istio/issues/17957">Issue 17957</a>)。</li>
|
||
<li><strong>修复</strong> 当 pod 名称中包含点 <code>.</code> 时,Mixer 无法从 request/response 中获取正确信息的问题(<a href="https://github.com/istio/istio/issues/20028">Issue 20028</a>)。</li>
|
||
<li><strong>修复</strong> Pilot 有时候不能正确的将 pod 配置发送至 Envoy 的问题(<a href="https://github.com/istio/istio/issues/19025">Issue 19025</a>)。</li>
|
||
<li><strong>修复</strong> 启用了 SDS 的 Sidecar 注入器,会覆盖 pod 的 <code>securityContext</code> 部分,而不是仅对其进行修补的问题(<a href="https://github.com/istio/istio/issues/20409">Issue 20409</a>)。</li>
|
||
</ul>
|
||
<h2 id="improvements">改进</h2>
|
||
<ul>
|
||
<li><strong>改进</strong> 与 Google CA 有了更好的兼容性。(Issues <a href="https://github.com/istio/istio/issues/20530">20530</a>, <a href="https://github.com/istio/istio/issues/20560">20560</a>)。</li>
|
||
<li><strong>改进</strong> 当没有正确配置使用 JWT 的策略时,添加了分析器错误消息(Issues <a href="https://github.com/istio/istio/issues/20884">20884</a>, <a href="https://github.com/istio/istio/issues/20767">20767</a>)。</li>
|
||
</ul></description><pubDate>Tue, 11 Feb 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.4.x/announcing-1.4.4/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.4.x/announcing-1.4.4/</guid></item><item><title>Istio 1.3.8 发布公告</title><description>
|
||
<p>此版本包含了<a href="/v1.6/zh/news/security/istio-security-2020-001">我们在 2020 年 2 月 11 日的新闻</a>中描述的安全漏洞的修复程序。此发行说明描述了 Istio 1.3.7 和 Istio 1.3.8 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/1.3.8">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.7...1.3.8">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<ul>
|
||
<li><strong>ISTIO-SECURITY-2020-001</strong> 在 <code>AuthenticationPolicy</code> 中发现了错误的输入验证。</li>
|
||
</ul>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8595">CVE-2020-8595</a></strong>:Istio 的<a href="/v1.6/zh/docs/reference/config/security/istio.authentication.v1alpha1/#Policy">认证策略</a>精确路径匹配逻辑中的一个 bug,允许在没有效的 JWT 令牌、未经授权的情况下访问资源。</p></description><pubDate>Tue, 11 Feb 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/</guid></item><item><title>Istio 1.3.7 发布公告</title><description>
|
||
<p>此版本发布了包含提高系统稳定性的 bug 修复程序,下面是 Istio 1.3.6 和 Istio 1.3.7 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.3.7"
|
||
data-downloadbuttontext="DOWNLOAD 1.3.7"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.3.7)'
|
||
data-updatebutton='了解 Istio 1.3.8'
|
||
data-updatehref="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.6...1.3.7">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> 修复了 Citadel 中的根证书轮换的问题,以将 value 从过期的根证书复用到新的根证书中(<a href="https://github.com/istio/istio/issues/19644">Issue 19644</a>)。</li>
|
||
<li><strong>修复</strong> 修复了遥测的问题,以忽略网关转发属性。</li>
|
||
<li><strong>修复</strong> 修复了 sidecar 注入到 pod 后,出口容器无端口的问题(<a href="https://github.com/istio/istio/issues/18594">Issue 18594</a>)。</li>
|
||
<li><strong>添加</strong> 添加了对包含点 <code>.</code> 的 pod 名的遥测支持(<a href="https://github.com/istio/istio/issues/19015">Issue 19015</a>)。</li>
|
||
<li><strong>添加</strong> 在 Citadel 代理中,添加了对生成 <code>PKCS#8</code> 私钥的支持 (<a href="https://github.com/istio/istio/issues/19948">Issue 19948</a>).</li>
|
||
</ul>
|
||
<h2 id="minor-enhancements">次要改进</h2>
|
||
<ul>
|
||
<li><strong>Improved</strong> 改进注入模板,以完全指定 <code>securityContext</code>,从而允许 <code>PodSecurityPolicies</code> 正确地验证注入的 deployment(<a href="https://github.com/istio/istio/issues/17318">Issue 17318</a>)。</li>
|
||
<li><strong>添加</strong> 添加了对代理容器设置 <code>lifecycle</code> 的支持。</li>
|
||
<li><strong>添加</strong> 在 Stackdriver Mixer 适配器中,添加了设置网格 UID 的支持(<a href="https://github.com/istio/istio/issues/17952">Issue 17952</a>)。</li>
|
||
</ul>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<ul>
|
||
<li><a href="/v1.6/zh/news/security/istio-security-2020-002"><strong>ISTIO-SECURITY-2020-002</strong></a> 由于不正确地接受某些请求 header,导致可绕过 Mixer 策略检查。</li>
|
||
</ul>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8843">CVE-2020-8843</a></strong>:在某些情况下,可以绕过特定配置的 Mixer 策略。Istio-proxy 在 ingress 处接受 <code>x-istio-attributes</code> header,当 Mixer 策略有选择地应用至 source 时,等价于应用至 ingress,其可能会影响策略决策。Istio 1.3 到 1.3.6 容易受到攻击。</p></description><pubDate>Tue, 04 Feb 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.7/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.7/</guid></item><item><title>对 Istio 1.3 的支持将于 2020 年 2 月 14 日终止</title><description><p>根据 Istio 的<a href="/v1.6/zh/about/release-cadence/">支持策略</a>,在下一个 LTS 版本发布后,1.3 版本会继续得到三个月的支持。由于 <a href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/">1.4 版本已于 11 月 14 日发布</a>,因此对 1.3 版本的支持将于 2020 年 2 月 14 日终止。</p>
|
||
<p>届时,我们将停止为 1.3 提供针对安全问题和关键错误的修复程序,因此我们建议您升级到最新版本的 Istio (1.6.8)。如果您不升级,可能会使自己处于必须在短时间内完成重大升级才能获取关键修复程序的地步。</p>
|
||
<p>我们关心您和您的集群,因此请对自己好一点并进行升级。</p></description><pubDate>Wed, 15 Jan 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.3-eol/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.3-eol/</guid></item><item><title>Istio 1.4.3 发布</title><description>
|
||
<p>此版本包含一些错误修复程序,以提高健壮性和用户体验。此发行说明描述了 Istio 1.4.2 和 Istio 1.4.3 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.4.3"
|
||
data-downloadbuttontext="DOWNLOAD 1.4.3"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.4.3)'
|
||
data-updatebutton='了解 Istio 1.4.5'
|
||
data-updatehref="/v1.6/zh/news/releases/1.4.x/announcing-1.4.5/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.4/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.4.2...1.4.3">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> Mixer 创建太多 watches,<code>kube-apiserver</code> 超载的问题 (<a href="https://github.com/istio/istio/issues/19481">Issue 19481</a>)。</li>
|
||
<li><strong>修复</strong> pod 包含多个没有暴露端口的容器时的注入问题 (<a href="https://github.com/istio/istio/issues/18594">Issue 18594</a>)。</li>
|
||
<li><strong>修复</strong> 对 <code>regex</code> 字段验证过于严格的问题 (<a href="https://github.com/istio/istio/pull/19212">Issue 19212</a>)。</li>
|
||
<li><strong>修复</strong> 对 <code>regex</code> 字段升级的问题 (<a href="https://github.com/istio/istio/pull/19665">Issue 19665</a>)。</li>
|
||
<li><strong>修复</strong> <code>istioctl</code> 安装以正确将日志发送到 <code>stderr</code> 的问题 (<a href="https://github.com/istio/istio/issues/17743">Issue 17743</a>)。</li>
|
||
<li><strong>修复</strong> 无法为 <code>istioctl</code> 安装指定文件和配置文件的问题 (<a href="https://github.com/istio/istio/issues/19503">Issue 19503</a>)。</li>
|
||
<li><strong>修复</strong> 阻止安装某些对象进行 <code>istioctl</code> 安装的问题 (<a href="https://github.com/istio/istio/issues/19371">Issue 19371</a>)。</li>
|
||
<li><strong>修复</strong> 阻止在 JWT 策略中将某些 JWKS 与 EC 密钥一起使用的问题 (<a href="https://github.com/istio/istio/issues/19424">Issue 19424</a>)。</li>
|
||
</ul>
|
||
<h2 id="improvements">增强</h2>
|
||
<ul>
|
||
<li><strong>增强</strong> 注入模板以完全指定 <code>securityContext</code>,允许 <code>PodSecurityPolicies</code> 正确验证注入的部署 (<a href="https://github.com/istio/istio/issues/17318">Issue 17318</a>)。</li>
|
||
<li><strong>增强</strong> 遥测 v2 配置,以支持 Stackdriver 和向前兼容性 (<a href="https://github.com/istio/installer/pull/591">Issue 591</a>)。</li>
|
||
<li><strong>增强</strong> <code>istioctl</code> 安装的输出 (<a href="https://github.com/istio/istio/issues/19451">Issue 19451</a>)。</li>
|
||
<li><strong>增强</strong> <code>istioctl</code> 安装,可以在发生故障时设置退出代码 (<a href="https://github.com/istio/istio/issues/19747">Issue 19747</a>)。</li>
|
||
</ul></description><pubDate>Wed, 08 Jan 2020 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.4.x/announcing-1.4.3/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.4.x/announcing-1.4.3/</guid></item><item><title>ISTIO-SECURITY-2019-007</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18801">CVE-2019-18801</a><br>
|
||
<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18802">CVE-2019-18802</a><br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td>9.0 <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=CVSS%3a3.0%2fAV%3aN%2fAC%3aH%2fPR%3aN%2fUI%3aN%2fS%3aC%2fC%3aH%2fI%3aH%2fA%3aH">CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H</a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
1.2 to 1.2.9<br>
|
||
1.3 to 1.3.5<br>
|
||
1.4 to 1.4.1<br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<p>Envoy 及 Istio 容易受到基于两个新发现的漏洞的攻击:</p>
|
||
<ul>
|
||
<li><p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18801">CVE-2019-18801</a></strong>:此漏洞以处理带有大量 HTTP/2 header 下游请求的方式影响 Envoy 的 HTTP/1 编解码器。利用此漏洞可能会导致拒绝服务、特权升级或信息泄露。</p></li>
|
||
<li><p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18802">CVE-2019-18802</a></strong>:HTTP/1 编解码器未能正确修剪 header 值的尾缀空格。这可能使攻击者可以绕开 Istio 的策略,导致特权升级或信息泄露。</p></li>
|
||
</ul>
|
||
<h2 id="impact-and-detection">影响范围</h2>
|
||
<p>Istio gateway 和 sidecar 都容易受到此问题的影响。如果您正在运行受影响的发行版之一,其中下游的请求为 HTTP/2,而上游的请求为 HTTP/1,则您的群集很容易受到攻击。我们估计很多集群都是这样。</p>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li>对于 Istio 1.2.x 部署: 请升级至 <a href="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10">Istio 1.2.10</a> 或更高的版本。</li>
|
||
<li>对于 Istio 1.3.x 部署: 请升级至 <a href="/v1.6/zh/news/releases/1.3.x/announcing-1.3.6">Istio 1.3.6</a> 或更高的版本。</li>
|
||
<li>对于 Istio 1.4.x 部署: 请升级至 <a href="/v1.6/zh/news/releases/1.4.x/announcing-1.4.2">Istio 1.4.2</a> 或更高的版本。</li>
|
||
</ul>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Tue, 10 Dec 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2019-007/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2019-007/</guid><category>CVE</category></item><item><title>Istio 1.4.2 发布公告</title><description>
|
||
<p>此版本包含了<a href="/v1.6/zh/news/security/istio-security-2019-007">我们在 2019 年 12 月 10 日新闻</a>中描述的安全漏洞的修复程序。此发行说明描述了 Istio 1.4.1 和 Istio 1.4.2 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.4.2"
|
||
data-downloadbuttontext="DOWNLOAD 1.4.2"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.4.2)'
|
||
data-updatebutton='了解 Istio 1.4.5'
|
||
data-updatehref="/v1.6/zh/news/releases/1.4.x/announcing-1.4.5/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.4/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.4.1...1.4.2">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<ul>
|
||
<li><strong>ISTIO-SECURITY-2019-007</strong> 在 Envoy 中发现了堆溢出和不正确的输入验证。</li>
|
||
</ul>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18801">CVE-2019-18801</a></strong>:修复了一个影响 Envoy 处理大型 HTTP/2 请求 header 的漏洞。成功利用此漏洞可能导致拒绝服务、特权提升或信息泄露。</p>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18802">CVE-2019-18802</a></strong>:修复了 HTTP/1 header 值后的空格引起的漏洞,该漏洞可能使攻击者绕过 Istio 的策略检查,从而可能导致信息泄露或特权提升。</p></description><pubDate>Tue, 10 Dec 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.4.x/announcing-1.4.2/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.4.x/announcing-1.4.2/</guid></item><item><title>Istio 1.3.6 发布公告</title><description>
|
||
<p>此版本包含了<a href="/v1.6/zh/news/security/istio-security-2019-007">我们在 2019 年 12 月 10 日新闻</a>中描述的安全漏洞的修复程序。此发行说明描述了 Istio 1.3.5 和 Istio 1.3.6 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.3.6"
|
||
data-downloadbuttontext="DOWNLOAD 1.3.6"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.3.6)'
|
||
data-updatebutton='了解 Istio 1.3.8'
|
||
data-updatehref="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.5...1.3.6">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<ul>
|
||
<li><strong>ISTIO-SECURITY-2019-007</strong> 在 Envoy 中发现了堆溢出和不正确的输入验证。</li>
|
||
</ul>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18801">CVE-2019-18801</a></strong>:修复了一个影响 Envoy 处理大型 HTTP/2 请求 header 的漏洞。成功利用此漏洞可能导致拒绝服务、特权提升或信息泄露。</p>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18802">CVE-2019-18802</a></strong>:修复了 HTTP/1 header 值后的空格引起的漏洞,该漏洞可能使攻击者绕过 Istio 的策略检查,从而可能导致信息泄露或特权提升。</p>
|
||
<h2 id="bug-fix">Bug 修复</h2>
|
||
<ul>
|
||
<li><p><strong>修复</strong> 使用 headless TCP 服务时,为代理的 IP 地址生成重复的侦听器的问题。(<a href="https://github.com/istio/istio/issues/17748">Issue 17748</a>)</p></li>
|
||
<li><p><strong>修复</strong> HTTP 相关指标中的 <code>destination_service</code> 标签不正确地退回到 <code>request.host</code>,可能导致 ingress 流量的指标基数激增的问题。(<a href="https://github.com/istio/istio/issues/18818">Issue 18818</a>)</p></li>
|
||
</ul>
|
||
<h2 id="minor-enhancements">小的增强</h2>
|
||
<ul>
|
||
<li><strong>改进</strong> Mixer 的减载选项。增加了对 <code>每秒请求数</code> 阈值的支持,以实现减少负载。该选项使运维人员可以在低流量情况下关闭 Mixer 的减载。</li>
|
||
</ul></description><pubDate>Tue, 10 Dec 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.6/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.6/</guid></item><item><title>Istio 1.2.10 发布公告</title><description>
|
||
<p>此版本包含了<a href="/v1.6/zh/news/security/istio-security-2019-007">我们在 2019 年 12 月 10 日新闻</a>中描述的安全漏洞的修复程序。此发行说明描述了 Istio 1.2.9 和 Istio 1.2.10 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/1.2.10">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.9...1.2.10">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<ul>
|
||
<li><strong>ISTIO-SECURITY-2019-007</strong> 在 Envoy 中发现了堆溢出和不正确的输入验证。</li>
|
||
</ul>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18801">CVE-2019-18801</a></strong>:修复了一个影响 Envoy 处理大型 HTTP/2 请求 header 的漏洞。成功利用此漏洞可能导致拒绝服务、特权提升或信息泄露。</p>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18802">CVE-2019-18802</a></strong>:修复了 HTTP/1 header 值后的空格引起的漏洞,该漏洞可能使攻击者绕过 Istio 的策略检查,从而可能导致信息泄露或特权提升。</p>
|
||
<h2 id="bug-fix">Bug 修复</h2>
|
||
<ul>
|
||
<li>添加对 Citadel 的支持以自动轮转根证书。(<a href="https://github.com/istio/istio/issues/17059">Issue 17059</a>)</li>
|
||
</ul></description><pubDate>Tue, 10 Dec 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/</guid></item><item><title>Istio 1.4.1 发布</title><description>
|
||
<p>此次发布包括了一些 bug 修复来提升健壮性。此次发布的注意事项描述了 Istio 1.4.0 和 Istio 1.4.1 之间的差异。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.4.1"
|
||
data-downloadbuttontext="DOWNLOAD 1.4.1"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.4.1)'
|
||
data-updatebutton='了解 Istio 1.4.5'
|
||
data-updatehref="/v1.6/zh/news/releases/1.4.x/announcing-1.4.5/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.4/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.4.0...1.4.1">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> Windows 安装 <code>istioctl</code> 的问题 (<a href="https://github.com/istio/istio/pull/19020">Issue 19020</a>).</li>
|
||
<li><strong>修复</strong> 当在 Kubernetes Ingress 中使用 cert-manager 的一个路由匹配顺序问题 (<a href="https://github.com/istio/istio/pull/19000">Issue 19000</a>).</li>
|
||
<li><strong>修复</strong> 当 pod 名称包含 <code>.</code> 时 Mixer 的 source namespace 属性配置错误的问题 (<a href="https://github.com/istio/istio/issues/19015">Issue 19015</a>).</li>
|
||
<li><strong>修复</strong> Galley 生成了过多的指标数据的问题 (<a href="https://github.com/istio/istio/issues/19165">Issue 19165</a>).</li>
|
||
<li><strong>修复</strong> 使追踪服务的端口恢复为监听 80 (<a href="https://github.com/istio/istio/issues/19227">Issue 19227</a>).</li>
|
||
<li><strong>修复</strong> 缺失 <code>istioctl</code> 自动补齐文件的问题 (<a href="https://github.com/istio/istio/issues/19297">Issue 19297</a>).</li>
|
||
</ul></description><pubDate>Thu, 05 Dec 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.4.x/announcing-1.4.1/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.4.x/announcing-1.4.1/</guid></item><item><title>对 Istio 1.2 的支持将于 2019 年 12 月 13 日终止</title><description><p>根据 Istio 的<a href="/v1.6/zh/about/release-cadence/">支持策略</a>,在下一个 LTS 版本发布后,1.2 版本会继续得到三个月的支持。由于 <a href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/">1.3 已经在 9 月 12 日发布</a>,对 1.2 版本的支持将于 2019 年 12 月 13 日终止。</p>
|
||
<p>届时,我们将停止为 1.2 提供针对安全问题和关键错误的修复程序,因此我们建议您升级到最新版本的 Istio (1.6.8)。如果您不这样做,可能会使自己处于必须在短时间内完成重大升级才能获取关键修复程序的地步。</p>
|
||
<p>我们非常关注您和您的集群,所以请参照我们的建议并进行升级。</p></description><pubDate>Mon, 11 Nov 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.2-eol/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.2-eol/</guid></item><item><title>Istio 1.3.5 发布公告</title><description>
|
||
<p>此版本包含<a href="/v1.6/zh/news/security/istio-security-2019-006">我们在 2019 年 11 月 11 日的新闻中</a>描述的安全漏洞修复程序以及提高健壮性的程序。此发行说明描述了 Istio 1.3.4 和 Istio 1.3.5 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.3.5"
|
||
data-downloadbuttontext="DOWNLOAD 1.3.5"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.3.5)'
|
||
data-updatebutton='了解 Istio 1.3.8'
|
||
data-updatehref="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.4...1.3.5">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<ul>
|
||
<li><strong>ISTIO-SECURITY-2019-006</strong> 在 Envoy 中发现了一个 DoS 漏洞。</li>
|
||
</ul>
|
||
<p><strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18817">CVE-2019-18817</a></strong>:在 Istio 中存在这种情况,如果将 <code>continue_on_listener_filters_timeout</code> 选项设置为 True,则可导致 Envoy 陷入死循环。可以利用此漏洞进行 DoS 攻击。如果应用了<a href="/v1.6/zh/news/security/istio-security-2019-006">我们在 2019 年 11 月 11 日的新闻中</a>提到的防范措施,则在升级到 Istio 1.3.5 或更高版本后,可以删除该防范措施。</p>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> TCP headless 服务的 Envoy 监听器配置。(<a href="https://github.com/istio/istio/issues/17748">Issue #17748</a>)</li>
|
||
<li><strong>修复</strong> 即使将 deployment 缩放到 0 个副本,过时的 endpoint 也会保留的问题。(<a href="https://github.com/istio/istio/issues/14336">Issue #14436</a>)</li>
|
||
<li><strong>修复</strong> 生成无效的 Envoy 配置时,Pilot 不会再崩溃。(<a href="https://github.com/istio/istio/issues/17266">Issue 17266</a>)</li>
|
||
<li><strong>修复</strong> 没有为与 BlackHole/Passthrough 集群相关的 TCP 指标填充 <code>destination_service_name</code> 标签的问题。(<a href="https://github.com/istio/istio/issues/17271">Issue 17271</a>)</li>
|
||
<li><strong>修复</strong> 调用遥测过滤器链时遥测不报告 BlackHole/Passthrough 群集指标的问题。集群指标的问题。该问题会在为外部服务配置显示的 <code>ServiceEntries</code> 时发生的。
|
||
(<a href="https://github.com/istio/istio/issues/17759">Issue 17759</a>)</li>
|
||
</ul>
|
||
<h2 id="minor-enhancements">小的增强</h2>
|
||
<ul>
|
||
<li><strong>添加</strong> 支持 Citadel 定期检查根证书的剩余寿命并轮换即将到期的根证书。(<a href="https://github.com/istio/istio/issues/17059">Issue 17059</a>)</li>
|
||
<li><strong>添加</strong> 为 Pilot 添加布尔型环境变量 <code>PILOT_BLOCK_HTTP_ON_443</code>。如果启用,此标志将阻止 HTTP 服务在端口 443 上运行,以防止与外部 HTTP 服务发生冲突。默认情况下禁用此功能。(<a href="https://github.com/istio/istio/issues/16458">Issue 16458</a>)</li>
|
||
</ul></description><pubDate>Mon, 11 Nov 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.5/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.5/</guid></item><item><title>ISTIO-SECURITY-2019-006</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td> <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector="></a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="context">内容</h2>
|
||
<p>Envoy 以及随后的 Istio 容易受到以下 DoS 攻击。
|
||
如果选项 <code>continue_on_listener_filters_timeout</code> 设置为 <code>True</code>,则可以在 Envoy 中触发无限循环。自从 Istio 1.3 中引入协议检测功能以来,Istio 就是这种情况。
|
||
远程攻击者可能会轻易触发该漏洞,从而有效耗尽 Envoy 的 CPU 资源并造成拒绝服务攻击。</p>
|
||
<h2 id="impact-and-detection">影响范围</h2>
|
||
<p>Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。</p>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li><p>解决方法: 通过自定义安装 Istio 可以防止对该漏洞的利用(如<a href="/v1.6/zh/docs/reference/config/installation-options/#pilot-options">安装选项</a>中所述),在使用 Helm 时添加以下选项:</p>
|
||
<pre><code class='language-plain' data-expandlinks='true' data-repo='istio' >--set pilot.env.PILOT_INBOUND_PROTOCOL_DETECTION_TIMEOUT=0s --set global.proxy.protocolDetectionTimeout=0s
|
||
</code></pre></li>
|
||
<li><p>对于 Istio 1.3.x 部署: 更新至 <a href="/v1.6/zh/news/releases/1.3.x/announcing-1.3.5">Istio 1.3.5</a> 或者更新的版本。</p></li>
|
||
</ul>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Thu, 07 Nov 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2019-006/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2019-006/</guid><category>CVE</category></item><item><title>发布 Istio 1.2.9</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.2.9 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.9"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.9"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.9)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.8...1.2.9">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复代理启动的先决条件。</li>
|
||
</ul>
|
||
<h2 id="features">特点</h2>
|
||
<ul>
|
||
<li>添加了对 <code>Citadel</code> 自动更换根证书的支持 (<a href="https://github.com/istio/istio/issues/17059">Issue 17059</a>)。</li>
|
||
</ul></description><pubDate>Wed, 06 Nov 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.9/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.9/</guid></item><item><title>Istio 1.3.4 发布公告</title><description>
|
||
<p>此版本发布了包含提高系统稳定性的错误修复程序,下面是 Istio 1.3.3 和 Istio 1.3.4 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.3.4"
|
||
data-downloadbuttontext="DOWNLOAD 1.3.4"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.3.4)'
|
||
data-updatebutton='了解 Istio 1.3.8'
|
||
data-updatehref="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.3...1.3.4">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> Google 节点代理提供程序中的崩溃错误。(<a href="https://github.com/istio/istio/pull/18260">Pull Request #18296</a>)</li>
|
||
<li><strong>修复</strong> Prometheus 注释,并将 Jaeger 更新为 1.14。(<a href="https://github.com/istio/istio/pull/18274">Pull Request #18274</a>)</li>
|
||
<li><strong>修复</strong> 入站侦听器重载间隔为 5 分钟。(<a href="https://github.com/istio/istio/issues/18088">Issue #18138</a>)</li>
|
||
<li><strong>修复</strong> 密钥和证书轮换的验证问题。(<a href="https://github.com/istio/istio/issues/17718">Issue #17718</a>)</li>
|
||
<li><strong>修复</strong> 无效的内部资源垃圾回收问题。(<a href="https://github.com/istio/istio/issues/16818">Issue #16818</a>)</li>
|
||
<li><strong>修复</strong> 在失败时不更新 webhook 的问题。(<a href="https://github.com/istio/istio/pull/17820">Pull Request #17820</a>)</li>
|
||
<li><strong>Improved</strong> OpenCensus 跟踪适配器的性能问题。(<a href="https://github.com/istio/istio/issues/18042">Issue #18042</a>)</li>
|
||
</ul>
|
||
<h2 id="minor-enhancements">小的增强</h2>
|
||
<ul>
|
||
<li><strong>增强</strong> SDS 服务的可靠性。(<a href="https://github.com/istio/istio/issues/17409">Issue #17409</a>, <a href="https://github.com/istio/istio/issues/17905">Issue #17905</a>)</li>
|
||
<li><strong>添加</strong> 稳定版本的故障域标签。(<a href="https://github.com/istio/istio/pull/17755">Pull Request #17755</a>)</li>
|
||
<li><strong>添加</strong> 更新与升级相关的全局网格策略。(<a href="https://github.com/istio/istio/pull/17033">Pull Request #17033</a>)</li>
|
||
</ul></description><pubDate>Fri, 01 Nov 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.4/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.4/</guid></item><item><title>发布 Istio 1.2.8</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.2.8 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.8"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.8"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.8)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.7...1.2.8">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><p>修复了我们在 <a href="/v1.6/zh/news/security/istio-security-2019-005">10 月 8 日发布的安全性错误</a>,错误地计算了 <code>HTTP header</code> 和 <code>body sizes</code> (<a href="https://github.com/istio/istio/issues/17735">Issue 17735</a>)。</p></li>
|
||
<li><p>修复了一个较小的错误,将部署减小到 0 个副本时,<code>endpoint</code> 仍保留在 <code>/clusters</code> 中 (<a href="https://github.com/istio/istio/issues/14336">Issue 14336</a>)。</p></li>
|
||
<li><p>修复了 <code>Helm</code> 的升级过程,以正确的方式更新对 <code>mutual TLS</code> 的网格策略 (<a href="https://github.com/istio/istio/issues/16170">Issue 16170</a>)。</p></li>
|
||
<li><p>修复了在目标服务中对 <code>TCP</code> 连接的打开和关闭度量标准的不一致性问题 (<a href="https://github.com/istio/istio/issues/17234">Issue 17234</a>)。</p></li>
|
||
<li><p>修复了 <code>Istio</code> 的 <code>secret</code> 清除机制 (<a href="https://github.com/istio/istio/issues/17122">Issue 17122</a>)。</p></li>
|
||
<li><p>修复了 <code>Mixer Stackdriver</code> 适配器的编码过程,以处理无效的 <code>UTF-8</code> (<a href="https://github.com/istio/istio/issues/16966">Issue 16966</a>)。</p></li>
|
||
</ul>
|
||
<h2 id="features">特点</h2>
|
||
<ul>
|
||
<li>新增了 <code>pilot</code> 对新的故障域标签:<code>zone</code> 和 <code>region</code> 的支持。</li>
|
||
</ul></description><pubDate>Wed, 23 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.8/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.8/</guid></item><item><title>对 Istio 1.1 的支持已终止</title><description><p>正如<a href="/v1.6/zh/news/support/announcing-1.1-eol/">之前宣布的</a>一样,对 Istio 1.1 的支持现已正式宣布终止。</p>
|
||
<p>由于我们在 <a href="/v1.6/zh/news/security/istio-security-2019-005">10 月 8 日发布之后</a>了解到该版本存在安全漏洞,而该漏洞仍处于 1.1 版本支持的期限内,因此我们决定将 1.1 支持期限延长至原始公告之后并发布 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.16">1.1.16</a>。然后,我们发现此版本引入了 <a href="https://github.com/istio/istio/issues/17735">HTTP header 计算大小的错误</a>因此我们决定最后发布一个补丁程序 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17">1.1.17</a> 发布之后,将会彻底关闭 1.1 系列版本。</p>
|
||
<p>届时,我们将不会再针对安全和关键错误的修复等问题移植回 1.1,因此,我们衷心希望您将现有集群升级到最新版本的 Istio (1.6.8)。</p></description><pubDate>Mon, 21 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.1-eol-final/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.1-eol-final/</guid></item><item><title>Istio 1.1.17 发布公告</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.17 已经可用。这将是最后一个 1.1.x 的补丁版本。请浏览下面的变更说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/1.1.17">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.16...1.1.17">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了一个由 <a href="/v1.6/zh/news/security/istio-security-2019-005">10 月 8 日安全补丁</a>引入的 bug,它错误地计算 HTTP 头和请求体大小(<a href="https://github.com/istio/istio/issues/17735">Issue 17735</a>)。</li>
|
||
</ul></description><pubDate>Mon, 21 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/</guid></item><item><title>Istio 1.3.3 发布公告</title><description>
|
||
<p>此版本包含一些错误修复程序,以提高稳定性。此发行说明描述了 Istio 1.3.2 和 Istio 1.3.3 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.3.3"
|
||
data-downloadbuttontext="DOWNLOAD 1.3.3"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.3.3)'
|
||
data-updatebutton='了解 Istio 1.3.8'
|
||
data-updatehref="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.2...1.3.3">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>Fixed</strong> 当使用 <code>istioctl x manifest apply</code> 时导致 Prometheus 安装不正确的问题。(<a href="https://github.com/istio/istio/issues/16970">Issue 16970</a>)</li>
|
||
<li><strong>Fixed</strong> 本地负载均衡不能从本地节点读取位置信息的错误。(<a href="https://github.com/istio/istio/issues/17337">Issue 17337</a>)</li>
|
||
<li><strong>Fixed</strong> 当侦听器在没有任何用户配置更改的情况下进行重新配置时,Envoy 代理会删除长连接。(<a href="https://github.com/istio/istio/issues/17383">Issue 17383</a>,<a href="https://github.com/istio/istio/issues/17139">Issue 17139</a>)</li>
|
||
<li><strong>Fixed</strong> <code>istioctl x analyze</code> 命令的崩溃问题。(<a href="https://github.com/istio/istio/issues/17449">Issue 17449</a>)</li>
|
||
<li><strong>Fixed</strong> <code>istioctl x manifest diff</code> 命令中 ConfigMaps 中的差异文本块。(<a href="https://github.com/istio/istio/issues/16828">Issue 16828</a>)</li>
|
||
<li><strong>Fixed</strong> Envoy proxy 的分段错误崩溃问题。(<a href="https://github.com/istio/istio/issues/17699">Issue 17699</a>)</li>
|
||
</ul></description><pubDate>Mon, 14 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.3/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.3/</guid></item><item><title>ISTIO-SECURITY-2019-005</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15226">CVE-2019-15226</a><br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td>7.5 <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=CVSS%3a3.0%2fAV%3aN%2fAC%3aL%2fPR%3aN%2fUI%3aN%2fS%3aU%2fC%3aN%2fI%3aN%2fA%3aH">CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H</a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
1.1 to 1.1.15<br>
|
||
1.2 to 1.2.6<br>
|
||
1.3 to 1.3.1<br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="context">内容</h2>
|
||
<p>Envoy 和 Istio 容易受到以下 DoS 攻击。收到每个传入的请求后,Envoy 将遍历请求标头,以保证请求头的总大小保持在最大限制以下。远程攻击者可能会制作一个请求,该请求的 header 的大小不会超过最大限制,但包含成千上万个小的 header,来消耗 CPU 并导致拒绝服务攻击。</p>
|
||
<h2 id="impact-and-detection">影响范围</h2>
|
||
<p>Istio gateway 和 sidecar 都容易受到此问题的影响。如果您运行的 Istio 是受影响的发行版本,那么您的集群容易受到攻击。</p>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li>对于 Istio 1.1.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后<a href="/v1.6/zh/docs/setup/upgrade/cni-helm-upgrade/#sidecar-upgrade">更新数据平面</a>的版本不低于 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.16">Istio 1.1.16</a>。</li>
|
||
<li>对于 Istio 1.2.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后<a href="/v1.6/zh/docs/setup/upgrade/cni-helm-upgrade/#sidecar-upgrade">更新数据平面</a>的版本不低于 <a href="/v1.6/zh/news/releases/1.2.x/announcing-1.2.7">Istio 1.2.7</a>。</li>
|
||
<li>对于 Istio 1.3.x 部署: 更新所有控制平面组件(Pilot、Mixer、Citadel、和 Galley) 然后<a href="/v1.6/zh/docs/setup/upgrade/cni-helm-upgrade/#sidecar-upgrade">更新数据平面</a>的版本不低于 <a href="/v1.6/zh/news/releases/1.3.x/announcing-1.3.2">Istio 1.3.2</a>。</li>
|
||
</ul>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Tue, 08 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2019-005/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2019-005/</guid><category>CVE</category></item><item><title>Istio 1.3.2 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.3.2 发布,请查看下面的更改说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.3.2"
|
||
data-downloadbuttontext="DOWNLOAD 1.3.2"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.3.2)'
|
||
data-updatebutton='了解 Istio 1.3.8'
|
||
data-updatehref="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.1...1.3.2">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>此版本包含我们 <a href="/v1.6/zh/news/security/istio-security-2019-005">2019 年 10 月 8 日新闻发布</a>中所述的安全漏洞修复程序。特别:</p>
|
||
<p><strong>ISTIO-SECURITY-2019-005</strong>: Envoy 社区发现了一个 DoS 漏洞。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15226">CVE-2019-15226</a></strong>: 经过调查,Istio 团队发现,如果攻击者使用大量非常小的标头,则可以利用此问题进行 Istio 的 DoS 攻击。</p>
|
||
<p>除上述安全修复程序外,此版本中不包含其他任何内容。几天后将发布 Distroless 镜像。</p></description><pubDate>Tue, 08 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.2/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.2/</guid></item><item><title>发布 Istio 1.2.7</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.2.7 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.7"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.7"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.7)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.6...1.2.7">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>此版本包含我们在 <a href="/v1.6/zh/news/security/istio-security-2019-005">2019 年 10 月 8 日</a>的新闻中所阐述的安全漏洞程序的修复。特别是:</p>
|
||
<p><strong>ISTIO-SECURITY-2019-005</strong>: <code>Envoy</code> 社区发现的一个 <code>DoS</code> 漏洞。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15226">CVE-2019-15226</a></strong>: 经过调查,<code>Istio</code> 团队发现,如果攻击者使用大量非常小的 <code>header</code>,则可以利用此问题在 <code>Istio</code> 中进行 <code>DoS</code> 攻击。</p>
|
||
<h2 id="bug-fix">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了 <code>nodeagent</code> 在使用 <code>citadel</code> 时启动失败的错误 (<a href="https://github.com/istio/istio/issues/17108">Issue 15876</a>)</li>
|
||
</ul></description><pubDate>Tue, 08 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.7/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.7/</guid></item><item><title>Istio 1.1.16 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.1.16 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.16"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.16"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.16)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.15...1.1.16">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>此版本包含了我们在 <a href="/v1.6/zh/news/security/istio-security-2019-005">2019 年 10 月 8 日</a>的新闻中所阐述的修复程序的安全漏洞。特别是:</p>
|
||
<p><strong>ISTIO-SECURITY-2019-005</strong>: <code>Envoy</code> 社区发现了一个 <code>DoS</code> 漏洞。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15226">CVE-2019-15226</a></strong>: 经过调查,<code>Istio</code> 团队发现,如果攻击者使用大量非常小的 <code>header</code>,则可以利用此问题进行对 <code>Istio</code> 的 <code>DoS</code> 攻击。</p>
|
||
<p>除了对上述程序的安全修复以外,此版本中不包含其他任何内容。</p></description><pubDate>Tue, 08 Oct 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.16/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.16/</guid></item><item><title>Istio 1.3.1 发布公告</title><description>
|
||
<p>此版本包含一些错误修复程序,以提高稳定性。此发行说明描述了 Istio 1.3.0 和 Istio 1.3.1 之间的区别。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.3.1"
|
||
data-downloadbuttontext="DOWNLOAD 1.3.1"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.3.1)'
|
||
data-updatebutton='了解 Istio 1.3.8'
|
||
data-updatehref="/v1.6/zh/news/releases/1.3.x/announcing-1.3.8/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.3.0...1.3.1">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> 在升级过程中错误的导致 secret 清理任务执行错误的问题(<a href="https://github.com/istio/istio/issues/16873">Issue 16873</a>)。</li>
|
||
<li><strong>修复</strong> 默认配置禁用 Kubernetes Ingress 支持的问题(<a href="https://github.com/istio/istio/issues/17148">Issue 17148</a>)。</li>
|
||
<li><strong>修复</strong> 在 Stackdriver 日志记录适配器中处理无效 <code>UTF-8</code> 字符的问题(<a href="https://github.com/istio/istio/issues/16966">Issue 16966</a>)。</li>
|
||
<li><strong>修复</strong> HTTP 指标中没有为 <code>BlackHoleCluster</code> 和 <code>PassThroughCluster</code> 设置 <code>destination_service</code> 标签的问题(<a href="https://github.com/istio/istio/issues/16629">Issue 16629</a>)。</li>
|
||
<li><strong>修复</strong> 由于 <code>destination_service</code> 标签问题导致 <code>istio_tcp_connections_closed_total</code> 和 <code>istio_tcp_connections_opened_total</code> 指标不能被正确设置(<a href="https://github.com/istio/istio/issues/17234">Issue 17234</a>)。</li>
|
||
<li><strong>修复</strong> Istio 1.2.4 引入的 Envoy 崩溃问题(<a href="https://github.com/istio/istio/issues/16357">Issue 16357</a>)。</li>
|
||
<li><strong>修复</strong> 在节点上禁用 IPv6 时,Istio CNI Sidecar 初始化的问题(<a href="https://github.com/istio/istio/issues/15895">Issue 15895</a>)。</li>
|
||
<li><strong>修复</strong> 影响 JWT 中 RS384 和 RS512 算法支持问题(<a href="https://github.com/istio/istio/issues/15380">Issue 15380</a>)。</li>
|
||
</ul>
|
||
<h2 id="minor-enhancements">小的增强</h2>
|
||
<ul>
|
||
<li><strong>增加</strong> <code>.Values.global.priorityClassName</code> 对遥测部署的支持。</li>
|
||
<li><strong>增加</strong> 对 Datadog 的支持。</li>
|
||
<li><strong>增加</strong> <code>pilot_xds_push_time</code> 指标以报告 Pilot xDS 推送时间。</li>
|
||
<li><strong>增加</strong> <code>istioctl experimental analyze</code> 以支持多资源分析和验证。</li>
|
||
<li><strong>增加</strong> 对在 WebAssembly 沙箱中运行元数据交换和统计信息扩展的支持。请按照<a href="/v1.6/zh/docs/ops/configuration/telemetry/in-proxy-service-telemetry/">以下</a>说明进行尝试。</li>
|
||
<li><strong>删除</strong> proxy-status 命令中的时间差异信息。</li>
|
||
</ul></description><pubDate>Fri, 27 Sep 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3.1/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3.1/</guid></item><item><title>Istio 1.2.6 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.2.6 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.6"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.6"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.6)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.5...1.2.6">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了 <code>redisquota</code> 有关 <code>memquota</code> 的计数不一致问题 (<a href="https://github.com/istio/istio/issues/15543">Issue 15543</a>)。</li>
|
||
<li>修复了在 Istio 1.2.5 中引入的 Envoy 崩溃问题 (<a href="https://github.com/istio/istio/issues/16357">Issue 16357</a>)。</li>
|
||
<li>修复了在插件证书(带有中间证书)的上下文中损坏的 <code>Citadel</code> 的运行状况的检查 (<a href="https://github.com/istio/istio/issues/16593">Issue 16593</a>)。</li>
|
||
<li>修复了 Stackdriver Mixer Adapter 的错误日志的详细程度 (<a href="https://github.com/istio/istio/issues/16782">Issue 16782</a>)。</li>
|
||
<li>修复了一个错误,该错误将删除具有多个端口的服务主机上的账户映射。</li>
|
||
<li>修复了由 Pilot 产生的不正确的通配符 <code>filterChainMatch</code> 导致的主机重复的问题 (<a href="https://github.com/istio/istio/issues/16573">Issue 16573</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>当与 Stackdriver 等服务进行会话连接时,会暴露 <code>sidecarToTelemetrySessionAffinity</code> (Mixer V1 需要) (<a href="https://github.com/istio/istio/issues/16862">Issue 16862</a>)。</li>
|
||
<li>暴露 <code>HTTP/2</code> 窗口大小作为 Pilot 的环境变量 (<a href="https://github.com/istio/istio/issues/17117">Issue 17117</a>)。</li>
|
||
</ul></description><pubDate>Tue, 17 Sep 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.6/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.6/</guid></item><item><title>Istio 1.1.15 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.1.15 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.15"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.15"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.15)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.14...1.1.15">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<p>Bug 修复{#bug-fixes}</p>
|
||
<ul>
|
||
<li>修复 Istio 1.1.14 中引入的 Envoy 崩溃 bug (<a href="https://github.com/istio/istio/issues/16357">Issue 16357</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>暴露 <code>HTTP/2</code> 窗口大小作为 Pilot 环境变量 (<a href="https://github.com/istio/istio/issues/17117">Issue 17117</a>)。</li>
|
||
</ul></description><pubDate>Mon, 16 Sep 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.15/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.15/</guid></item><item><title>Istio 1.2.4 sidecar 镜像漏洞</title><description>
|
||
<p>致 Istio 用户社区,</p>
|
||
<p>在太平洋标准时间 2019 年 8 月 23 日下午 9:16 至太平洋标准时间 2019 年 9 月 6 日上午 09:26 之间,Istio <code>proxyv2</code> 1.2.4(参见 <a href="https://hub.docker.com/r/istio/proxyv2">https://hub.docker.com/r/istio/proxyv2</a>)的 Docker 映像包含了错误的针对 <a href="/v1.6/zh/news/security/istio-security-2019-003/">ISTIO-SECURITY-2019-003</a> 和 <a href="/v1.6/zh/news/security/istio-security-2019-004/">ISTIO-SECURITY-2019-004</a> 漏洞的代理版本。</p>
|
||
<p>如果在此期间安装了 Istio 1.2.4,请考虑升级到还包含其他安全修复程序的 Istio 1.2.5。</p>
|
||
<h2 id="detailed-explanation">详细说明</h2>
|
||
<p>由于在修复最近的 HTTP2 DoS 漏洞时我们已经执行了通信禁令,因此对于这种类型的发布来说很常见:我们预先私下构建了 Sidecar 的映像,在公开披露的同时,我们在 Docker Hub 上手动推送了该映像。</p>
|
||
<p>对于无法修复安全漏洞的秘密披露版本,该 Docker 映像通常会通过我们的发行渠道作业完全自动的完成 push。</p>
|
||
<p>我们的自动发布流程无法与漏洞披露禁令所要求的手动交互一起正常工作:发布管道保留了对 Istio 仓库旧版本代码的引用。</p>
|
||
<p>出现的问题,自动构建需要基于旧版本构建,这是在 Istio 1.2.5 发行期间的事情:我们遇到了一个需要 <a href="https://github.com/istio-releases/pipeline/commit/635d276ad7eac01bef9c3f195520a0f722626c0f">revert commit</a> 的问题,该问题触发了基于旧版本 Istio 1.2.4 代码的重建。</p>
|
||
<p>此 revert commit 发生在太平洋标准时间 2019 年 8 月 23 日下午 09:16。我们已经注意到该问题,并于太平洋标准时间 2019 年 9 月 6 日上午 09:26 回推了该镜像。</p>
|
||
<p>对于由于此事件给您带来的不便,我们感到抱歉,并且我们<a href="https://github.com/istio/istio/issues/16887">正在努力建立更好的发布系统</a>,以及一种更有效的方式来处理漏洞报告。</p>
|
||
<ul>
|
||
<li>1.2 的发布管理器</li>
|
||
</ul></description><pubDate>Tue, 10 Sep 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/incorrect-sidecar-image-1.2.4/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/incorrect-sidecar-image-1.2.4/</guid><category>community</category><category>blog</category><category>security</category></item><item><title>Istio 1.2.5 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.2.5 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.5"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.5"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.5)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.4...1.2.5">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>遵循 <a href="/v1.6/zh/news/security/istio-security-2019-003/">ISTIO-SECURITY-2019-003</a>
|
||
和 <a href="/v1.6/zh/news/security/istio-security-2019-004">ISTIO-SECURITY-2019-004</a> 中描述的安全漏洞的修复,我们现在解决内部控制平面的通信问题。这些修复在我们之前的安全版本中不可用,并且我们认为控制平面 <code>gRPC</code> 表面更难以开发。</p>
|
||
<p>您可以在它们的邮件列表中找到 <code>gRPC</code> 的漏洞修复说明,详情参见 <a href="https://groups.google.com/forum/#!topic/grpc-io/w5jPamxdda4">HTTP/2 Security Vulnerabilities</a>。</p>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><p>修复了一个 Envoy 错误,打破 <code>java.net.http.HttpClient</code> 和其他客户端试图使用 <code>Upgrade: h2c</code> 的 header 从 <code>HTTP/1.1</code> 到 <code>HTTP/2</code> 进行升级,详情参见 (<a href="https://github.com/istio/istio/issues/16391">Issue 16391</a>)。</p></li>
|
||
<li><p>修复了一个在发送超时时出现内存泄漏的问题 (<a href="https://github.com/istio/istio/issues/15876">Issue 15876</a>)。</p></li>
|
||
</ul></description><pubDate>Mon, 26 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.5/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.5/</guid></item><item><title>Istio 1.1.14 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.1.14 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.14"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.14"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.14)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.13...1.1.14">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>遵循 <a href="/v1.6/zh/news/security/istio-security-2019-003/">ISTIO-SECURITY-2019-003</a>
|
||
和 <a href="/v1.6/zh/news/security/istio-security-2019-004/">ISTIO-SECURITY-2019-004</a> 中描述的安全漏洞的修复,我们现在解决内部控制平面的通信问题。这些修复在我们之前的安全版本中不可用,并且我们认为控制平面 <code>gRPC</code> 表面更难以开发。</p>
|
||
<p>您可以在它们的邮件列表中找到 <code>gRPC</code> 的漏洞修复说明,详情参见 <a href="https://groups.google.com/forum/#!topic/grpc-io/w5jPamxdda4">HTTP/2 Security Vulnerabilities</a>。</p>
|
||
<p>Bug 修复{#bug-fixes}</p>
|
||
<ul>
|
||
<li>修正了一个 Envoy 错误,打破 <code>java.net.http.HttpClient</code> 和其他客户端试图使用 <code>Upgrade: h2c</code> 的 header 从 <code>HTTP/1.1</code> 到 <code>HTTP/2</code> 进行升级,详情参见 (<a href="https://github.com/istio/istio/issues/16391">Issue 16391</a>)。</li>
|
||
</ul></description><pubDate>Mon, 26 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.14/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.14/</guid></item><item><title>对 Istio 1.1 的支持将于 2019 年 9 月 19 日终止</title><description><p>根据 Istio 的<a href="/v1.6/zh/about/release-cadence/">支持策略</a>,在下一个 LTS 版本发布后的三个月内,将支持 1.1 LTS 版本。由于 <a href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/">1.2 在 6 月 18 日发布</a>,对 1.1 的支持将于 2019 年 9 月 19 日终止。</p>
|
||
<p>届时,我们将会把针对安全问题和关键性错误修复后的程序反向合并到 1.1,因此我们建议您升级到最新版本的 Istio(1.6.8。如果您不这样做,可能会在短时间内为了修复关键性错误程序而进行频繁的重大升级。</p>
|
||
<p>我们非常关注您和您的集群,所以请参照我们的建议并进行升级。</p></description><pubDate>Thu, 15 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.1-eol/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.1-eol/</guid></item><item><title>ISTIO-SECURITY-2019-004</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td> <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector="></a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="context">内容</h2>
|
||
<p>Envoy 和 Istio 容易受到一系列基于 HTTP/2 的 DoS 攻击:</p>
|
||
<ul>
|
||
<li>利用 HTTP/2 的 PING 帧及 PING ACK 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。</li>
|
||
<li>利用 HTTP/2 的 PRIORITY 帧发起的洪水攻击,这会导致 CPU 使用率过高、不能及时响应其它正常的客户端。</li>
|
||
<li>利用 HTTP/2 的 HEADERS 帧(带有无效 HTTP header) 和 <code>RST_STREAM</code> 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。</li>
|
||
<li>利用 HTTP/2 的 SETTINGS 帧及 SETTINGS ACK 帧响应队列发起的洪水攻击,这会导致内存的无限制增长(可能导致内存不足的情况)。</li>
|
||
<li>利用 HTTP/2 的 空荷载帧发起的洪水攻击,这会导致 CPU 使用率过高、不能及时响应其它正常的客户端。</li>
|
||
</ul>
|
||
<p>这些漏洞是从外部报告的,并影响多个代理的实现。更多信息请查看<a href="https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md">安全公告</a>。</p>
|
||
<h2 id="impact-and-detection">影响范围</h2>
|
||
<p>如果 Istio 终止来自外部的 HTTP,则 Istio 会变得很脆弱。如果终止 HTTP 的是 Istio 前面的 Intermediary (例: HTTP 负载均衡),那 Intermediary 就可以保护 Istio,前提是 Intermediary 本身不容易受到相同的 HTTP/2 攻击。</p>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li>对于 Istio 1.1.x 部署:更新至 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.13">Istio 1.1.13</a> 或者更新的版本。</li>
|
||
<li>对于 Istio 1.2.x 部署:更新至 <a href="/v1.6/zh/news/releases/1.2.x/announcing-1.2.4">Istio 1.2.4</a> 或者更新的版本。</li>
|
||
</ul>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Tue, 13 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2019-004/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2019-004/</guid><category>CVE</category></item><item><title>ISTIO-SECURITY-2019-003</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14993">CVE-2019-14993</a><br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td>7.5 <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=CVSS%3a3.0%2fAV%3aN%2fAC%3aL%2fPR%3aN%2fUI%3aN%2fS%3aU%2fC%3aN%2fI%3aN%2fA%3aH">CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H</a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
1.1 to 1.1.12<br>
|
||
1.2 to 1.2.3<br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="context">内容</h2>
|
||
<p>一位 Envoy 用户报告了一个 (c.f. <a href="https://github.com/envoyproxy/envoy/issues/7728">Envoy Issue 7728</a>) 关于非常大的 URI 的正则表达式会导致 Envoy 崩溃的问题。通过调查,Istio 团队发现如果用户正在这些 Istio API(<code>JWT</code>, <code>VirtualService</code>, <code>HTTPAPISpecBinding</code>, <code>QuotaSpecBinding</code>)中使用正则表达式,那么这个问题可能在 Istio 中引发 Dos 攻击。</p>
|
||
<h2 id="impact-and-detection">影响范围</h2>
|
||
<p>运行下面的命令可以打印下面的输出,检测在你的集群中是否使用了 Istio 正则表达式相关的 API。</p>
|
||
<ul>
|
||
<li>YOU ARE AFFECTED: found regex used in <code>AuthenticationPolicy</code> or <code>VirtualService</code></li>
|
||
<li>YOU ARE NOT AFFECTED: did not find regex usage</li>
|
||
</ul>
|
||
<pre><code class='language-bash' data-expandlinks='true' data-repo='istio' >$ cat &lt;&lt;&#39;EOF&#39; | bash -
|
||
set -e
|
||
set -u
|
||
set -o pipefail
|
||
red=`tput setaf 1`
|
||
green=`tput setaf 2`
|
||
reset=`tput sgr0`
|
||
echo &#34;Checking regex usage in Istio API ...&#34;
|
||
AFFECTED=()
|
||
JWT_REGEX=()
|
||
JWT_REGEX+=($(kubectl get Policy --all-namespaces -o jsonpath=&#39;{..regex}&#39;))
|
||
JWT_REGEX+=($(kubectl get MeshPolicy --all-namespaces -o jsonpath=&#39;{..regex}&#39;))
|
||
if [ &#34;${#JWT_REGEX[@]}&#34; != 0 ]; then
|
||
AFFECTED+=(&#34;AuthenticationPolicy&#34;)
|
||
fi
|
||
VS_REGEX=()
|
||
VS_REGEX+=($(kubectl get VirtualService --all-namespaces -o jsonpath=&#39;{..regex}&#39;))
|
||
if [ &#34;${#VS_REGEX[@]}&#34; != 0 ]; then
|
||
AFFECTED+=(&#34;VirtualService&#34;)
|
||
fi
|
||
HTTPAPI_REGEX=()
|
||
HTTPAPI_REGEX+=($(kubectl get HTTPAPISpec --all-namespaces -o jsonpath=&#39;{..regex}&#39;))
|
||
if [ &#34;${#HTTPAPI_REGEX[@]}&#34; != 0 ]; then
|
||
AFFECTED+=(&#34;HTTPAPISpec&#34;)
|
||
fi
|
||
QUOTA_REGEX=()
|
||
QUOTA_REGEX+=($(kubectl get QuotaSpec --all-namespaces -o jsonpath=&#39;{..regex}&#39;))
|
||
if [ &#34;${#QUOTA_REGEX[@]}&#34; != 0 ]; then
|
||
AFFECTED+=(&#34;QuotaSpec&#34;)
|
||
fi
|
||
if [ &#34;${#AFFECTED[@]}&#34; != 0 ]; then
|
||
echo &#34;${red}YOU ARE AFFECTED: found regex used in ${AFFECTED[@]}${reset}&#34;
|
||
exit 1
|
||
fi
|
||
echo &#34;${green}YOU ARE NOT AFFECTED: did not find regex usage${reset}&#34;
|
||
EOF
|
||
</code></pre>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li>Istio 1.1.x: 升级到 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.13">Istio 1.1.13</a> 或者更高</li>
|
||
<li>Istio 1.2.x: 升级到 <a href="/v1.6/zh/news/releases/1.2.x/announcing-1.2.4">Istio 1.2.4</a> 或者更高</li>
|
||
</ul>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Tue, 13 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2019-003/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2019-003/</guid><category>CVE</category></item><item><title>Istio 1.2.4 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.2.4 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.4"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.4"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.4)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.3...1.2.4">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>此版本包含了在 <a href="/v1.6/zh/news/security/istio-security-2019-003/">ISTIO-SECURITY-2019-003</a>] 和 <a href="/v1.6/zh/news/security/istio-security-2019-004/">ISTIO-SECURITY-2019-004</a> 中所阐述的安全漏洞程序的修复。特别是:</p>
|
||
<p><strong>ISTIO-SECURITY-2019-003</strong>: 一位 Envoy 用户公开报告了一个正则表达式的匹配问题 (c.f. <a href="https://github.com/envoyproxy/envoy/issues/7728">Envoy Issue 7728</a>),该问题可使 Envoy 出现非常严重的 URI 崩溃。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14993">CVE-2019-14993</a></strong>: 经调查,Istio 小组发现,当用户正在使用 <code>Istio Api</code> 中一些像 <code>JWT</code>, <code>VirtualService</code>, <code>HTTPAPISpecBinding</code>, <code>QuotaSpecBinding</code> 的正则表达式时,会被利用而发起 <code>Istio DoS</code> 攻击。</p>
|
||
<p><strong>ISTIO-SECURITY-2019-004</strong>: Envoy 和之后的 Istio 更容易受到一系列基于 HTTP/2 的 DoS 攻击:
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9512">CVE-2019-9512</a></strong>: 使用 <code>PING</code> 帧和响应 <code>PING</code> ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9513">CVE-2019-9513</a></strong>: 使用 PRIORITY 帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9514">CVE-2019-9514</a></strong>: 使用具有无效的 HTTP header 的 <code>HEADERS</code> 帧和 <code>RST_STREAM</code> 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9515">CVE-2019-9515</a></strong>: 使用 <code>SETTINGS</code> 帧和 <code>SETTINGS</code> ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9518">CVE-2019-9518</a></strong>: 使用具有空负载帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。</p>
|
||
<p>除上述修复的程序之外,此版本中不包含其他任何内容。</p></description><pubDate>Tue, 13 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.4/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.4/</guid></item><item><title>Istio 1.1.13 发布公告</title><description>
|
||
<p>我们很高兴地宣布 Istio 1.1.13 现在是可用的,详情请查看如下更改。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.13"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.13"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.13)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.12...1.1.13">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>此版本包含了在 <a href="/v1.6/zh/news/security/istio-security-2019-003/">ISTIO-SECURITY-2019-003</a>] 和 <a href="/v1.6/zh/news/security/istio-security-2019-004/">ISTIO-SECURITY-2019-004</a> 中所阐述的安全漏洞程序的修复。特别是:</p>
|
||
<p><strong>ISTIO-SECURITY-2019-003</strong>: 一位 Envoy 用户公开报告了一个正则表达式的匹配问题 (c.f. <a href="https://github.com/envoyproxy/envoy/issues/7728">Envoy Issue 7728</a>),该问题可使 Envoy 出现非常严重的 URI 崩溃。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14993">CVE-2019-14993</a></strong>: 经调查,Istio 小组发现,当用户正在使用 <code>Istio Api</code> 中一些像 <code>JWT</code>, <code>VirtualService</code>, <code>HTTPAPISpecBinding</code>, <code>QuotaSpecBinding</code> 的正则表达式时,会被利用而发起 <code>Istio DoS</code> 攻击。</p>
|
||
<p><strong>ISTIO-SECURITY-2019-004</strong>: Envoy 和之后的 Istio 更容易受到一系列基于 HTTP/2 的 DoS 攻击:
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9512">CVE-2019-9512</a></strong>: 使用 <code>PING</code> 帧和响应 <code>PING</code> ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9513">CVE-2019-9513</a></strong>: 使用 PRIORITY 帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9514">CVE-2019-9514</a></strong>: 使用具有无效的 HTTP header 的 <code>HEADERS</code> 帧和 <code>RST_STREAM</code> 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9515">CVE-2019-9515</a></strong>: 使用 <code>SETTINGS</code> 帧和 <code>SETTINGS</code> ACK 帧的 HTTP/2 流,会导致无限的内存增长(这可能导致内存不足的原因)。
|
||
* <strong><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9518">CVE-2019-9518</a></strong>: 使用具有空负载帧的 HTTP/2 流会导致其他客户端的 CPU 使用率过低。</p>
|
||
<p>除上述修复的程序之外,此版本中不包含其他任何内容。</p></description><pubDate>Tue, 13 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.13/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.13/</guid></item><item><title>Istio 1.2.3 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.2.3 现在是可用的,具体更新内容如下。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.3"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.3"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.3)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.2...1.2.3">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了一个错误,当 pod 定义了一个端口,而服务未定义该端口时,sidecar 会将请求无限转发给自身(<a href="https://github.com/istio/istio/issues/14443">Issue 14443</a>)和(<a href="https://github.com/istio/istio/issues/14242">Issue 14242</a>)</li>
|
||
<li>修复了启动遥测后 Stackdriver 适配器会关闭的 bug。</li>
|
||
<li>修复 Redis 连接问题。</li>
|
||
<li>修复虚拟服务基于正则表达式匹配 HTTP URI 区分大小写的问题(<a href="https://github.com/istio/istio/issues/14983">Issue 14983</a>)</li>
|
||
<li>修复 demo 配置文件的 HPA 和 CPU 设置(<a href="https://github.com/istio/istio/issues/15338">Issue 15338</a>)</li>
|
||
<li>放宽 Keep-Alive 实施策略,避免在轻负载下断开连接(<a href="https://github.com/istio/istio/issues/15088">Issue 15088</a>)</li>
|
||
<li>当未使用 SDS 时,跳过 Kubernetes JWT 身份验证,以降低使用受损(不可信)JWT 的风险。</li>
|
||
</ul>
|
||
<h2 id="tests-upgrade">测试升级</h2>
|
||
<ul>
|
||
<li>更新 Bookinfo 评论示例应用程序的基础镜像版本(<a href="https://github.com/istio/istio/issues/15477">Issue 15477</a>)</li>
|
||
<li>Bookinfo 示例镜像鉴定(<a href="https://github.com/istio/istio/issues/14237">Issue 14237</a>)</li>
|
||
</ul></description><pubDate>Fri, 02 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.3/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.3/</guid></item><item><title>Istio 1.1.12 发布公告</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.12 已经可用。请浏览下面的变更说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.12"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.12"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.12)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.11...1.1.12">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了一个错误,当 <code>Pod</code> 资源定义了一个端口,但 service 中未定义时,sidecar 可以将请求无限转发给自己(<a href="https://github.com/istio/istio/issues/14443">Issue 14443</a>)和(<a href="https://github.com/istio/istio/issues/14242">Issue 14242</a>)</li>
|
||
</ul></description><pubDate>Fri, 02 Aug 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.12/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.12/</guid></item><item><title>Istio 1.1.11 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.1.11 现在是可用的。更新详情如下。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.11"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.11"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.11)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.10...1.1.11">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>添加了一个功能,以在入口网关启用 <code>HTTP/1.0</code> 支持(<a href="https://github.com/istio/istio/issues/13085">Issue 13085</a>)。</li>
|
||
</ul></description><pubDate>Wed, 03 Jul 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.11/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.11/</guid></item><item><title>ISTIO-SECURITY-2019-002</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td> <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector="></a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="context">内容</h2>
|
||
<p>当请求包含格式错误的 JWT 令牌时,Istio JWT 认证过滤器中的 BUG 会导致 Envoy 在某些情况下崩溃。该 BUG 已由一个用户在 <a href="https://github.com/istio/istio/issues/15084">GitHub</a> 上于 2019 年 6 月 23 日发现并报告。</p>
|
||
<p>此 BUG 会影响所有正在使用 JWT 身份认证策略的 Istio 版本。</p>
|
||
<p>此 BUG 会导致客户端收到 HTTP 503 错误,并且 Envoy 会有以下日志。</p>
|
||
<pre><code class='language-plain' data-expandlinks='true' data-repo='istio' >Epoch 0 terminated with an error: signal: segmentation fault (core dumped)
|
||
</code></pre>
|
||
<p>无论 JWT 规范中的 <code>trigger_rules</code> 如何设置,Envoy 都可能因为格式错误的 JWT token (没有有效的签名) 崩溃,导致所有 URI 访问不受限制。因此,这个 BUG 使 Envoy 容易受到潜在的 DoS 攻击。</p>
|
||
<h2 id="impact-and-detection">影响范围</h2>
|
||
<p>如果满足以下两个条件,则 Envoy 将很容易受到攻击:</p>
|
||
<ul>
|
||
<li>使用了 JWT 身份认证策略。</li>
|
||
<li>使 JWT issuer(由 <code>jwksUri</code> 发行) 使用 RSA 算法进行签名认证。</li>
|
||
</ul>
|
||
<div>
|
||
<aside class="callout tip">
|
||
<div class="type"><svg class="large-icon"><use xlink:href="/v1.6/img/icons.svg#callout-tip"/></svg></div>
|
||
<div class="content">用于签名认证的 RSA 算法不包含任何已知的安全漏洞。仅当使用此算法时才触发此 CVE,但与系统的安全性无关。</div>
|
||
</aside>
|
||
</div>
|
||
<p>如果将 JWT 策略应用于 Istio ingress gateway。请注意,有权访问 Ingress gateway 的任何外部用户都可以通过单个 HTTP 请求导致它崩溃。</p>
|
||
<p>如果仅将 JWT 策略应用 Sidecar,请记住它仍然可能受到攻击。例如,Istio ingress gateway 可能会将 JWT token 转发到 Sidecar,这可能是格式错误的 JWT token ,该 token 可能让 Sidecar 崩溃。</p>
|
||
<p>易受攻击的 Envoy 将在处理 JWT token 格式错误的 HTTP 请求上崩溃。当 Envoy 崩溃时,所有现有连接将立即断开连接。<code>pilot-agent</code> 将自动重启崩溃的 Envoy,重启可能需要几秒钟到几分钟的时间。崩溃超过十次后,pilot-agent 将停止重新启动 Envoy。在这种情况下,Kubernetes 将重新部署 Pod,包括 Envoy 的工作负载。</p>
|
||
<p>要检测集群中是否应用了任何 JWT 身份认证策略,请运行以下命令,该命令将显示以下任一输出:</p>
|
||
<ul>
|
||
<li>在身份认证策略中找到了 JWT, <strong>你会收到影响</strong></li>
|
||
<li>未在身份认证策略中找到 JWT, <em>你不会会收到影响</em></li>
|
||
</ul>
|
||
<pre><code class='language-bash' data-expandlinks='true' data-repo='istio' >$ cat &lt;&lt;&#39;EOF&#39; | bash -
|
||
set -e
|
||
set -u
|
||
set -o pipefail
|
||
red=`tput setaf 1`
|
||
green=`tput setaf 2`
|
||
reset=`tput sgr0`
|
||
echo &#34;Checking authentication policy...&#34;
|
||
JWKS_URI=()
|
||
JWKS_URI+=($(kubectl get policy --all-namespaces -o jsonpath=&#39;{range .items[*]}{.spec.origins[*].jwt.jwksUri}{&#34; &#34;}{end}&#39;))
|
||
JWKS_URI+=($(kubectl get meshpolicy --all-namespaces -o jsonpath=&#39;{range .items[*]}{.spec.origins[*].jwt.jwksUri}{&#34; &#34;}{end}&#39;))
|
||
if [ &#34;${#JWKS_URI[@]}&#34; != 0 ]; then
|
||
echo &#34;${red}在身份认证策略中找到了 JWT, 你会收到影响${reset}&#34;
|
||
exit 1
|
||
fi
|
||
echo &#34;${green}未在身份认证策略中找到 JWT, 你不会受到影响${reset}&#34;
|
||
EOF
|
||
</code></pre>
|
||
<h2 id="mitigation">防范</h2>
|
||
<p>在以下 Istio 发行版中已修复此 BUG:</p>
|
||
<ul>
|
||
<li>Istio 1.0.x: 升级到 <a href="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9">Istio 1.0.9</a> 或者更新高版本。</li>
|
||
<li>Istio 1.1.x: 升级到 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.10">Istio 1.1.10</a> 或者更新高版本。</li>
|
||
<li>Istio 1.2.x: 升级到 <a href="/v1.6/zh/news/releases/1.2.x/announcing-1.2.2">Istio 1.2.2</a> 或者更新高版本。</li>
|
||
</ul>
|
||
<p>如果您无法立即升级到以下版本之一,则可以选择注入一个 <a href="https://github.com/istio/tools/tree/master/examples/luacheck">Lua filter</a> 到老的 Istio 版本中。Istio 1.1.9、1.0.8、1.0.6、和 1.1.3 将会进行该认证。</p>
|
||
<p>Lua 过滤器是在 Istio <code>jwt-auth</code> 过滤器 <em>之前</em> 注入的。如果在 HTTP 请求中提供了 JWT 令牌,则 <code>Lua</code> 过滤器将检查 JWT 令牌头是否包含 alg:ES256 。如果过滤器找到了这样的 JWT 令牌,则该请求将被拒绝。</p>
|
||
<p>要安装 Lua 过滤器,请执行以下命令:</p>
|
||
<pre><code class='language-bash' data-expandlinks='true' data-repo='istio' >$ git clone git@github.com:istio/tools.git
|
||
$ cd tools/examples/luacheck/
|
||
$ ./setup.sh
|
||
</code></pre>
|
||
<p>安装脚本使用 Helm 模板来生成一个 <code>envoyFilter</code> 资源,该资源将部署到 Gateway。您可以将 Listener 类型更改为 <code>ANY</code>,以将其也应用到 Sidecar。只有当您在 Sidecar 上强制使用 JWT 身份认证策略,并在直接接收外部的请求,才应该这样做。</p>
|
||
<h2 id="credit">致谢</h2>
|
||
<p>Istio 团队非常感谢 Divya Raj 的原始 BUG 报告。</p>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Fri, 28 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2019-002/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2019-002/</guid><category>CVE</category></item><item><title>Istio 1.2.2 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.2.2 现在是可用的,具体更新内容如下。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.2"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.2"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.2)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.1...1.2.2">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复由 JWT 格式错误导致的 Istio JWT Envoy 过滤器崩溃(<a href="https://github.com/istio/istio/issues/15084">Issue 15084</a>)</li>
|
||
<li>修复 x-forward-proto header 的错误覆盖(<a href="https://github.com/istio/istio/issues/15124">Issue 15124</a>)</li>
|
||
</ul></description><pubDate>Fri, 28 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.2/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.2/</guid></item><item><title>Istio 1.1.10 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.1.10 现在是可用的。更新详情如下。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.10"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.10"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.10)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.9...1.1.10">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>消除因 Envoy 重新启动后无法与 SDS 节点代理对话而导致的 503 错误(<a href="https://github.com/istio/istio/issues/14853">Issue 14853</a>)。</li>
|
||
<li>解决升级过程中由于 &lsquo;TLS error: Secret is not supplied by SDS&rsquo; 导致的错误(<a href="https://github.com/istio/istio/issues/15020">Issue 15020</a>)。</li>
|
||
<li>修复由 JWT 格式错误导致的 Istio JWT Envoy 过滤器崩溃(<a href="https://github.com/istio/istio/issues/15084">Issue 15084</a>)。</li>
|
||
</ul></description><pubDate>Fri, 28 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.10/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.10/</guid></item><item><title>Announcing Istio 1.0.9</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.9 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/1.0.9">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.8...1.0.9">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了由格式错误的 JWT 导致 Istio JWT Envoy 过滤器崩溃的问题(<a href="https://github.com/istio/istio/issues/15084">Issue 15084</a>)。</li>
|
||
</ul></description><pubDate>Fri, 28 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/</guid></item><item><title>Istio 1.2.1 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.2.1 现在是可用的,具体更新内容如下。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.2.1"
|
||
data-downloadbuttontext="DOWNLOAD 1.2.1"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.2.1)'
|
||
data-updatebutton='了解 Istio 1.2.10'
|
||
data-updatehref="/v1.6/zh/news/releases/1.2.x/announcing-1.2.10/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.2/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.2.0...1.2.1">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复在安装中生成重复 CRD 的问题(<a href="https://github.com/istio/istio/issues/14976">Issue 14976</a>)</li>
|
||
<li>修复禁用 Galley 时无法启动 Mixer 的问题(<a href="https://github.com/istio/istio/issues/14841">Issue 14841</a>)</li>
|
||
<li>修复环境变量遮蔽的问题(NAMESPACE 用于监控的命名空间覆盖了 Citadel 的存储命名空间(istio-system)</li>
|
||
<li>修复升级过程中的 &lsquo;TLS error: Secret is not supplied by SDS&rsquo; 错误(<a href="https://github.com/istio/istio/issues/15020">Issue 15020</a>)</li>
|
||
</ul>
|
||
<h2 id="minor-enhancements">次要改进</h2>
|
||
<ul>
|
||
<li>通过将重试设置为 0,允许用户禁用 Istio 的默认重试(<a href="https://github.com/istio/istio/issues/14900">Issue 14900</a>)</li>
|
||
<li>引入 Redis 过滤器(此功能由环境特性标志 <code>PILOT_ENABLE_REDIS_FILTER</code> 保护,默认情况下处于禁用状态)</li>
|
||
<li>将 HTTP/1.0 支持添加到网关配置生成(<a href="https://github.com/istio/istio/issues/13085">Issue 13085</a>)</li>
|
||
<li>为 Istio 组件添加了<a href="https://kubernetes.io/docs/concepts/configuration/taint-and-toleration/">容忍</a>(<a href="https://github.com/istio/istio/pull/15081">Pull Request 15081</a>)</li>
|
||
</ul></description><pubDate>Thu, 27 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2.1/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2.1/</guid></item><item><title>对 Istio 1.0 的支持已结束</title><description><p>如<a href="/v1.6/zh/news/support/announcing-1.0-eol/">先前宣布</a>的一样,对 Istio 1.0 的支持现已正式终止。</p>
|
||
<p>我们将不再为 1.0 提供针对安全问题和关键错误的修复程序,因此,如果您尚未升级,我们建议您升级到最新版本的 Istio (1.6.8)。</p></description><pubDate>Wed, 19 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.0-eol-final/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.0-eol-final/</guid></item><item><title>Istio 1.1.9 发布公告</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.9 已经可用。请浏览下面的变更说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.9"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.9"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.9)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.8...1.1.9">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>防止将太大的字符串发送到 Prometheus(<a href="https://github.com/istio/istio/issues/14642">Issue 14642</a>)。</li>
|
||
<li>如果在续订期间遇到传输错误,将重用先前缓存的 JWT 公共密钥(<a href="https://github.com/istio/istio/issues/14638">Issue 14638</a>)。</li>
|
||
<li>绕过 HTTP OPTIONS 方法的 JWT 身份验证以支持 CORS 请求。</li>
|
||
<li>修复 Mixer 过滤器导致的 Envoy 崩溃(<a href="https://github.com/istio/istio/issues/14707">Issue 14707</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>将加密签名验证功能公开给 Envoy 的 <code>Lua</code> 过滤器(<a href="https://github.com/envoyproxy/envoy/issues/7009">Envoy Issue 7009</a>)。</li>
|
||
</ul></description><pubDate>Mon, 17 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.9/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.9/</guid></item><item><title>Istio 1.0.8 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.8 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.8"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.8"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.8)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.7...1.0.8">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了 Citadel 如果无法联系 Kubernetes API 服务器可能会生成新的根 CA 的问题,该问题会导致双向 TLS 验证失败(<a href="https://github.com/istio/istio/issues/14512">Issue 14512</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小的改进</h2>
|
||
<ul>
|
||
<li>将 Citadel 默认根 CA 证书的 TTL 从 1 年更新为 10 年。</li>
|
||
</ul></description><pubDate>Fri, 07 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.8/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.8/</guid></item><item><title>Istio 1.1.8 发布公告</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.8 已经可用。请浏览下面的变更说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.8"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.8"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.8)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.7...1.1.8">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复 CDS 集群的 <code>PASSTHROUGH</code> <code>DestinationRules</code>(<a href="https://github.com/istio/istio/issues/13744">Issue 13744</a>)。</li>
|
||
<li>使 Helm charts 中的 <code>appVersion</code> 和 <code>version</code> 字段显示正确的 Istio 版本(<a href="https://github.com/istio/istio/issues/14290">Issue 14290</a>)。</li>
|
||
<li>修复 Mixer 崩溃同时影响策略和遥测服务(<a href="https://github.com/istio/istio/issues/14235">Issue 14235</a>)。</li>
|
||
<li>修复多集群时不同集群中的两个 pod 无法共享同一个 IP 地址的问题(<a href="https://github.com/istio/istio/issues/14066">Issue 14066</a>)。</li>
|
||
<li>修复当 Citadel 无法连接 Kubernetes API 服务时重新生成新的根 CA 导致双向 TLS 验证失败的问题(<a href="https://github.com/istio/istio/issues/14512">Issue 14512</a>)。</li>
|
||
<li>改进 Pilot 验证以拒绝相同域名的不同 <code>VirtualServices</code>,因为 Envoy 不会接受(<a href="https://github.com/istio/istio/issues/13267">Issue 13267</a>)。</li>
|
||
<li>修复了本地负载均衡问题,即本地中只有一个副本会接收流量(<a href="https://github.com/istio/istio/issues/13994">13994</a>)。</li>
|
||
<li>修复了 Pilot Agent 可能不会注意到 TLS 证书轮换的问题(<a href="https://github.com/istio/istio/issues/14539">Issue 14539</a>)。</li>
|
||
<li>修复 Envoy 中一个 <code>LuaJIT</code> 崩溃问题(<a href="https://github.com/envoyproxy/envoy/pull/6994">Envoy Issue 6994</a>)。</li>
|
||
<li>修复一个资源竞争问题:Envoy 可能在下游连接已经关闭 TCP 连接后重用 HTTP/1.1 连接,从而导致 503 错误和重试(<a href="https://github.com/istio/istio/issues/14037">Issue 14037</a>)。</li>
|
||
<li>修复了 Mixer 的 Zipkin 适配器中的跟踪问题,该问题导致 spans 丢失(<a href="https://github.com/istio/istio/issues/13391">Issue 13391</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>通过在 <code>DEBUG</code> 模式下记录 <code>the endpoints within network ... will be ignored for no network configured</code> 消息减少 Pilot 日志信息。</li>
|
||
<li>使 pilot-agent 忽略未知标记以更容易回滚。</li>
|
||
<li>将 Citadel 的默认根 CA 证书 TTL 从 1 年更新为 10 年。</li>
|
||
</ul></description><pubDate>Thu, 06 Jun 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.8/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.8/</guid></item><item><title>ISTIO-SECURITY-2019-001</title><description>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th colspan="2">安全漏洞详情</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>CVE(s)</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVSS 影响评分</td>
|
||
<td> <a href="https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector="></a></td>
|
||
</tr>
|
||
<tr>
|
||
<td>受影响的版本</td>
|
||
<td>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="context">内容</h2>
|
||
<p>在检视 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.7">Istio 1.1.7</a> 发布公告时我们发现已修复的缺陷 <a href="https://github.com/istio/istio/issues/13868">issue 13868</a> 隐含一个安全漏洞。</p>
|
||
<p>起初我们认为该缺陷仅影响 alpha 特性 <a href="/v1.6/zh/about/feature-stages/#security-and-policy-enforcement">TCP Authorization</a>,这样就不需要安全公告。但后来我们发现稳定特性
|
||
<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/denier/">Deny Checker</a>、
|
||
<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/list/">List Checker</a> 也受到影响。
|
||
我们正在重新评估标识缺陷为安全漏洞的流程而不是通过
|
||
<a href="/v1.6/zh/about/security-vulnerabilities/">private disclosure process</a>。</p>
|
||
<p>该缺陷源于 Istio 1.1 中引入的一个代码变更,影响至 1.1.6 的所有版本。</p>
|
||
<h2 id="impact-and-detection">影响与检测</h2>
|
||
<p>从 Istio 1.1 版本起,Istio 默认安装时策略增强是关闭的。</p>
|
||
<p>您可以通过以下命令来检测服务网格策略增强状态:</p>
|
||
<pre><code class='language-bash' data-expandlinks='true' data-repo='istio' >$ kubectl -n istio-system get cm istio -o jsonpath=&#34;{@.data.mesh}&#34; | grep disablePolicyChecks
|
||
disablePolicyChecks: true
|
||
</code></pre>
|
||
<p>如果 <code>disablePolicyChecks</code> 状态为 true 那意味着该漏洞对您没有影响。</p>
|
||
<p>如果以下条件都是 true 那意味着该漏洞对您有影响:</p>
|
||
<ul>
|
||
<li>您在使用受影响的 Istio 版本</li>
|
||
<li><code>disablePolicyChecks</code> 设置为 false(请使用上述命令检查)</li>
|
||
<li>您的工作负载未使用 HTTP、HTTP/2 或 gRPC 协议</li>
|
||
<li>使用 Mixer 适配器(比如 Deny Checker、List Checker)来为您的后端 TCP 服务提供授权。</li>
|
||
</ul>
|
||
<h2 id="mitigation">防范</h2>
|
||
<ul>
|
||
<li>Istio 1.0.x 用户未受影响。</li>
|
||
<li>对 Istio 1.1.x 部署请升级至 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.7">Istio 1.1.7</a> 或后续版本。</li>
|
||
</ul>
|
||
<h2 id="credit">致谢</h2>
|
||
<p>Istio 团队非常感谢 <code>Haim Helman</code> 报告该缺陷。</p>
|
||
<h2 id="漏洞报告">漏洞报告</h2>
|
||
<p>希望大家遵循<a href="/v1.6/zh/about/security-vulnerabilities/">漏洞报告步骤</a>,以报告任何可能会导致安全漏洞的 bug。</description><pubDate>Tue, 28 May 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/security/istio-security-2019-001/</link><author/><guid isPermaLink="true">/v1.6/zh/news/security/istio-security-2019-001/</guid><category>CVE</category></item><item><title>对 Istio 1.0 的支持将于 2019 年 6 月 19 日终止</title><description><p>根据 Istio 的<a href="/v1.6/zh/about/release-cadence/">支持策略</a>,在下一个 LTS 版本发布后,1.0 会继续得到三个月的支持。由于 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/">1.1 已于 3 月 19 日发布</a>,因此对 1.0 的支持将于 2019 年 6 月 19 日终止。</p>
|
||
<p>届时,我们将停止为 1.0 提供针对安全问题和关键错误的修复程序,因此我们建议您升级到最新版本的 Istio (1.6.8)。如果您不升级,可能会使自己处于必须在短时间内完成重大升级才能获取关键修复程序的地步。</p>
|
||
<p>我们关心您和您的集群,请对自己好点,升吧。</p></description><pubDate>Thu, 23 May 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.0-eol/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.0-eol/</guid></item><item><title>Istio 1.1.7 发布公告</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.7 已经可用。请浏览下面的变更说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.7"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.7"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.7)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.6...1.1.7">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>该版本修复了 <a href="/v1.6/zh/news/security/istio-security-2019-001">CVE 2019-12243</a>。</p>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复了在同一秒创建的具有重叠主机的两个网关可能导致 Pilot 无法正确生成路由并导致 Envoy 侦听器在启动时无限期卡死的问题。</li>
|
||
<li>提高 SDS 节点代理的健壮性:如果 Envoy 发送带有空的 <code>ResourceNames</code> 的 SDS 请求,请忽略它并等待下一个请求,而不是关闭连接(<a href="https://github.com/istio/istio/issues/13853">Issue 13853</a>)。</li>
|
||
<li>在以前的版本中,如果服务端口名称是 <code>mysql</code>,Pilot 会自动将实验性的 <code>envoy.filters.network.mysql_proxy</code> 过滤器注入到出站过滤器链中。这是令人惊讶的,并给某些运维人员造成了问题,因此,现在仅当将 <code>PILOT_ENABLE_MYSQL_FILTER</code> 环境变量设置为 <code>1</code> 时,Pilot 才会自动注入 <code>envoy.filters.network.mysql_proxy</code> 过滤器(<a href="https://github.com/istio/istio/issues/13998">Issue 13998</a>)。</li>
|
||
<li>解决了错误地为 TCP 禁用 Mixer 策略检查的问题(<a href="https://github.com/istio/istio/issues/13868">Issue 13868</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>新增 <code>--applicationPorts</code> 选项到 <code>ingressgateway</code> Helm charts。当设置为以逗号分隔的端口列表时,就绪检查将失败,直到所有端口都变为活动状态为止。配置后,流量将不会发送到处于预热状态的 Envoy。</li>
|
||
<li>将 <code>ingressgateway</code> Helm chart 中的内存限制增加到 1GB,并向 SDS 节点代理容器添加资源 <code>request</code> 和 <code>limits</code> 以支持 HPA 自动缩放。</li>
|
||
</ul></description><pubDate>Fri, 17 May 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.7/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.7/</guid></item><item><title>发布公告 Istio 1.1.6</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.6 已经可用。请浏览下面的变更说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.6"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.6"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.6)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.5...1.1.6">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复 Galley Helm charts 使得 <code>validatingwebhookconfiguration</code> 可以部署到其它命名空间(非 <code>istio-system</code>)中(<a href="https://github.com/istio/istio/issues/13625">Issue 13625</a>)。</li>
|
||
<li>为反亲和性支持提供额外的 Helm chart 修复:修复 <code>gatewaypodAntiAffinityRequiredDuringScheduling</code> 和 <code>podAntiAffinityLabelSelector</code> 匹配表达式以及修复 <code>podAntiAffinityLabelSelector</code> 的默认值(<a href="https://github.com/istio/istio/issues/13892">Issue 13892</a>)。</li>
|
||
<li>使 Pilot 处理以下情况:在侦听器还在回收时,Envoy 持续请求已删除网关的路由(<a href="https://github.com/istio/istio/issues/13739">Issue 13739</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>如果启用了访问日志,<code>passthrough</code> 侦听器的请求将被记录。</li>
|
||
<li>使 Pilot 容忍未知的 JSON 字段,以便在升级过程中更轻松地回滚到旧版本。</li>
|
||
<li><code>SDS</code> 增加对后备 secrets 的支持,使得 Envoy 可以使用它而不是在启动过程中无限期地等待最新或不存在的 secret(<a href="https://github.com/istio/istio/issues/13853">Issue 13853</a>)。</li>
|
||
</ul></description><pubDate>Sat, 11 May 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.6/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.6/</guid></item><item><title>Istio 1.1.5 发布公告</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.5 已经可用。请浏览下面的变更说明。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.5"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.5"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.5)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.4...1.1.5">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>向 Pilot 增加额外的验证以拒绝网关配置中主机匹配重叠的问题(<a href="https://github.com/istio/istio/issues/13717">Issue 13717</a>)。</li>
|
||
<li>根据最新稳定版本的 <code>istio-cni</code> 构建,而不是最新的每日构建(<a href="https://github.com/istio/istio/issues/13171">Issue 13171</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li>添加日志以帮助诊断主机名解析失败问题(<a href="https://github.com/istio/istio/issues/13581">Issue 13581</a>)。</li>
|
||
<li>通过移除对 <code>busybox</code> 镜像的不必要依赖,提高安装 <code>prometheus</code> 的简便性(<a href="https://github.com/istio/istio/issues/13501">Issue 13501</a>)。</li>
|
||
<li>使 Pilot Agent 的证书路径可配置(<a href="https://github.com/istio/istio/issues/11984">Issue 11984</a>)。</li>
|
||
</ul></description><pubDate>Fri, 03 May 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.5/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.5/</guid></item><item><title>Istio 1.1.4 发布</title><description>
|
||
<p>我们很高心的宣布最新的 Istio 1.1.4 版本已经发布 ,具体更改如下。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.4"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.4"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.4)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.3...1.1.4">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="behavior-change">行为变更</h2>
|
||
<ul>
|
||
<li>更改了 Pilot 的默认行为,以允许流量流向网格外部,即使该流量与内部服务位于同一端口上也是如此,此行为可由 <code>PILOT_ENABLE_FALLTHROUGH_ROUTE</code> 环境变量控制。</li>
|
||
</ul>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><p>修复了 <code>ExternalName</code> 类型服务的出口路由的生成。</p></li>
|
||
<li><p>添加了对配置 Envoy 的空闲连接超时的支持,预防内存或者 IP 端口耗尽 (<a href="https://github.com/istio/istio/issues/13355">Issue 13355</a>).</p></li>
|
||
<li><p>修复了基于本地负载均衡的故障转移处理中的 Pilot 崩溃错误。</p></li>
|
||
<li><p>修复了在 Pilot 获得自定义证书路径时崩溃的错误。</p></li>
|
||
<li><p>修复了 Pilot 中的一个错误,该错误忽略了用作服务条目主机的短名称 (<a href="https://github.com/istio/istio/issues/13436">Issue 13436</a>)。</p></li>
|
||
<li><p>向 envoy-metrics-service 集群配置中添加了缺失的 <code>https_protocol_options</code>。</p></li>
|
||
<li><p>修复了 Pilot 中的一个错误,当路由 fall through 时,Pilot 无法正确处理 https 流量 (<a href="https://github.com/istio/istio/issues/13386">Issue 13386</a>)。</p></li>
|
||
<li><p>修复了之前遗留的一个问题,从 Kubernetes 移除端点后,Pilot 并未从 Envoy 移除端点 (<a href="https://github.com/istio/istio/issues/13402">Issue 13402</a>)。</p></li>
|
||
<li><p>修复了节点代理中的崩溃错误 (<a href="https://github.com/istio/istio/issues/13325">Issue 13325</a>)。</p></li>
|
||
<li><p>添加了缺少的验证,以防止网关名称包含点(.)(<a href="https://github.com/istio/istio/issues/13211">Issue 13211</a>)。</p></li>
|
||
<li><p>修复了 <a href="/v1.6/zh/docs/reference/config/networking/destination-rule#LoadBalancerSettings-ConsistentHashLB"><code>ConsistentHashLB.minimumRingSize</code></a>
|
||
默认为 0 而不是记录的 1024 (<a href="https://github.com/istio/istio/issues/13261">Issue 13261</a>)。</p></li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小改进</h2>
|
||
<ul>
|
||
<li><p>更新了 <a href="https://www.kiali.io">Kiali</a> 附加组件的最新版本。</p></li>
|
||
<li><p>更新了最新版本的 <a href="https://grafana.com">Grafana</a>。</p></li>
|
||
<li><p>添加了验证以确保仅使用单个副本部署 Citadel (<a href="https://github.com/istio/istio/issues/13383">Issue 13383</a>)。</p></li>
|
||
<li><p>添加了对配置代理和 Istio 控制平面的日志记录级别的支持 ((<a href="https://github.com/istio/istio/issues/11847">Issue 11847</a>)。</p></li>
|
||
<li><p>允许 Sidecar 绑定到任何环回地址,而不仅限于 127.0.0.1 (<a href="https://github.com/istio/istio/issues/13201">Issue 13201</a>)。</p></li>
|
||
</ul></description><pubDate>Wed, 24 Apr 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.4/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.4/</guid></item><item><title>Istio 1.1.3 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.1.3 发布,下面介绍相关更新信息。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.3"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.3"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.3)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.2...1.1.3">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="known-issues-with-1-1-3">1.1.3 版本已知问题</h2>
|
||
<ul>
|
||
<li>在启用了 alpha-quality SDS 证书轮换功能的集群中,存在<a href="https://github.com/istio/istio/issues/13325">节点代理恐慌</a>问题。
|
||
由于这是我们首次将 SDS 证书轮换纳入长期运行的测试版本,因此我们不知道这是潜在的错误还是新的回归。
|
||
考虑到 SDS 证书轮换为 alpha 版本,我们决定带着这个问题发布 1.1.3 版本,在 1.1.4 版本中我们将解决此问题。</li>
|
||
</ul>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li><p>删除了 Istio 1.1.2 对 Envoy 某个补丁的反向移植,该补丁用于修复 <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9900"><code>CVE-2019-9900</code></a> 和 <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9901"><code>CVE-2019-9901</code></a>。以便更新包含了最终版本补丁的 Envoy。</p></li>
|
||
<li><p>修复分割水平 <code>EDS</code> 的负载均衡权重设置。</p></li>
|
||
<li><p>修复 Envoy 默认日志格式中的错字。(<a href="https://github.com/istio/istio/issues/12232">Issue 12232</a>)</p></li>
|
||
<li><p>在配置更改时正确地重新加载进程外适配器地址。(<a href="https://github.com/istio/istio/issues/12488">Issue 12488</a>)</p></li>
|
||
<li><p>恢复意外删除的 Kiali 设置。(<a href="https://github.com/istio/istio/issues/3660">Issue 3660</a>)</p></li>
|
||
<li><p>修复当具有相同目标端口的服务存在时导致的重复入站侦听问题。(<a href="https://github.com/istio/istio/issues/9504">Issue 9504</a>)</p></li>
|
||
<li><p>通过自动绑定到 <code>Sidecar</code> 侦听器的服务,解决为 <code>istio-system</code> 以外命名空间配置 <code>Sidecar</code> <code>egress</code> 端口的问题,从而生成 <code>BlackHoleCluster</code> 的 <code>envoy.tcp_proxy</code> 过滤器。(<a href="https://github.com/istio/istio/issues/12536">Issue 12536</a>)</p></li>
|
||
<li><p>通过支持更准确的主机匹配来修正网关 <code>vhost</code> 配置生成问题。(<a href="https://github.com/istio/istio/issues/12655">Issue 12655</a>)</p></li>
|
||
<li><p>修复 <code>ALLOW_ANY</code>,如果端口上已经存在 http 服务,现在允许外部流量。</p></li>
|
||
<li><p>修复验证逻辑,现在 <code>port.name</code> 不再是有效的 <code>PortSelection</code>。</p></li>
|
||
<li><p>修复 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-proxy-config-cluster"><code>istioctl proxy-config cluster</code></a> 命令输出结果中集群类型列的渲染问题。(<a href="https://github.com/istio/istio/issues/12455">Issue 12455</a>)</p></li>
|
||
<li><p>修复 SDS secret 的挂载配置。</p></li>
|
||
<li><p>修复 Helm chart 中错误的 Istio 版本。</p></li>
|
||
<li><p>修复当存在重叠端口时出现的 DNS 故障。(<a href="https://github.com/istio/istio/issues/11658">Issue 11658</a>)</p></li>
|
||
<li><p>修复 Helm <code>podAntiAffinity</code> 模板错误。(<a href="https://github.com/istio/istio/issues/12790">Issue 12790</a>)</p></li>
|
||
<li><p>修复源目标服务发现不使用源目标负载均衡器的问题。</p></li>
|
||
<li><p>修复当存在无效或丢失密钥时出现的 SDS 内存泄漏问题。(<a href="https://github.com/istio/istio/issues/13197">Issue 13197</a>)</p></li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小的增强</h2>
|
||
<ul>
|
||
<li><p>从 <code>PushContext</code> 日志中隐藏 <code>ServiceAccounts</code> 以缩小日志。</p></li>
|
||
<li><p>通过 <code>values.yaml</code> 的 <code>localityLbSetting</code> 字段配置网格。</p></li>
|
||
<li><p>从 Helm 图表中删除即将弃用的 <code>critical-pod</code> 注释。(<a href="https://github.com/istio/istio/issues/12650">Issue 12650</a>)</p></li>
|
||
<li><p>支持 Pod 反亲和性注释以提高控制平面的可用性。(<a href="https://github.com/istio/istio/issues/11333">Issue 11333</a>)</p></li>
|
||
<li><p>访问日志中优化 <code>IP</code> 地址打印。</p></li>
|
||
<li><p>删除冗余的 write header,以进一步减小日志。</p></li>
|
||
<li><p>改进 Pilot 的目标主机验证。</p></li>
|
||
<li><p>显式的配置 <code>istio-init</code> 以 root 身份运行,以免使用 Pod-level 的 <code>securityContext.runAsUser</code> 破坏它。(<a href="https://github.com/istio/istio/issues/5453">Issue 5453</a>)</p></li>
|
||
<li><p>添加用于 Vault 集成的配置示例。</p></li>
|
||
<li><p>从 <code>ServiceEntry</code> 执行局部负载均衡权重。</p></li>
|
||
<li><p>使由 Pilot Agent 监视的 TLS 证书位置可配置。(<a href="https://github.com/istio/istio/issues/11984">Issue 11984</a>)</p></li>
|
||
<li><p>添加对 Datadog 追踪的支持。</p></li>
|
||
<li><p>为 <code>istioctl</code> 添加别名,可以使用 &ldquo;x&rdquo; 代替 &ldquo;experimental&rdquo;。</p></li>
|
||
<li><p>通过在 CSR 请求中添加抖动来提供改进的 Sidecar certificate。</p></li>
|
||
<li><p>允许配置权重负载平衡注册表的位置。</p></li>
|
||
<li><p>为内置的 Mixer 适配器添加对标准 CRD 的支持。</p></li>
|
||
<li><p>减少用于演示配置的 Pilot 的资源需求。</p></li>
|
||
<li><p>通过添加数据源完全填充 Galley 仪表盘。(<a href="https://github.com/istio/istio/issues/13040">Issue 13040</a>)</p></li>
|
||
<li><p>将 Istio 1.1 <code>sidecar</code> 的性能调整覆盖到 <code>istio-gateway</code>。</p></li>
|
||
<li><p>通过拒绝 <code>*</code> 主机来改善目标主机的验证。(<a href="https://github.com/istio/istio/issues/12794">Issue 12794</a>)</p></li>
|
||
<li><p>在集群定义中暴露上游的 <code>idle_timeout</code>,以便可以在使用前从连接池中删除死连接。(<a href="https://github.com/istio/istio/issues/9113">Issue 9113</a>)</p></li>
|
||
<li><p>注册 <code>Sidecar</code> 资源以限制 Pod 可以看到的内容时,如果规范包含一个 <code>workloadSelector</code>,这些限制将被应用。(<a href="https://github.com/istio/istio/issues/11818">Issue 11818</a>)</p></li>
|
||
<li><p>更新 Bookinfo 示例以使端口 80 用于 TLS 源。</p></li>
|
||
<li><p>为 Citadel 添加存活探针。</p></li>
|
||
<li><p>通过将 15020 设置为 <code>ingressgateway</code> 服务中列出的第一个端口来提高 AWS ELB 的互操作性。(<a href="https://github.com/istio/istio/issues/12503">Issue 12502</a>)</p></li>
|
||
<li><p>对故障转移模式使用异常值检测,但不用于局部加权负载均衡的分布模式。(<a href="https://github.com/istio/istio/issues/12961">Issues 12965</a>)</p></li>
|
||
<li><p>对于 Istio 1.1.0+ Sidecar,使用 <code>filter_enabled</code> 字段取代 <code>CorsPolicy</code> 中的 <code>enabled</code> 字段。</p></li>
|
||
<li><p>标准化 Mixer Helm chart 上的标签.</p></li>
|
||
</ul></description><pubDate>Mon, 15 Apr 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.3/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.3/</guid></item><item><title>包含重要安全更新的 Istio 1.1.2 发布公告</title><description>
|
||
<p>我们宣布 Istio 1.1.2 现已可用,其包含了一些重要的安全更新。请参阅下面的详细资料。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.2"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.2"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.2)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.1...1.1.2">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>最近在 Envoy 代理中发现了两个安全漏洞 (<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9900">CVE 2019-9900</a> 和 <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9901">CVE 2019-9901</a>)。
|
||
此漏洞已在 Envoy 1.9.1 版中被修复,相应地,也对 Istio 1.1.2 和 Istio 1.0.7 内置的 Envoy 进行了修复。
|
||
由于 Envoy 是 Istio 不可或缺的一部分,因此建议用户立即更新 Istio,以防范由这些漏洞引起的安全风险。</p>
|
||
<p>漏洞实际上是这样导致的:Envoy 没有规范化 HTTP URI 路径,也没有完全验证 HTTP/1.1 header 值。这些漏洞影响了依赖于 Envoy 强制执行授权、路由和速率限制的 Istio 特性。</p>
|
||
<h2 id="affected-Istio-releases">受影响的 Istio 版本</h2>
|
||
<p>以下 Istio 版本容易受到攻击:</p>
|
||
<ul>
|
||
<li><p>1.1, 1.1.1</p>
|
||
<ul>
|
||
<li>这些版本可以升级至 Istio 1.1.2。</li>
|
||
<li>1.1.2 与 1.1.1 是基于相同源码构建的,仅添加了解决 CVE 的 Envoy 补丁。</li>
|
||
</ul></li>
|
||
<li><p>1.0, 1.0.1, 1.0.2, 1.0.3, 1.0.4, 1.0.5, 1.0.6</p>
|
||
<ul>
|
||
<li>这些版本可以升级至 Istio 1.0.7。</li>
|
||
<li>1.0.6 与 1.0.7 是基于相同源码构建的,仅添加了解决 CVE 的 Envoy 补丁。</li>
|
||
</ul></li>
|
||
<li><p>0.1, 0.2, 0.3, 0.4, 0.5, 0.6, 0.7, 0.8</p>
|
||
<ul>
|
||
<li>这些发行版不再受支持,也不会进行修补。请升级到受支持的版本,以获取必要的修复程序。</li>
|
||
</ul></li>
|
||
</ul>
|
||
<h2 id="vulnerability-impact">漏洞影响</h2>
|
||
<p><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9900">CVE 2019-9900</a> 和 <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9901">CVE 2019-9901</a>
|
||
允许远程攻击者使用特制的请求 URI 路径(9901)和 HTTP/1.1 header 中的 NUL 字节(9900)来访问未经授权的资源,并可能绕过速率限制等 DoS 防御系统,或路由至未暴露的上游系统。
|
||
参阅 <a href="https://github.com/envoyproxy/envoy/issues/6434">issue 6434</a> 和 <a href="https://github.com/envoyproxy/envoy/issues/6435">issue 6435</a> 获取更多信息。</p>
|
||
<p>由于 Istio 基于 Envoy,因此 Istio 客户可能会受到这些漏洞的影响,具体取决于 Istio 策略和路由规则中是否使用了路径和请求 header 以及后端 HTTP 实现是如何解析它们的。如果 Mixer 或 Istio 的授权策略或路由规则使用前缀路径匹配规则,则攻击者可能利用这些漏洞来访问某些 HTTP 后端上的未授权路径。</p>
|
||
<h2 id="mitigation">防范</h2>
|
||
<p>消除漏洞需要更新到正确的 Envoy 版本。我们已经在最新的 Istio 修补程序版本中合并了必要的更新。</p>
|
||
<p>对于 Istio 1.1.x deployment:至少升级至 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.2">Istio 1.1.2</a></p>
|
||
<p>对于 Istio 1.0.x deployment:至少升级至 <a href="/v1.6/zh/news/releases/1.0.x/announcing-1.0.7">Istio 1.0.7</a></p>
|
||
<p>尽管 Envoy 1.9.1 需要选择路径规范化以解决 CVE 2019-9901,但默认情况下,Istio 1.1.2 和 1.0.7 中内置的 Envoy 版本已经启用了路径规范化。</p>
|
||
<h2 id="detection-of-NUL-header-exploit">检测 NUL header 漏洞</h2>
|
||
<p>根据目前的信息,这只会影响 HTTP/1.1 的流量。如果您的网络或配置不是这种结构,那么此漏洞不太可能影响到您。</p>
|
||
<p>基于文件的访问日志记录与 gRPC 访问日志记录一样,使用 <code>c_str()</code> 表示 header 值,因此扫描 NUL,不会发现通过 Envoy 的访问日志的任何异常。</p>
|
||
<p>相反,运维人员可能会在 Envoy 执行的路由和 <code>RouteConfiguration</code> 预期的逻辑之间的日志中寻找不一致之处。</p>
|
||
<p>外部授权和速率限制服务可以检查 header 中的 NUL。后端服务器可能具有足够的日志记录来检测 NUL 或意外访问;根据 RFC 7230,在这种情况下,很可能会通过 400 bad request 简单地拒绝 NUL。</p>
|
||
<h2 id="detection-of-path-traversal-exploit">检测路径遍历漏洞</h2>
|
||
<p>Envoy 的访问日志(基于文件或 gRPC )将包含非规范化路径,因此可以检查这些日志以检测可疑的模式和与预期的运维人员配置意图不一致的请求。此外,在 <code>ext_authz</code>、速率限制和后端服务器上可以使用非规范化路径进行日志检查。</p></description><pubDate>Fri, 05 Apr 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.2/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.2/</guid></item><item><title>含有重要安全更新的 Istio 1.0.7 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.7 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.7"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.7"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.7)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.6...1.0.7">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="security-update">安全更新</h2>
|
||
<p>最近在 Envoy 代理中发现了两个安全漏洞 (<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9900">CVE 2019-9900</a> 和 <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9901">CVE 2019-9901</a>)。
|
||
此漏洞已在 Envoy 1.9.1 版中被修复,相应地,也对 Istio 1.1.2 和 Istio 1.0.7 内置的 Envoy 进行了修复。
|
||
由于 Envoy 是 Istio 不可或缺的一部分,因此建议用户立即更新 Istio,以防范由这些漏洞引起的安全风险。</p>
|
||
<p>漏洞实际上是这样导致的:Envoy 没有规范化 HTTP URI 路径,也没有完全验证 HTTP/1.1 header 值。这些漏洞影响了依赖于 Envoy 强制执行授权、路由和速率限制的 Istio 特性。</p>
|
||
<h2 id="affected-Istio-releases">受影响的 Istio 版本</h2>
|
||
<p>以下 Istio 版本容易受到攻击:</p>
|
||
<ul>
|
||
<li><p>1.1, 1.1.1</p>
|
||
<ul>
|
||
<li>这些版本可以升级至 Istio 1.1.2。</li>
|
||
<li>1.1.2 与 1.1.1 是基于相同源码构建的,仅添加了解决 CVE 的 Envoy 补丁。</li>
|
||
</ul></li>
|
||
<li><p>1.0, 1.0.1, 1.0.2, 1.0.3, 1.0.4, 1.0.5, 1.0.6</p>
|
||
<ul>
|
||
<li>这些版本可以升级至 Istio 1.0.7。</li>
|
||
<li>1.0.6 与 1.0.7 是基于相同源码构建的,仅添加了解决 CVE 的 Envoy 补丁。</li>
|
||
</ul></li>
|
||
<li><p>0.1, 0.2, 0.3, 0.4, 0.5, 0.6, 0.7, 0.8</p>
|
||
<ul>
|
||
<li>这些发行版不再受支持,也不会进行修补。请升级到受支持的版本,以获取必要的修复程序。</li>
|
||
</ul></li>
|
||
</ul>
|
||
<h2 id="vulnerability-impact">漏洞影响</h2>
|
||
<p><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9900">CVE 2019-9900</a> 和 <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9901">CVE 2019-9901</a>
|
||
允许远程攻击者使用特制的请求 URI 路径(9901)和 HTTP/1.1 header 中的 NUL 字节(9900)来访问未经授权的资源,并可能绕过速率限制等 DoS 防御系统,或路由至未暴露的上游系统。
|
||
参阅 <a href="https://github.com/envoyproxy/envoy/issues/6434">issue 6434</a> 和 <a href="https://github.com/envoyproxy/envoy/issues/6435">issue 6435</a> 获取更多信息。</p>
|
||
<p>由于 Istio 基于 Envoy,因此 Istio 客户可能会受到这些漏洞的影响,具体取决于 Istio 策略和路由规则中是否使用了路径和请求 header 以及后端 HTTP 实现是如何解析它们的。</p>
|
||
<p>如果 Mixer 或 Istio 的授权策略或路由规则使用前缀路径匹配规则,则攻击者可能利用这些漏洞来访问某些 HTTP 后端上的未授权路径。</p>
|
||
<h2 id="mitigation">防范</h2>
|
||
<p>消除漏洞需要更新到正确的 Envoy 版本。我们已经在最新的 Istio 修补程序版本中合并了必要的更新。</p>
|
||
<p>对于 Istio 1.1.x deployment:至少升级至 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1.2">Istio 1.1.2</a></p>
|
||
<p>对于 Istio 1.0.x deployment:至少升级至 <a href="/v1.6/zh/news/releases/1.0.x/announcing-1.0.7">Istio 1.0.7</a></p>
|
||
<p>尽管 Envoy 1.9.1 需要选择路径规范化以解决 CVE 2019-9901,但默认情况下,Istio 1.1.2 和 1.0.7 中内置的 Envoy 版本已经启用了路径规范化。</p>
|
||
<h2 id="detection-of-NUL-header-exploit">检测 NUL header 漏洞</h2>
|
||
<p>根据目前的信息,这只会影响 HTTP/1.1 的流量。如果您的网络或配置不是这种结构,那么此漏洞不太可能影响到您。</p>
|
||
<p>基于文件的访问日志记录与 gRPC 访问日志记录一样,使用 <code>c_str()</code> 表示 header 值,因此扫描 NUL,不会发现通过 Envoy 的访问日志的任何异常。</p>
|
||
<p>相反,运维人员可能会在 Envoy 执行的路由和 <code>RouteConfiguration</code> 预期的逻辑之间的日志中寻找不一致之处。</p>
|
||
<p>外部授权和速率限制服务可以检查 header 中的 NUL。后端服务器可能具有足够的日志记录来检测 NUL 或意外访问;根据 RFC 7230,在这种情况下,很可能会通过 400 bad request 简单地拒绝 NUL。</p>
|
||
<h2 id="detection-of-path-traversal-exploit">检测路径遍历漏洞</h2>
|
||
<p>Envoy 的访问日志(基于文件或 gRPC )将包含非规范化路径,因此可以检查这些日志以检测可疑的模式和与预期的运维人员配置意图不一致的请求。此外,在 <code>ext_authz</code>、速率限制和后端服务器上可以使用非规范化路径进行日志检查。</p></description><pubDate>Fri, 05 Apr 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.7/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.7/</guid></item><item><title>Istio 1.1.1 发布公告</title><description>
|
||
<p>我们非常高兴的宣布 Istio 1.1.1 发布,请浏览下面的变更说明:</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/">
|
||
<h5>升级之前</h5>
|
||
<p>升级前须知。</p>
|
||
</a>
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.1.1"
|
||
data-downloadbuttontext="DOWNLOAD 1.1.1"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.1.1)'
|
||
data-updatebutton='了解 Istio 1.1.17'
|
||
data-updatehref="/v1.6/zh/news/releases/1.1.x/announcing-1.1.17/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.1/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.1.0...1.1.1">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes-and-minor-enhancements">Bug 修复和一些较小的增强</h2>
|
||
<ul>
|
||
<li>配置 Prometheus 以监控 Citadel。(<a href="https://github.com/istio/istio/pull/12175">Issue 12175</a>)</li>
|
||
<li>改善 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-verify-install"><code>istioctl verify-install</code></a> 命令的输出。(<a href="https://github.com/istio/istio/pull/12174">Issue 12174</a>)</li>
|
||
<li>降低 SPIFFE URI 的缺少服务账户消息的日志级别。(<a href="https://github.com/istio/istio/issues/12108">Issue 12108</a>)</li>
|
||
<li>修复 opt-in SDS 功能 Unix 域套接字路径错误的问题。(<a href="https://github.com/istio/istio/pull/12688">Issue 12688</a>)</li>
|
||
<li>修复 Envoy 追踪在父级 span 传播空字符串时无法创建子 span 的问题。(<a href="https://github.com/envoyproxy/envoy/pull/6263">Envoy Issue 6263</a>)</li>
|
||
<li>将名称空间作用域添加到网关的 “port” 名称。这解决了两个问题:
|
||
<ul>
|
||
<li><code>IngressGateway</code> 仅遵守第一个端口为 443 的网关定义。(<a href="https://github.com/istio/istio/issues/11509">Issue 11509</a>)</li>
|
||
<li><code>IngressGateway</code> 路由错误,两个不同网关使用同一个端口名(SDS)(<a href="https://github.com/istio/istio/issues/12500">Issue 12500</a>)</li>
|
||
</ul></li>
|
||
<li>本地负载均衡权重相关的五个错误修复:
|
||
<ul>
|
||
<li>修复导致每个位置的端点为空的错误。(<a href="https://github.com/istio/istio/issues/12610">Issue 12610</a>)</li>
|
||
<li>正确的应用本地负载均衡权重配置。(<a href="https://github.com/istio/istio/issues/12587">Issue 12587</a>)</li>
|
||
<li>Kubernetes 中的位置标签 <code>istio-locality</code> 不应包含 <code>/</code>,应使用 <code>.</code>。(<a href="https://github.com/istio/istio/issues/12582">Issue 12582</a>)</li>
|
||
<li>修复了本地负载均衡方面的崩溃问题。(<a href="https://github.com/istio/istio/pull/12649">Issue 12649</a>)</li>
|
||
<li>修复了本地负载均衡标准化中的错误。(<a href="https://github.com/istio/istio/pull/12579">Issue 12579</a>)</li>
|
||
</ul></li>
|
||
<li>传播 Envoy 度量服务配置。(<a href="https://github.com/istio/istio/issues/12569">Issue 12569</a>)</li>
|
||
<li>不应用 <code>VirtualService</code> 规则到错误的网关。(<a href="https://github.com/istio/istio/issues/10313">Issue 10313</a>)</li>
|
||
</ul></description><pubDate>Mon, 25 Mar 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1.1/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1.1/</guid></item><item><title>Istio 1.0.6 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.6 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.6"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.6"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.6)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.5...1.0.6">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="bug-fixes">Bug 修复</h2>
|
||
<ul>
|
||
<li>修复 Galley Helm 图表,使 <code>validatingwebhookconfiguration</code> 对象现在可以部署到 <code>istio-system</code> 以外的名称空间(<a href="https://github.com/istio/istio/issues/13625">Issue 13625</a>)。</li>
|
||
<li>Helm 图表中其他针对反亲和性支持的修复:修复 <code>gatewaypodAntiAffinityRequiredDuringScheduling</code> 和 <code>podAntiAffinityLabelSelector</code> 匹配表达式,并修复 <code>podAntiAffinityLabelSelector</code> 的默认值(<a href="https://github.com/istio/istio/issues/13892">Issue 13892</a>)。</li>
|
||
<li>让 Pilot 处理这种情况:监听器资源耗尽时,Envoy 依然继续请求已删除被 gateway 的路由(<a href="https://github.com/istio/istio/issues/13739">Issue 13739</a>)。</li>
|
||
</ul>
|
||
<h2 id="small-enhancements">小的改进</h2>
|
||
<ul>
|
||
<li>如果启用了访问日志,<code>passthrough</code> 监听器的请求将被记录。</li>
|
||
<li>使 Pilot 容忍未知的 JSON 字段,以便在升级过程中可以更轻松地回滚到旧版本。</li>
|
||
<li>将备用 secret 的支持添加到 Envoy 可以使用的 <code>SDS</code> 中,而不是在启动过程中无限期地等待最新的或不存在的 secret(<a href="https://github.com/istio/istio/issues/13853">Issue 13853</a>)。</li>
|
||
</ul></description><pubDate>Tue, 12 Feb 2019 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.6/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.6/</guid></item><item><title>Istio 1.0.5 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.5 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.5"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.5"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.5)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.4...1.0.5">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="general">概况</h2>
|
||
<ul>
|
||
<li><p>禁用 <code>istio-policy</code> 服务中的前置条件缓存,因为它会导致无效的结果。缓存将在以后的版本中重新引入。</p></li>
|
||
<li><p>Mixer 现在仅在启用了 <code>tracespan</code> 适配器的情况下才生成 span,从而降低了正常情况下的 CPU 开销。</p></li>
|
||
<li><p>修复了一个可能导致 Pilot 挂起的 bug。</p></li>
|
||
</ul></description><pubDate>Thu, 20 Dec 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.5/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.5/</guid></item><item><title>Istio 1.0.4 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.4 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.4"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.4"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.4)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.3...1.0.4">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="known-issues">已知问题</h2>
|
||
<ul>
|
||
<li>使用 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-proxy-status"><code>istioctl proxy-status</code></a> 来获取代理同步状态时,可能会导致 Pilot 死锁。
|
||
临时的解决方法是不使用 <code>istioctl proxy-status</code>。
|
||
一旦 Pilot 进入死锁状态,它将表现出持续的内存增长,最终耗尽内存。</li>
|
||
</ul>
|
||
<h2 id="networking">网络</h2>
|
||
<ul>
|
||
<li><p>修复了过期 endpoint 漏删导致 503 错误的 bug。</p></li>
|
||
<li><p>修复了 Pod 标签包含 <code>/</code> 时 sidecar 的注入 bug。</p></li>
|
||
</ul>
|
||
<h2 id="policy-and-telemetry">策略和遥测</h2>
|
||
<ul>
|
||
<li><p>修复了进程外 Mixer 适配器偶尔的数据损坏问题导致的不正确行为。</p></li>
|
||
<li><p>修复了在等待失踪的 CRD 时,Mixer 过度使用 CPU 的 bug。</p></li>
|
||
</ul></description><pubDate>Wed, 21 Nov 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.4/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.4/</guid></item><item><title>Istio 1.0.3 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.3 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.3"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.3"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.3)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.2...1.0.3">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="behavior-changes">行为变更</h2>
|
||
<ul>
|
||
<li><p>现在强制使用<a href="/v1.6/zh/docs/ops/common-problems/validation">验证 webhook</a>。禁用它可能导致 Pilot 崩溃。</p></li>
|
||
<li><p>现在,<a href="/v1.6/zh/docs/reference/config/networking/service-entry/">Service entry</a> 验证会在配置为 DNS 解析时拒绝通配主机名(<code>*</code>)。API 从未允许这样做,只是在以前的版本中,<code>ServiceEntry</code> 被错误地排除在验证之外。把通配符作为主机名的一部分,例如 <code>*.bar.com</code>,将保持不变。</p></li>
|
||
<li><p><code>istio-proxy</code> 的核心转储路径已更改为 <code>/var/lib/istio</code>。</p></li>
|
||
</ul>
|
||
<h2 id="networking">网络</h2>
|
||
<ul>
|
||
<li><p><a href="/v1.6/zh/docs/tasks/security/authentication/authn-policy/#auto-mutual-TLS">双向 TLS</a> 宽容模式现在是默认启用的。</p></li>
|
||
<li><p>Pilot 性能和可扩展性已大大增强。Pilot 现在可以在不到 1 秒的时间内向 500 个 sidecar 提供 endpoint 更新。</p></li>
|
||
<li><p><a href="/v1.6/zh/docs/tasks/observability/distributed-tracing/overview/#trace-sampling">追踪采样</a>默认设置为 1%。</p></li>
|
||
</ul>
|
||
<h2 id="policy-and-telemetry">策略和遥测</h2>
|
||
<ul>
|
||
<li><p>Mixer(<code>istio-telemetry</code>)现在支持基于请求速率和预期延迟的减载。</p></li>
|
||
<li><p>Mixer 客户端(<code>istio-policy</code>)现在支持 <code>FAIL_OPEN</code> 设置。</p></li>
|
||
<li><p>Istio 性能仪表盘已添加至 Grafana。</p></li>
|
||
<li><p><code>istio-telemetry</code> CPU 使用率降低 10%。</p></li>
|
||
<li><p>淘汰 <code>statsd-to-prometheus</code> deployment。Prometheus 现在可以直接从 <code>istio-proxy</code> 中抓取指标。</p></li>
|
||
</ul></description><pubDate>Tue, 30 Oct 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.3/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.3/</guid></item><item><title>Istio 1.0.2 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.2 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.2"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.2"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.2)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.1...1.0.2">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="general">概况</h2>
|
||
<ul>
|
||
<li><p>修复 Envoy 的 bug:如果在双向 TLS 端口上接收正常流量,则 sidecar 会崩溃。</p></li>
|
||
<li><p>修复 Pilot 在多集群环境中向 Envoy 传播不完整更新的 bug。</p></li>
|
||
<li><p>为 Grafana 添加了更多 Helm 选项。</p></li>
|
||
<li><p>改进 Kubernetes 服务注册队列的性能。</p></li>
|
||
<li><p>修复 <code>istioctl proxy-status</code> 未显示补丁版本的 bug。</p></li>
|
||
<li><p>添加虚拟服务 SNI host 的验证。</p></li>
|
||
</ul></description><pubDate>Thu, 06 Sep 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.2/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.2/</guid></item><item><title>Istio 1.0.1 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 1.0.1 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.1"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.1"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0.1)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
<a class="entry" href="https://github.com/istio/istio/compare/1.0.0...1.0.1">
|
||
<h5>代码变更</h5>
|
||
<p>查看源码变更的详细信息。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="networking">网络</h2>
|
||
<ul>
|
||
<li><p>改进了 Pilot 的可扩展性和 Envoy 的启动时间。</p></li>
|
||
<li><p>修复了添加端口时,虚拟服务 host 不匹配的 bug。</p></li>
|
||
<li><p>增加了对<a href="/v1.6/zh/docs/ops/best-practices/traffic-management/#split-virtual-services">合并同一主机的多个虚拟服务或目标规则定义</a>的有限支持。</p></li>
|
||
<li><p>使用 HTTP 时,允许连续的<a href="https://www.envoyproxy.io/docs/envoy/latest/api-v2/api/v2/cluster/outlier_detection.proto">异常</a>网关故障。</p></li>
|
||
</ul>
|
||
<h2 id="environment">环境</h2>
|
||
<ul>
|
||
<li><p>对于那些只想使用 Istio 流量管理功能的用户,Pilot 现在可以独立使用。</p></li>
|
||
<li><p>引入了方便的配置 <code>values-istio-gateway.yaml</code>,该配置使用户能够运行独立网关。</p></li>
|
||
<li><p>修复了一堆 Helm 的安装问题,包括 <code>istio-sidecar-injector</code> 找不到配置映射的 bug。</p></li>
|
||
<li><p>修复了 Galley 尚未准备就绪的 Istio 安装 bug。</p></li>
|
||
<li><p>修复了有关网格扩展的各种 bug。</p></li>
|
||
</ul>
|
||
<h2 id="policy-and-telemetry">策略和遥测</h2>
|
||
<ul>
|
||
<li><p>向 Mixer Prometheus 适配器添加了实验性的指标过期配置。</p></li>
|
||
<li><p>Grafana 升级至 5.2.2。</p></li>
|
||
</ul>
|
||
<h3 id="adapters">适配器</h3>
|
||
<ul>
|
||
<li>现在可以为 Stackdriver 适配器指定接收器选项。</li>
|
||
</ul>
|
||
<h2 id="galley">Galley</h2>
|
||
<ul>
|
||
<li>改进健康检查的配置验证。</li>
|
||
</ul></description><pubDate>Wed, 29 Aug 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0.1/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0.1/</guid></item><item><title>Istio 1.0 发布公告</title><description>
|
||
<p>今天,我们激动的宣布,Istio 1.0 正式发布!自我们最初发布 0.1 版以来已经一年多了。从那时起,一个由贡献者和用户组成的蓬勃发展的社区,使得 Istio 有了长足的发展。现在,许多公司已成功将 Istio 投入生产,并从 Istio 对部署的洞察力和控制力中获得了真正的价值。我们帮助了很多大型企业和快速发展的初创企业,例如:<a href="https://www.ebay.com/">eBay</a>、<a href="https://www.autotrader.co.uk/">Auto Trader UK</a>、<a href="http://www.descarteslabs.com/">Descartes Labs</a>、<a href="https://www.fitstation.com/">HP FitStation</a>、<a href="https://juspay.in">JUSPAY</a>、<a href="https://www.namely.com/">Namely</a>、<a href="https://www.pubnub.com/">PubNub</a> 和 <a href="https://www.trulia.com/">Trulia</a> 已经使用 Istio 从头开始连接、管理和保护其服务。将此版本发布为 1.0 表示我们已经建立了一套核心功能,可供用户在生产中使用。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="update-notice entry"
|
||
data-title='更新提示'
|
||
data-downloadhref="https://github.com/istio/istio/releases/tag/1.0.0"
|
||
data-downloadbuttontext="DOWNLOAD 1.0.0"
|
||
data-updateadvice='在下载 %s 之前,您应该知道有一个更新的补丁版本,这个版本修复了已知的 Bug 并且在一定程度上提升了性能。%!(EXTRA string=1.0)'
|
||
data-updatebutton='了解 Istio 1.0.9'
|
||
data-updatehref="/v1.6/zh/news/releases/1.0.x/announcing-1.0.9/">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v1.0/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="ecosystem">生态系统</h2>
|
||
<p>去年,我们发现 Istio 的生态系统有了大幅增长。
|
||
<a href="https://www.envoyproxy.io/">Envoy</a> 继续保持惊人的增长,并增加了许多对服务网格生产质量至关重要的功能。
|
||
诸如 <a href="https://www.datadoghq.com/">Datadog</a>、<a href="https://www.solarwinds.com/">SolarWinds</a>、<a href="https://sysdig.com/blog/monitor-istio/">Sysdig</a>、<a href="https://cloud.google.com/stackdriver/">Google Stackdriver</a> 和 <a href="https://aws.amazon.com/cloudwatch/">Amazon CloudWatch</a> 之类的可观察性提供商已经编写了将 Istio 与他们的产品集成的插件。
|
||
<a href="https://www.tigera.io/resources/using-network-policy-concert-istio-2/">Tigera</a>、<a href="https://www.aporeto.com/">Aporeto</a>、<a href="https://cilium.io/">Cilium</a> 和 <a href="https://styra.com/">Styra</a> 为我们的策略执行和网络功能构建了扩展。
|
||
<a href="https://www.redhat.com/en">Red Hat</a> 构建了 <a href="https://www.kiali.io">Kiali</a>,以围绕网格管理和可观察性提供不错的用户体验。
|
||
<a href="https://www.cloudfoundry.org/">Cloud Foundry</a> 基于 Istio 的下一代流量路由栈,
|
||
最近宣布的 <a href="https://github.com/knative/docs">Knative</a> serverless 项目也在做同样的事情,并且 <a href="https://apigee.com/">Apigee</a> 宣布他们计划在其 API 管理中使用它。
|
||
这些只是社区去年添加集成中的一部分。</p>
|
||
<h2 id="features">特性</h2>
|
||
<p>自 0.8 版以来,我们添加了一些重要的新功能,更重要的是将许多现有功能标记为 Beta,表明它们已可以投入生产。以下是一些要点:</p>
|
||
<ul>
|
||
<li><p>现在可以将多个 Kubernetes 集群<a href="/v1.6/zh/docs/setup/install/multicluster/">添加到单个网格</a>中,并实现跨集群通信和一致的策略实施。多群集支持现在为 Beta。</p></li>
|
||
<li><p>现在,可以对通过网状网络的流量进行细粒度控制的网络 API 已成为 Beta。使用网关对进入和退出问题进行显式建模,使运维人员可以<a href="/v1.6/zh/blog/2018/v1alpha3-routing/">控制网络拓扑</a>并满足边缘的访问安全性要求。</p></li>
|
||
<li><p>双向 TLS 现在[以增量方式推出],无需更新服务的所有客户端。这是一项关键功能,现有生产部署可以无障碍的就地采用。</p></li>
|
||
<li><p>Mixer 开始支持<a href="https://github.com/istio/istio/wiki/Out-Of-Process-gRPC-Adapter-Dev-Guide">开发进程外适配器</a>。这将成为在未来发行版中扩展 Mixer 的默认方法,并使构建适配器更加简单。</p></li>
|
||
<li><p>现在,由 Envoy 完全控制本地控制访问服务的<a href="/v1.6/zh/docs/concepts/security/#authorization">授权策略</a>,以提高其性能和可靠性。</p></li>
|
||
<li><p>现在建议使用 <a href="/v1.6/zh/docs/setup/install/helm/">Helm chart 安装</a>方法,该方法提供了丰富的自定义选项,可以按您的意愿采用 Istio。</p></li>
|
||
<li><p>我们已经在性能上做出了很多努力,包括连续回归测试,大规模环境模拟和目标修复。我们对结果感到非常满意,并将在未来几周内详细分享更多信息。</p></li>
|
||
</ul>
|
||
<h2 id="what-is-next">接下来呢?</h2>
|
||
<p>尽管这是该项目的重要里程碑,但还有很多工作要做。通过与使用者合作,我们获得了很多有关下一步重点的反馈。我们听到了围绕以下功能的一致诉求:混合云、安装模块化、更丰富的网络功能和大规模部署的可伸缩性。我们已经在 1.0 版本中考虑了其中一些反馈,并且在接下来的几个月中我们将继续积极地解决这项工作。</p>
|
||
<h2 id="getting-started">开始之前</h2>
|
||
<p>如果您是 Istio 的新手,并希望将其用于您的部署,我们很乐意听取您的意见。
|
||
可以看看<a href="/v1.6/zh/docs/">我们的文档</a>或者移步我们的<a href="https://discuss.istio.io">聊天室</a>。
|
||
如果您想更深入地<a href="/v1.6/zh/about/community">为项目做贡献</a>,请参加一个我们的社区会议,并打个招呼。</p>
|
||
<h2 id="thanks">感谢</h2>
|
||
<p>Istio 团队非常感谢为该项目做出贡献的每个人。没有您的帮助,就没有 Istio 的今天。这一年真的太神奇了,我们非常期待接下来的一年,我们共同构成的社区又可以取得什么样的成就。</p>
|
||
<h2 id="release-notes">发行说明</h2>
|
||
<h3 id="networking">网络</h3>
|
||
<ul>
|
||
<li><p><strong>使用虚拟服务的 SNI 路由</strong>。<a href="/v1.6/zh/docs/reference/config/networking/virtual-service/"><code>VirtualService</code></a> 新引入的 <code>TLS</code> 部分,可用于基于 SNI 值的路由 TLS 流量。可以将名为 TLS/HTTPS 的服务端口与虚拟服务 TLS 路由结合使用。没有附带虚拟服务的 TLS/HTTPS 端口将被视为不透明的 TCP。</p></li>
|
||
<li><p><strong>恢复流式 gRPC</strong>。Istio 0.8 导致长时间运行的流式 gRPC 连接的定期终止。此问题已在 1.0 中修复。</p></li>
|
||
<li><p><strong>移除旧的(v1alpha1)网络 API</strong>。对旧的 <code>v1alpha1</code> 流量管理模型的支持已被删除。</p></li>
|
||
<li><p><strong>弃用 Istio Ingress</strong>。默认情况下,旧的 Istio Ingress 已被弃用并禁用。我们鼓励用户改用 <a href="/v1.6/zh/docs/concepts/traffic-management/#gateways">gateway</a>。</p></li>
|
||
</ul>
|
||
<h3 id="policy-and-telemetry">策略和遥测</h3>
|
||
<ul>
|
||
<li><p><strong>更新的属性</strong>。用于描述流量来源和目的地的一组<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/attribute-vocabulary/">属性</a>已被彻底修改,变得更加精确和全面。</p></li>
|
||
<li><p><strong>策略检查缓存</strong>。Mixer 现在具有了用于策略检查的大型 2 级缓存,补充了 sidecar 代理中存在的 1 级缓存。这进一步减少了外部强制策略检查的平均延迟。</p></li>
|
||
<li><p><strong>遥测缓冲</strong>。Mixer 现在可以在将调用报告分配给适配器之前先缓冲调用报告,这为适配器提供了机会以更大的块处理遥测数据,从而减少了 Mixer 及其适配器的总体计算开销。</p></li>
|
||
<li><p><strong>进程外适配器</strong>。Mixer 现在包括对进程外适配器的初始支持。这将是与 Mixer 集成的推荐方法。<a href="https://github.com/istio/istio/wiki/Mixer-Out-Of-Process-Adapter-Dev-Guide">进程外适配器开发指南</a>和<a href="https://github.com/istio/istio/wiki/Mixer-Out-Of-Process-Adapter-Walkthrough">进程外适配器遍历</a>提供了有关如何构建进程外适配器的初始文档。</p></li>
|
||
<li><p><strong>客户端遥测</strong>。现在,除了服务器端遥测之外,还可以从交互的客户端收集遥测。</p></li>
|
||
</ul>
|
||
<h4 id="adapters">适配器</h4>
|
||
<ul>
|
||
<li><p><strong>SignalFX</strong>。新的 <code>signalfx</code> 适配器。</p></li>
|
||
<li><p><strong>Stackdriver</strong>。<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/stackdriver/"><code>stackdriver</code></a> 适配器在此发行版中得到大幅增强,添加了新功能并提高性能。</p></li>
|
||
</ul>
|
||
<h3 id="security">安全</h3>
|
||
<ul>
|
||
<li><p><strong>授权</strong>。我们已经重新实现了[授权功能] 的 RPC 级授权策略,此功能现在的实现,不再需要使用 Mixer 和 Mixer 适配器。</p></li>
|
||
<li><p><strong>改进双向 TLS 身份认证控制</strong>。现在,可以更轻松地控制服务之间的<a href="/v1.6/zh/docs/concepts/security/#authentication">双向 TLS 身份认证</a>。我们提供 <code>PERMISSIVE</code> 模式,以便您可以为您的服务<a href="/v1.6/zh/docs/tasks/security/authentication/mtls-migration/">递增地启用双向 TLS</a>。我们移除了服务注释,采用<a href="/v1.6/zh/docs/tasks/security/authentication/authn-policy/">独特的方法来启用双向 TLS</a>,并结合了客户端<a href="/v1.6/zh/docs/concepts/traffic-management/#destination-rules">目标规则</a>。</p></li>
|
||
<li><p><strong>JWT 授权</strong>。现在支持 <a href="/v1.6/zh/docs/concepts/security/#authentication">JWT 身份验证</a>,可以使用<a href="/v1.6/zh/docs/concepts/security/#authentication-policies">身份验证策略</a>对其进行配置。</p></li>
|
||
</ul>
|
||
<h3 id="istioctl"><code>istioctl</code></h3>
|
||
<ul>
|
||
<li><p>添加 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-authn-tls-check"><code>istioctl authn tls-check</code></a> 命令。</p></li>
|
||
<li><p>添加 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-proxy-status"><code>istioctl proxy-status</code></a> 命令。</p></li>
|
||
<li><p>添加 <code>istioctl experimental convert-ingress</code> 命令。</p></li>
|
||
<li><p>移除 <code>istioctl experimental convert-networking-config</code> 命令。</p></li>
|
||
<li><p>改进和 bug 修复:</p>
|
||
<ul>
|
||
<li><p>使 <code>kubeconfig</code> handle 与 <code>kubectl</code> 对齐。</p></li>
|
||
<li><p><code>istioctl get all</code> 返回所有类型的网络和身份验证配置。</p></li>
|
||
<li><p>在 <code>istioctl get</code> 中添加了 <code>--all-namespaces</code> 标志,用于检索所有命名空间中的资源。</p></li>
|
||
</ul></li>
|
||
</ul>
|
||
<h3 id="known-issues-with-1-0">1.0 已知问题</h3>
|
||
<ul>
|
||
<li><p>Amazon EKS 服务未实现 sidecar 自动注入。在 Amazon EKS 中使用 Istio 需要为 sidecar 使用<a href="/v1.6/zh/docs/setup/additional-setup/sidecar-injection/#manual-sidecar-injection">手动注入</a>并通过 <a href="/v1.6/zh/docs/setup/install/helm">Helm 参数</a> <code>--set galley.enabled=false</code> 关闭 galley。</p></li>
|
||
<li><p>在<a href="/v1.6/zh/docs/setup/install/multicluster">多集群部署</a>中,mixer-telemetry 和 mixer-policy 组件不会连接到任何远程集群的 Kubernetes API 端点。由于与远程集群上的工作负载相关的某些元数据不完整,这会导致遥测保真度的损失。</p></li>
|
||
<li><p>有的 Kubernetes 清单,可用于独立使用 Citadel 或启用 Citadel 运行状况检查。Helm 没有实现这些模式。有关更多详细信息,请参见 <a href="https://github.com/istio/istio/issues/6922">Issue 6922</a>。</p></li>
|
||
<li><p>网格扩展功能,使您可以将原始 VM 添加到网格,此功能在 1.0 中已被破坏。我们预计将在几天内产生可解决此问题的补丁。</p></li>
|
||
</ul></description><pubDate>Tue, 31 Jul 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.0.x/announcing-1.0/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.0.x/announcing-1.0/</guid></item><item><title>Istio 0.8 发布公告</title><description>
|
||
<p>这是迈向 Istio 1.0 前的一个重要版本。除了常规的 bug 修复和性能改进之外,还包含许多新功能和体系结构改进。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/0.8.0">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v0.8/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="networking">网络</h2>
|
||
<ul>
|
||
<li><p><strong>改良的流量管理模型</strong>。我们终于准备好完成我们的<a href="/v1.6/zh/blog/2018/v1alpha3-routing/">新流量管理 API</a> 的总结。我们相信,在涵盖更多实际部署<a href="/v1.6/zh/docs/tasks/traffic-management/">用例</a>的同时,这种新模型更易于理解。对于从早期发行版升级的人,这儿有一个<a href="/v1.6/zh/docs/setup/upgrade/">迁移指南</a>和内置在 <code>istioctl</code> 中的转换工具,可帮助您从旧模型转换配置。</p></li>
|
||
<li><p><strong>Envoy 流式配置</strong>。默认情况下,Pilot 现在使用其 <a href="https://github.com/envoyproxy/data-plane-api/blob/master/xds_protocol.rst">ADS API</a> 将配置流式传输到 Envoy。这种新方法提高了有效的可伸缩性,减少了推出延迟,应该能消除虚假的 404 错误。</p></li>
|
||
<li><p><strong>Ingress/Egress 的 Gateway</strong>。我们不再支持将 Kubernetes Ingress 规范与 Istio 路由规则结合使用,因为它导致了许多错误和可靠性问题。Istio 现在支持用于 ingress 和 egress 代理的独立于平台的 <a href="/v1.6/zh/docs/concepts/traffic-management/#gateways">Gateway</a> 模型,该模型可跨 Kubernetes 和 Cloud Foundry 使用,并与路由无缝协作。Gateway 支持基于<a href="https://en.wikipedia.org/wiki/Server_Name_Indication">服务器名称指示</a>的路由,并基于客户端提供的服务器名称提供证书。</p></li>
|
||
<li><p><strong>受限的入站端口</strong>。现在,我们将 Pod 中的入站端口限制为该 Pod 中运行的应用所声明的端口。</p></li>
|
||
</ul>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li><p><strong>Citadel 介绍</strong>。我们终于给安全组件起了个名字。以前的 Istio-Auth 或者 Istio-CA 现在被统称为 Citadel。</p></li>
|
||
<li><p><strong>多集群支持</strong>。我们在多集群部署中支持每一个集群的 Citadel,以便所有 Citadel 共享相同的根证书,并且工作负载可以在整个网格上相互认证。</p></li>
|
||
<li><p><strong>认证策略</strong>。我们为<a href="/v1.6/zh/docs/tasks/security/authentication/authn-policy/">认证策略</a>创建了一个统一的 API,用于控制服务到服务的通信是否使用双向 TLS 以及最终用户身份验证。这是现在控制这些行为的推荐方法。</p></li>
|
||
</ul>
|
||
<h2 id="telemetry">遥测</h2>
|
||
<ul>
|
||
<li><strong>自我报告</strong>。Mixer 和 Pilot 现在会产生遥测,该遥测流经正常的 Istio 遥测管道,就像网格中的服务一样。</li>
|
||
</ul>
|
||
<h2 id="setup">安装</h2>
|
||
<ul>
|
||
<li><strong>Istio 安装菜单</strong>。Istio 具有一系列丰富的功能,但是您并不需要全部安装或使用它们。通过使用 Helm 或 <code>istioctl gen-deploy</code>,用户可以只安装他们想要的功能。例如,用户可以只安装 Pilot 并享受流量管理功能,而无需处理 Mixer 或 Citadel。</li>
|
||
</ul>
|
||
<h2 id="mixer-adapters">Mixer 适配器</h2>
|
||
<ul>
|
||
<li><strong>CloudWatch</strong>。Mixer 现在可以将指标报告给 AWS CloudWatch。<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/cloudwatch/">了解更多</a></li>
|
||
</ul>
|
||
<h2 id="known-issues-with-0.8">0.8 已知问题</h2>
|
||
<ul>
|
||
<li><p>有关指向 headless 服务的虚拟服务的网关无法工作(<a href="https://github.com/istio/istio/issues/5005">Issue #5005</a>)。</p></li>
|
||
<li><p>这是一个 <a href="https://github.com/istio/istio/issues/5723">Google Kubernetes Engine 1.10.2 的问题</a>。变通的方法是使用 Kubernetes 1.9 或者将节点的镜像切换为 Ubuntu。该问题预计在 GKE 1.10.4 会得到修复。</p></li>
|
||
<li><p><code>istioctl experimental convert-networking-config</code> 工具存在一个已知的命名空间问题,所需的命名空间可能会被修改为 <code>istio-system</code>,请在运行对话工具后手动将其修改为所需的命名空间。<a href="https://github.com/istio/istio/issues/5817">了解更多</a></p></li>
|
||
</ul></description><pubDate>Fri, 01 Jun 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.8/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.8/</guid></item><item><title>Istio 0.7 发布公告</title><description><p>这次发布的版本,我们专注于改进构建和测试基础架构并提高测试质量。因此,本月没有新功能。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/0.7.0">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v0.7/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
</div>
|
||
<p>请注意,此版本包括对新的 v1alpha3 流量管理功能的初步支持。此功能仍在不断变化中,0.8 可能会有一些重大变化。
|
||
因此,如果您想探索,请继续前进,但它可能会在 0.8 或更高的版本有变化。</p>
|
||
<p>已知问题:</p>
|
||
<p>我们的 <a href="/v1.6/zh/docs/setup/install/helm">Helm chart</a> 现在必须使用一些变通的方法才能正确运行,查看 <a href="https://github.com/istio/istio/issues/4701">4701</a> 获取详情。</p></description><pubDate>Wed, 28 Mar 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.7/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.7/</guid></item><item><title>Istio 0.6 发布公告</title><description>
|
||
<p>除了常规的 bug 修复和性能改进,该版本还新增或更新了以下特性。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/0.6.0">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v0.6/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="networking">网络</h2>
|
||
<ul>
|
||
<li><strong>自定义 Envoy 配置</strong>。Pilot 现在支持将自定义 Envoy 配置传递到 proxy。<a href="https://github.com/mandarjog/istioluawebhook">了解更多</a></li>
|
||
</ul>
|
||
<h2 id="mixer-adapters">Mixer 适配器</h2>
|
||
<ul>
|
||
<li><p><strong>SolarWinds</strong>。Mixer 现在可以跟 AppOptics 和 Papertrail 交互。<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/solarwinds/">了解更多</a></p></li>
|
||
<li><p><strong>Redis 配额</strong>。现在,Mixer 支持了一个用于速率限制跟踪的基于 Redis 的适配器。<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/redisquota/">了解更多</a></p></li>
|
||
<li><p><strong>Datadog</strong>。现在,Mixer 提供了一个将度量标准数据传递给 Datadog 代理的适配器。<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/datadog/">了解更多</a></p></li>
|
||
</ul>
|
||
<h2 id="other">其它</h2>
|
||
<ul>
|
||
<li><p><strong>独立的检查、报告集群</strong>。现在,配置 Envoy 时,具有 Mixer 检查功能的实例和具有 Mixer 报告功能的实例可以来自不同的群集。这在大型部署中可能有用,以更好地扩展 Mixer 实例。</p></li>
|
||
<li><p><strong>监控仪表盘</strong>。Grafana 现在有了初步的 Mixer&amp;Pilot 监控仪表盘。</p></li>
|
||
<li><p><strong>存活及就绪检测</strong>。Istio 组件现在提供了规范的存活及就绪检测支持,以帮助确保网格基础结构的健康。</p></li>
|
||
<li><p><strong>Egress 策略和遥测</strong>。Istio 可以监控由 <code>EgressRule</code> 或 External Service 定义的外部服务的流量。也可以将 Mixer 策略应用于该流量。</p></li>
|
||
</ul></description><pubDate>Thu, 08 Mar 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.6/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.6/</guid></item><item><title>Istio 0.5 发布公告</title><description>
|
||
<p>除了常规的 bug 修复和性能改进,该版本还新增或更新了以下特性。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/0.5.0">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v0.5/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="networking">网络</h2>
|
||
<ul>
|
||
<li><p><strong>渐进式部署 Istio</strong>。(预览)现在,通过仅安装所需的组件(例如,仅 Pilot + Ingress 作为最小化的 Istio 安装),您可以比以前更轻松地逐步采用 Istio。请参考 <code>istioctl</code> CLI 工具,以生成有关自定义 Istio 部署的信息。</p></li>
|
||
<li><p><strong>自动注入 Proxy</strong>。我们利用 Kubernetes 1.9 的新 <a href="https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.9.md#api-machinery">muting webhook 特性</a>提供 Pod 级的自动注入。自动注入需要 Kubernetes 1.9 或更高版本,因此不适用于旧版本。不再支持 alpha 初始化机制。<a href="/v1.6/zh/docs/setup/additional-setup/sidecar-injection/#automatic-sidecar-injection">了解更多</a></p></li>
|
||
<li><p><strong>改进流量规则</strong>。根据用户反馈,我们对 Istio 的流量管理(路由规则,目标规则等)进行了重大更改。在接下来的几周中,我们会不断完善您的反馈,希望我们能继续为您提供帮助。</p></li>
|
||
</ul>
|
||
<h2 id="mixer-adapters">Mixer 适配器</h2>
|
||
<ul>
|
||
<li><p><strong>Open Policy Agent</strong>。现在,Mixer 有一个实现了 <a href="https://www.openpolicyagent.org">open policy agent</a> 模型的适配器,可提供灵活的细粒度访问控制机制。<a href="https://docs.google.com/document/d/1U2XFmah7tYdmC5lWkk3D43VMAAQ0xkBatKmohf90ICA">了解更多</a></p></li>
|
||
<li><p><strong>Istio RBAC</strong>。现在,Mixer 有了一个基于角色的访问控制适配器。<a href="/v1.6/zh/docs/concepts/security/#authorization">了解更多</a></p></li>
|
||
<li><p><strong>Fluentd</strong>。现在,Mixer 提供了一个通过 <a href="https://www.fluentd.org">Fluentd</a> 收集日志的适配器。<a href="/v1.6/zh/docs/tasks/observability/logs/fluentd/">了解更多</a></p></li>
|
||
<li><p><strong>Stdio</strong>。现在,Stdio 适配器使您可以将日志记录到文件,并支持日志轮转、备份以及大量控件。</p></li>
|
||
</ul>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li><p><strong>使用你自己的 CA</strong>。多项针对 ‘使用你自己的 CA’特性的改进。<a href="/v1.6/zh/docs/tasks/security/plugin-ca-cert/">了解更多</a></p></li>
|
||
<li><p><strong>PKCS8</strong>。将 PKCS8 密钥的支持添加到 Istio PKI。</p></li>
|
||
<li><p><strong>Istio RBAC</strong>。Istio RBAC 为 Istio 网格中的服务提供了访问控制。<a href="/v1.6/zh/docs/concepts/security/#authorization">了解更多</a></p></li>
|
||
</ul>
|
||
<h2 id="other">其它</h2>
|
||
<ul>
|
||
<li><p><strong>发行版二进制文件</strong>。我们已将版本和安装默认值切换至发行版,以提高性能和安全性,</p></li>
|
||
<li><p><strong>组件日志</strong>。Istio 组件现在提供了一组丰富的命令行选项来控制本地日志记录,包括对日志轮换的通用支持。</p></li>
|
||
<li><p><strong>一致的版本报告</strong>。Istio 组件现在提供了一致的命令行界面来报告其版本信息。</p></li>
|
||
<li><p><strong>可选的实例字段</strong>。在配置中,Mixer 实例的定义不再需要包含关联模板的每个字段。缺省字段的值将为零或空值。</p></li>
|
||
</ul>
|
||
<h2 id="known-issues">已知问题</h2>
|
||
<ul>
|
||
<li><p>Helm charts 安装目前无法使用。</p></li>
|
||
<li><p>sidecar 自动注入仅支持 Kubernetes 1.9 及以后的版本。</p></li>
|
||
</ul></description><pubDate>Fri, 02 Feb 2018 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.5/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.5/</guid></item><item><title>Istio 0.4 发布公告</title><description>
|
||
<p>随着我们稳定的每月发布流程,此版本只进行了几周的更改。除了普通的错误修复和性能改进之外,此版本还包含以下项。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/0.4.0">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v0.4/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="general">General</h2>
|
||
<ul>
|
||
<li><p><strong>Cloud Foundry</strong>。增加了对 <a href="https://www.cloudfoundry.org">Cloud Foundry</a> 平台的最低 Pilot 支持,使 Pilot 可以发现 CF 服务和服务实例。</p></li>
|
||
<li><p><strong>Circonus</strong>。Mixer 现在包含了用于 <a href="https://www.circonus.com">Circonus</a> 分析和监控平台的适配器。</p></li>
|
||
<li><p><strong>Pilot 指标</strong>。Pilot 现在会收集诊断指标。</p></li>
|
||
<li><p><strong>Helm Chart</strong>。现在,我们提供了 Helm Chart 安装 Istio 的方式。</p></li>
|
||
<li><p><strong>增强的属性表达式</strong>。Mixer 的表达语言获得了一些新功能,使编写策略规则变得更加容易。<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/expression-language/">学到更多</a></p></li>
|
||
</ul>
|
||
<p>如果您想了解细节,可以在<a href="https://github.com/istio/istio/wiki/v0.4.0">此处</a>查看我们更详细的低级发行说明。</p></description><pubDate>Mon, 18 Dec 2017 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.4/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.4/</guid></item><item><title>Istio 0.3 发布公告</title><description>
|
||
<p>我们很高兴的宣布 Istio 0.3 现已正式发布。下面是更新详情。</p>
|
||
<div class="relnote-actions call-to-action">
|
||
<a class="entry" href="https://github.com/istio/istio/releases/tag/0.3.0">
|
||
<h5>下载</h5>
|
||
<p>下载安装该发行版。</p>
|
||
</a>
|
||
<a class="entry" href="https://archive.istio.io/v0.3/docs">
|
||
<h5>文档</h5>
|
||
<p> 访问该发行版的文档。</p>
|
||
</a>
|
||
</div>
|
||
<h2 id="general">概况</h2>
|
||
<p>从 0.3 开始,Istio 的发布节奏切换为月度更新。我们希望这将有助于提高我们及时提供改进的能力。有关此版本的各个功能的状态,请参见 <a href="/v1.6/zh/about/feature-stages/">here</a>。</p>
|
||
<p>团队将重点放在内部基础设施工作上,以提高我们的速度,所以在新功能方面,这是一个相当适中的发布。解决了许多错误和较小的问题,并在许多方面提高了整体性能。</p>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li><p><strong>安全的控制平面通信</strong>。Mixer 和 Pilot 现在由双向 TLS 保障安全,就像网格中的所有服务一样。</p></li>
|
||
<li><p><strong>选择性认证</strong>。现在,您可以通过服务注释在每个服务的基础上控制身份验证,这有助于逐步迁移到 Istio。</p></li>
|
||
</ul>
|
||
<h2 id="networking">网络</h2>
|
||
<ul>
|
||
<li><strong>TCP Egress 规则</strong>。现在,您可以指定影响 TCP 级别流量的 Egress 规则。</li>
|
||
</ul>
|
||
<h2 id="policy-enforcement-and-telemetry">策略执行和遥测</h2>
|
||
<ul>
|
||
<li><p><strong>改善缓存</strong>。Envoy 和 Mixer 之间的缓存得到了很大改善,大大降低了授权检查的平均延迟。</p></li>
|
||
<li><p><strong>改进的列表适配器</strong>。Mixer “列表” 适配器现在支持正则表达式匹配。有关详细信息,请参见适配器的<a href="/v1.6/zh/docs/reference/config/policy-and-telemetry/adapters/list/">配置选项</a>。</p></li>
|
||
<li><p><strong>配置校验</strong>。Mixer 对配置状态进行更广泛的验证,以便更早发现问题。我们希望在即将发布的版本中,投入更多的精力在此功能上。</p></li>
|
||
</ul>
|
||
<p>如果您想了解细节,可以在<a href="https://github.com/istio/istio/wiki/v0.3.0">这里</a>查看我们更详细的低级发行说明。</p></description><pubDate>Wed, 29 Nov 2017 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.3/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.3/</guid></item><item><title>宣布 Istio 0.2</title><description>
|
||
<p>我在 2017 年 5 月 24 日发布了 Istio ,它是一个用于连接、管理、监控和保护微服务的开放平台。看着饱含浓厚兴趣的开发者、运营商、合作伙伴和不断发展的社区,我们感到十分的欣慰。我们 0.1 版本的重点是展示 Istio 在 Kubernetes 中的所有概念。</p>
|
||
<p>今天我们十分高兴地宣布推出 0.2 版本,它提高了稳定性和性能、允许在 Kubernetes 集群中广泛部署并自动注入 sidecar 、为 TCP 服务添加策略和身份验证、同时保证扩展网格收录那些部署在虚拟机中的服务。此外,Istio 可以利用 Consul/Nomad 或 Eureka 在 Kubernetes 外部运行。除了核心功能,Istio 的扩展已经准备由第三方公司和开发人员编写。</p>
|
||
<h2 id="highlights-for-the-0.2-release">0.2 版本的亮点</h2>
|
||
<h3 id="usability-improvements">可用性改进</h3>
|
||
<ul>
|
||
<li><p><em>支持多命名空间</em>: Istio 现在可以跨多个名称空间在集群范围内工作,这也是来自 0.1 版本中社区最强烈的要求之一。</p></li>
|
||
<li><p><em>TCP 服务的策略与安全</em>: 除了 HTTP ,我们还为 TCP 服务增加了透明双向 TLS 认证和策略实施。这将让拥有像遥测,策略和安全等 Istio 功能的同时,保护更多 Kubernetes deployment 。</p></li>
|
||
<li><p><em>自动注入 sidecar</em>: 通过利用 Kubernetes 1.7 提供的 alpha <a href="https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/">初始化程序</a> ,当您的集群启用了该程序时,envoy sidecar 就可以自动注入到应用的 deployment 里。这使得你可以使用 <code>kubectl</code> 命令部署微服务,这与您通常在没有 Istio 的情况下部署微服务的命令完全相同。</p></li>
|
||
<li><p><em>扩展 Istio</em> : 改进的 Mixer 设计,可以允许供应商编写 Mixer 适配器以实现对其自身系统的支持,例如应用管理或策略实施。该 <a href="https://github.com/istio/istio/wiki/Mixer-Compiled-In-Adapter-Dev-Guide">Mixer 适配器开发指南</a>可以轻松的帮你将 Istio 集成于你的解决方案。</p></li>
|
||
<li><p><em>使用您自己的 CA 证书</em>: 允许用户提供自己的密钥和证书给 Istio CA 和永久 CA 密钥/证书存储,允许在持久化存储中提供签名密钥/证书,以便于 CA 重启。</p></li>
|
||
<li><p><em>改进路由和指标</em>: 支持 WebSocket 、MongoDB 和 Redis 协议。您可以将弹性功能(如熔断器)应用于第三方服务。除了 Mixer 的指标外,数以百计 Envoy 指标现在已经在 Prometheus 中可见,它们用于监控 Istio 网格中的流量吞吐。</p></li>
|
||
</ul>
|
||
<h3 id="cross-environment-support">跨环境支持</h3>
|
||
<ul>
|
||
<li><p><em>网格扩展</em>: Istio 网格现在可以在 Kubernetes 之外跨服务 —— 就像那些运行在虚拟机中的服务一样,他们同时享受诸如自动双向 TLS 认证、流量管理、遥测和跨网格策略实施带来的好处。</p></li>
|
||
<li><p><em>运行在 Kubernetes 外部</em>: 我们知道许多客户使用其他的服务注册中心和 orchestration 解决方案(如 Consul/Nomad 和 Eureka),Istio Pilot 可以在 Kubernetes 外部单独运行,同时从这些系统中获取信息,并在虚拟机或容器中管理 Envoy fleet 。</p></li>
|
||
</ul>
|
||
<h2 id="get-involved-in-shaping-the-future-of-Istio">加入到塑造 Istio 未来的队伍中</h2>
|
||
<p>呈现在我们面前的是一幅不断延伸的<a href="/v1.6/zh/about/feature-stages/">蓝图</a> ,它充满着强大的潜能。我们将在下个版本致力于 Istio 的稳定性,可靠性,第三方工具集成和多集群用例。</p>
|
||
<p>想要了解如何参与并为 Istio 的未来做出贡献,请查看我们在 GitHub 的<a href="https://github.com/istio/community">社区</a>项目,它将会向您介绍我们的工作组,邮件列表,各种社区会议,常规流程和指南。</p>
|
||
<p>我们要感谢为我们测试新版本、提交错误报告、贡献代码、帮助其他成员以及通过参与无数次富有成效的讨论塑造 Istio 的出色社区,这让我们的项目自启动以来在 GitHub 上累积了 3000 颗星,并且在 Istio 邮件列表上有着数百名活跃的社区成员。</p>
|
||
<p>谢谢</p>
|
||
<h2 id="release-notes">发布说明</h2>
|
||
<h3 id="general">通用</h3>
|
||
<ul>
|
||
<li><p><strong>更新配置模型</strong>。Istio 现在使用了 Kubernetes 的 <a href="https://kubernetes.io/docs/concepts/extend-kubernetes/api-extension/custom-resources/">Custom Resource</a>
|
||
来描述和存储其配置。当运行在 Kubernetes 上时,现在可以使用 <code>kubectl</code> 命令来管理配置。</p></li>
|
||
<li><p><strong>多 namespace 的支持</strong>。Istio 控制平面组件现在位于专用的 <code>istio-system</code> namespace 下。
|
||
Istio 可以管理其他非系统名称空间中的服务。</p></li>
|
||
<li><p><strong>Mesh 扩展</strong>。初步支持将非 Kubernetes 服务(以 VM 和/或 物理机的形式)添加到网格中。
|
||
这是此功能的早期版本,存在一些限制(例如,要求在容器和 VM 之间建立扁平网络)。</p></li>
|
||
<li><p><strong>多环境的支持</strong>。初步支持将 Istio 与其他服务注册表(包括 Consul 和 Eureka )结合使用。</p></li>
|
||
<li><p><strong>自动注入 Sidecar</strong>。使用 Kubernetes 中的 <a href="https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/">Initializers</a> alpha 功能,可以在部署后将 Istio 边车自动注入到 Pod 中。</p></li>
|
||
</ul>
|
||
<h3 id="performance-and-quality">性能及品质</h3>
|
||
<p>整个系统在性能和可靠性方面都有许多改进。
|
||
我们尚未考虑将 Istio 0.2 用于生产,但我们在这一方面取得了长足的进步。以下是一些注意事项:</p>
|
||
<ul>
|
||
<li><p><strong>缓存客户端</strong>。现在,Envoy 使用的 Mixer 客户端库为 Check 调用提供了缓存,为 Report 调用提供了批处理,从而大大减少了端到端的开销。</p></li>
|
||
<li><p><strong>避免热重启</strong>。通过有效使用 LDS/RDS/CDS/EDS,基本上消除了 Envoy 需要热重启的情况。</p></li>
|
||
<li><p><strong>减少内存使用</strong>。大大减少了 Sidecar 辅助代理的大小,从 50Mb 减少到了 7Mb。</p></li>
|
||
<li><p><strong>改善 Mixer 延迟</strong>。Mixer 现在可以清楚地描述配置时间和请求时间的计算,这样可以避免在请求时针对初始请求进行额外的设置工作,从而提供更平滑的平均延迟。
|
||
更好的资源缓存还有助于提高端到端性能。</p></li>
|
||
<li><p><strong>减少 Egress 流量的延迟</strong>。现在,我们直接将流量从 sidecar 转发到外部服务。</p></li>
|
||
</ul>
|
||
<h3 id="traffic-management">流量管理</h3>
|
||
<ul>
|
||
<li><p><strong>Egress 规则</strong>。现在可以为 Egress 流量指定路由规则。</p></li>
|
||
<li><p><strong>新协议</strong>。Mesh-wide 现在支持 WebSocket 链接, MongoDB 代理,
|
||
和 Kubernetes <a href="https://kubernetes.io/docs/concepts/services-networking/service/#headless-services">headless 服务</a>。</p></li>
|
||
<li><p><strong>其它改进</strong>。Ingress 正确支持 gRPC 服务,更好的支持健康检查和 Jaeger 追踪。</p></li>
|
||
</ul>
|
||
<h3 id="policy-enforcement-telemetry">策略执行及遥测</h3>
|
||
<ul>
|
||
<li><p><strong>Ingress 策略</strong>。除了 0.1 中支持的东西流量。现在,策略也可以应用于南北流量。</p></li>
|
||
<li><p><strong>支持 TCP 服务</strong>。除了 0.1 中可用的 HTTP 级策略控制外,0.2 还引入了 TCP 服务的策略控制。</p></li>
|
||
<li><p><strong>新的 Mixer API</strong>。Envoy 用于与 Mixer 进行交互的 API 已进行了完全重新设计,以提高健壮性,灵活性,并支持丰富的代理端缓存和批处理以提高性能。</p></li>
|
||
<li><p><strong>新的 Mixer Adapter 模型</strong>。新的适配器组合模型通过模板添加全新的适配器类,使扩展 Mixer 更容易。这种新模型将作为将来许多功能的基础构建块。
|
||
请参阅<a href="https://github.com/istio/istio/wiki/Mixer-Compiled-In-Adapter-Dev-Guide">适配器开发者指南</a>以了解如何编写适配器。</p></li>
|
||
<li><p><strong>改进 Mixer 构建模型</strong>。现在,构建包含自定义适配器的 Mixer 二进制文件变得更加容易。</p></li>
|
||
<li><p><strong>Mixer Adapter 更新</strong>。内置适配器已全部重写以适合新的适配器模型。该版本已添加了 <code>stackdriver</code> 适配器。
|
||
实验性的 <code>redisquota</code> 适配器已从 0.2 版本中删除,但有望在 生产就绪的 0.3 版本中回归。</p></li>
|
||
<li><p><strong>Mixer 调用追踪</strong>。现在可以在 Zipkin 仪表板中跟踪和分析 Envoy 和 Mixer 之间的调用。</p></li>
|
||
</ul>
|
||
<h3 id="security">安全</h3>
|
||
<ul>
|
||
<li><p><strong>TCP 流量的双向 TLS</strong>。除了 HTTP 流量外,TCP 流量现在也支持双向 TLS。</p></li>
|
||
<li><p><strong>VM 和物理机的身份配置</strong>。Auth 支持使用每节点代理进行身份配置的新机制。
|
||
该代理在每个节点(VM /物理机)上运行,并负责生成和发送 CSR(证书签名请求)以从 Istio CA 获取证书。</p></li>
|
||
<li><p><strong>使用自己的 CA 证书</strong>。允许用户向 Istio CA 提供自己的密钥和证书。</p></li>
|
||
<li><p><strong>永久性 CA 密钥/证书存储</strong>。Istio CA 现在将签名密钥/证书持久化存储,以方便 CA 重新启动。</p></li>
|
||
</ul>
|
||
<h2 id="known-issues">已知问题</h2>
|
||
<ul>
|
||
<li><p><strong>用户访问应用程序时可能会收到 404</strong>:我们注意到,Envoy 有时无法正确获取路由,因此将 404 返回给用户。
|
||
我们正在对此<a href="https://github.com/istio/istio/issues/1038">问题</a>进行积极的工作。</p></li>
|
||
<li><p><strong>在真正准备就绪之前,Istio Ingress 或 Egress 就报告了准备就绪</strong>:您可以在 <code>istio-system</code> 名称空间中检查 <code>istio-ingress</code> 和 <code>istio-egress</code> pod 的状态,并在所有 Istio pod 报告就绪状态后等待几秒钟。我们正在对此<a href="https://github.com/istio/istio/pull/1055">问题</a>进行积极的工作。</p></li>
|
||
<li><p><strong>启用了 Istio Auth 的服务无法与一个非 Istio 服务通信</strong>:此限制将在不久的将来消除。</p></li>
|
||
</ul></description><pubDate>Tue, 10 Oct 2017 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.2/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.2/</guid></item><item><title>初次了解 Istio</title><description>
|
||
<p>Google、IBM 和 Lyft 骄傲的宣布了 <a href="/v1.6/zh">Istio</a> 的首个公开版本。Istio 是一个以统一方式对微服务实施连接、管理、监控以及安全增强的开源项目。当前版本专注于支持 <a href="https://kubernetes.io/">Kubernetes</a> 环境,我们计划在接下来的几个月添加诸如虚拟机和 Cloud Foundry 等环境的支持。
|
||
Istio 为微服务添加了流量管理能力,同时为比如安全、监控、路由、连接管理和策略等附加能力打下了基础。此软件构建于来自 Lyft 的经过实战检验的 <a href="https://envoyproxy.github.io/envoy/">Envoy</a> 代理之上,能在 <em>无需改动任何应用代码</em> 的情况下赋予对应用流量的可见性和控制能力。Istio 为 CIO 们提供了一个在企业内加强安全、策略和合规性的强有力的工具。</p>
|
||
<h2 id="background">背景</h2>
|
||
<p>基于微服务模式编写可靠的、松耦合的、产品级的应用是有挑战的。随着巨型单体应用被分解为微服务,软件团队不得不面对将微服务集成进分布式系统的挑战:服务发现、负载均衡、故障容忍、端到端监测、动态路由,还有最重要的合规和安全。</p>
|
||
<p>层出不穷的方案尝试解决这些挑战,互不一致的库、脚本和堆栈溢出代码段导致这些解决方案跨越多种语言和运行时,严重影响了可观测性,最终危及到安全。</p>
|
||
<p>有一个解决方案是使用通用 RPC 库比如 <a href="https://grpc.io">gRPC</a>,但是这在大规模适配时花销不菲,且可能在某些事实上无法变更的应用上留下棕色地带。运维人员需要一个灵活的工具来使他们的微服务变得安全、合规、可追踪和高可用,开发人员也需要这种能力来在产品环境实验不同的功能或者部署金丝雀版本而不影响系统的完整性。</p>
|
||
<h2 id="solution-service-mesh">解决方案:服务网格</h2>
|
||
<p>想象一下如果我们可以在服务和网络之间透明的注入一层基础设施来给予运维人员所需要的控制能力的同时又能让开发人员免除需要将解决分布式系统问题的代码糅合到业务代码的烦恼。这种一致的基础设施层与服务开发的搭配通常被称之为 <strong><em>服务网格</em></strong>。正如微服务帮助不同的功能团队之间互相解耦,服务网格可以帮助解除功能开发和发布流程之间的耦合。Istio 通过在不同的服务网络间注入代理来将不同的微服务集成进同一个服务网格。</p>
|
||
<p>Google、IBM 和 Lyft 为了共同的愿景,基于为内部和企业客户构建和管理大规模微服务的经验合力创造了 Istio,以此来为微服务的开发和维护提供一个可靠的基础。Google 和 IBM 在他们自身的应用以及他们的企业客户的敏感的/ 受管制的环境中实施大规模微服务时积累了丰富的经验,同时 Lyft 开发了 Envoy 以解决他们内部面对的挑战。在成功的将其应用于生产环境,管理过能每秒处理两百万个请求的分布于上万个虚拟机 超过 100 个微服务一年后 <a href="https://eng.lyft.com/announcing-envoy-c-l7-proxy-and-communication-bus-92520b6c8191">Lyft 开源 Envoy</a> 。</p>
|
||
<h2 id="benefits-of-Istio">Istio 的好处</h2>
|
||
<p><strong>集群范围的可见性</strong>:故障时有发生,运维人员需要工具来监控集群健康和微服务状态。Istio 生成有关应用和网络行为的详细监测数据,可使用 <a href="https://prometheus.io/">Prometheus</a> 和 <a href="https://github.com/grafana/grafana">Grafana</a> 渲染,也可以发送指标和日志到任何收集、聚合和查询的系统以轻松的扩展其功能。Istio 使用 <a href="https://github.com/openzipkin/zipkin">Zipkin</a> 提供分析性能瓶颈和诊断分布式故障的功能。</p>
|
||
<figure style="width:100%">
|
||
<div class="wrapper-with-intrinsic-ratio" style="padding-bottom:55.425531914893625%">
|
||
<a data-skipendnotes="true" href="/v1.6/zh/news/releases/0.x/announcing-0.1/istio_grafana_dashboard-new.png" title="Grafana Dashboard with Response Size">
|
||
<img class="element-to-stretch" src="/v1.6/zh/news/releases/0.x/announcing-0.1/istio_grafana_dashboard-new.png" alt="Grafana Dashboard with Response Size" />
|
||
</a>
|
||
</div>
|
||
<figcaption>Grafana Dashboard with Response Size</figcaption>
|
||
</figure>
|
||
<figure style="width:100%">
|
||
<div class="wrapper-with-intrinsic-ratio" style="padding-bottom:29.912663755458514%">
|
||
<a data-skipendnotes="true" href="/v1.6/zh/news/releases/0.x/announcing-0.1/istio_zipkin_dashboard.png" title="Zipkin Dashboard">
|
||
<img class="element-to-stretch" src="/v1.6/zh/news/releases/0.x/announcing-0.1/istio_zipkin_dashboard.png" alt="Zipkin Dashboard" />
|
||
</a>
|
||
</div>
|
||
<figcaption>Zipkin Dashboard</figcaption>
|
||
</figure>
|
||
<p><strong>适应能力和效率</strong>:当开发微服务时,运维人员需要假设网络是不可靠的。运维人员可以使用重试、负载均衡、流程控制(HTTP/2)和熔断等措施来缓解不可靠网络中这些常见的故障。Istio 提供了一致的方式来配置这些功能,使其易于维护一个高适应性的服务网格。</p>
|
||
<p><strong>开发者生产力</strong>:Istio 使开发者专注于使用他们喜欢的编程语言构建服务功能,这有效的提升了开发者的生产力,同时 Istio 使用统一的方式处理适应性和网络认证。开发者免于将解决分布式系统问题的代码糅合到业务代码。Istio 提供支持 A/B 测试、金丝雀部署和故障注入的通用功能进一步的提高了生产力。</p>
|
||
<p><strong>策略驱动运维</strong>:Istio 赋予肩负不同职责的团队以独立操作的能力。它将集群管理员从应用部署环节中分离,这可以增强应用的安全、监测、伸缩和服务拓扑等能力而 <em>不需要</em> 变更代码。运维人员可以精确的路由一部分生产流量用于检验一个新版本的服务。他们可以在流量中注入故障和延迟来测试服务网格的适应能力,同时可以设置请求限制来放置服务被过载。Istio 也可以被用于确保合规,在服务间定义 ACL 可以仅允许被授权的服务才能相互访问。</p>
|
||
<p><strong>默认安全</strong>:一个常见的缪误是认为分布式计算的网络是安全的。Istio 使用双向 TLS 连接,使运维人员可以确保服务之间的通信是经过认证和安全的,而使开发者或运维人员无需负担繁重的认证管理任务。我们的安全框架符合 <a href="https://spiffe.io/">SPIFFE</a> 规范,且基于在 Google 内部经过大范围测试的类似系统。</p>
|
||
<p><strong>渐进式适配</strong>:我们有意使 Istio 对于运行于网格中的服务完全透明,这允许团队逐步适配 Istio 的功能。适配人员可以首先启用集群范围内的可见性,一旦他们适应了 Istio 的存在,他们可以按需开启其他功能。</p>
|
||
<h2 id="join-us-in-this-journey">加入我们</h2>
|
||
<p>Istio 是一个完全开放的开发项目。今天我们发布了能工作于 Kubernetes 集群的 0.1 版本,我们计划每三个月发布一个大版本,包括支持更多的环境。我们的目标是赋能开发者和运维人员,使他们在所有环境中都能敏捷的发布和维护微服务,拥有底层网络的完全的可见性,且获得一致的控制和安全能力。我们期待与 Istio 社区和我们的合作伙伴一起沿着<a href="/v1.6/zh/about/feature-stages/">路线图</a>朝着这些目标前进。</p>
|
||
<p>访问<a href="https://github.com/istio/istio/releases">此处</a>获取最新发布的代码。</p>
|
||
<p>查看在 GlueCon 2017 公布 Istio 时的<a href="/v1.6/talks/istio_talk_gluecon_2017.pdf">介绍</a>。</p>
|
||
<h2 id="community">社区</h2>
|
||
<p>我们很兴奋的看到来自社区中很多公司的早期支持:
|
||
<a href="https://blog.openshift.com/red-hat-istio-launch/">Red Hat</a> 的 Red Hat OpenShift 和 OpenShift Application Runtimes,
|
||
Pivotal 的 <a href="https://content.pivotal.io/blog/pivotal-and-istio-advancing-the-ecosystem-for-microservices-in-the-enterprise">Pivotal Cloud Foundry</a>,
|
||
WeaveWorks 的 <a href="https://www.weave.works/blog/istio-weave-cloud/">Weave Cloud</a> 和 Weave Net 2.0,
|
||
<a href="https://www.projectcalico.org/welcoming-istio-to-the-kubernetes-networking-community">Tigera</a> 的 Calico Network Policy Engine 项目,还有 <a href="https://www.datawire.io/istio-and-datawire-ecosystem/">Datawire</a> 的 Ambassador 项目。我们期待看到更多的公司加入我们。</p>
|
||
<p>想要参与时可以通过以下任意渠道与我们联系:</p>
|
||
<ul>
|
||
<li><p><a href="/v1.6/zh">istio.io</a> 提供文档和示例。</p></li>
|
||
<li><p><a href="https://discuss.istio.io">Istio discussion board</a> 综合交流区。</p></li>
|
||
<li><p><a href="https://stackoverflow.com/questions/tagged/istio">Stack Overflow</a> 用于问答</p></li>
|
||
<li><p><a href="https://github.com/istio/istio/issues">GitHub</a> 用于提交 Issue</p></li>
|
||
<li><p>Twitter <a href="https://twitter.com/IstioMesh">@IstioMesh</a></p></li>
|
||
</ul>
|
||
<p>欢迎登船!</p>
|
||
<h2 id="release-notes">发布说明</h2>
|
||
<ul>
|
||
<li>使用单个命令将 Istio 安装到 Kubernetes namespace 中。</li>
|
||
<li>将 Envoy proxy 半自动注入至 Kubernetes Pod 中。</li>
|
||
<li>使用 iptables 自动捕获 Kubernetes Pod 的流量。</li>
|
||
<li>针对 HTTP,gRPC 和 TCP 流量的集群内负载平衡。</li>
|
||
<li>支持超时,预算重试和熔断器。</li>
|
||
<li>Istio 集成的 Kubernetes Ingress 支持(Istio 充当 Ingress Controller)。</li>
|
||
<li>细粒度的流量路由控件,包括 A/B 测试,金丝雀,红/黑部署。</li>
|
||
<li>灵活的内存速率限制。</li>
|
||
<li>使用 Prometheus 进行 HTTP 和 gRPC 的 L7 遥测和日志记录。</li>
|
||
<li>Grafana 仪表板显示每个服务的 L7 指标。</li>
|
||
<li>使用 Envoy 及 Zipkin 实现请求跟踪。</li>
|
||
<li>使用双向 TLS 实现 service-to-service 的认证。</li>
|
||
<li>使用拒绝表达式实现简单 service-to-service 的认证。</li>
|
||
</ul></description><pubDate>Wed, 24 May 2017 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/0.x/announcing-0.1/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/0.x/announcing-0.1/</guid></item><item><title>对 Istio 1.2 的支持已终止</title><description><p>如<a href="/v1.6/zh/news/support/announcing-1.2-eol/">先前宣布</a>的一样, 对 Istio 1.2 的支持现已正式终止。</p>
|
||
<p>我们将不再为 1.2 提供针对安全问题和关键错误的修复程序,因此,如果您尚未升级,
|
||
我们建议您升级到最新版本的 Istio (1.6.8)。</p></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/support/announcing-1.2-eol-final/</link><author/><guid isPermaLink="true">/v1.6/zh/news/support/announcing-1.2-eol-final/</guid></item><item><title>Helm 安装参数变动表</title><description>
|
||
<p>下表显示了在 Istio 1.2 版本到 Istio 1.3 版本之间使用 Helm 自定义安装 Istio 时参数变更,主要包含了三种类型的变更:</p>
|
||
<ul>
|
||
<li>安装参数在 1.2 版本之前已经存在,但是值在新发布的 1.3 版本中进行了修改。</li>
|
||
<li>1.3 版本新加的参数。</li>
|
||
<li>1.3 版本删除的参数。</li>
|
||
</ul>
|
||
<!-- 下表是运行 python 脚本 scripts/tablegen.py 自动生成 -->
|
||
<!-- 自动生成开始 -->
|
||
<h2 id="modified-configuration-options">修改的配置选项</h2>
|
||
<h3 id="modified-Kiali-key-value-pairs">修改 <code>kiali</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>老的默认值</th>
|
||
<th>新的默认值</th>
|
||
<th>老的说明</th>
|
||
<th>新的说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.tag</code></td>
|
||
<td><code>v0.20</code></td>
|
||
<td><code>v1.1.0</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-global-key-value-pairs">修改 <code>global</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>老的默认值</th>
|
||
<th>新的默认值</th>
|
||
<th>老的说明</th>
|
||
<th>新的说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.tag</code></td>
|
||
<td><code>1.2.0-rc.3</code></td>
|
||
<td><code>release-1.3-latest-daily</code></td>
|
||
<td><code>Istio 镜像默认 tag。</code></td>
|
||
<td><code>Istio 镜像默认 tag。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-gateways-key-value-pairs">修改 <code>gateways</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>老的默认值</th>
|
||
<th>新的默认值</th>
|
||
<th>老的说明</th>
|
||
<th>新的说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.resources.limits.memory</code></td>
|
||
<td><code>256Mi</code></td>
|
||
<td><code>1024Mi</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-tracing-key-value-pairs">修改 <code>tracing</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>老的默认值</th>
|
||
<th>新的默认值</th>
|
||
<th>老的说明</th>
|
||
<th>新的说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>tracing.jaeger.tag</code></td>
|
||
<td><code>1.9</code></td>
|
||
<td><code>1.12</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.tag</code></td>
|
||
<td><code>2</code></td>
|
||
<td><code>2.14.2</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="new-configuration-options">新加的配置选项</h2>
|
||
<h3 id="new-tracing-key-value-pairs">添加 <code>tracing</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>tracing.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.image</code></td>
|
||
<td><code>all-in-one</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.spanStorageType</code></td>
|
||
<td><code>badger</code></td>
|
||
<td><code>对于 all-in-one 模式镜像 spanStorageType 值可以是“memory”和“badger”</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.persist</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.storageClassName</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.accessMode</code></td>
|
||
<td><code>ReadWriteMany</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.image</code></td>
|
||
<td><code>zipkin</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-sidecar-injector-webhook-key-value-pairs">添加 <code>sidecarInjectorWebhook</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-global-key-value-pairs">添加 <code>global</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.proxy.init.resources.limits.cpu</code></td>
|
||
<td><code>100m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.init.resources.limits.memory</code></td>
|
||
<td><code>50Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.init.resources.requests.cpu</code></td>
|
||
<td><code>10m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.init.resources.requests.memory</code></td>
|
||
<td><code>10Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.host</code></td>
|
||
<td>``</td>
|
||
<td><code>例如:accesslog-service.istio-system</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.port</code></td>
|
||
<td>``</td>
|
||
<td><code>例如:15000</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tlsSettings.mode</code></td>
|
||
<td><code>DISABLE</code></td>
|
||
<td><code>DISABLE, SIMPLE, MUTUAL, ISTIO_MUTUAL</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tlsSettings.clientCertificate</code></td>
|
||
<td>``</td>
|
||
<td><code>例如: /etc/istio/als/cert-chain.pem</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tlsSettings.privateKey</code></td>
|
||
<td>``</td>
|
||
<td><code>例如:/etc/istio/als/key.pem</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tlsSettings.caCertificates</code></td>
|
||
<td>``</td>
|
||
<td><code>例如:/etc/istio/als/root-cert.pem</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tlsSettings.sni</code></td>
|
||
<td>``</td>
|
||
<td><code>例如: als.somedomain</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tlsSettings.subjectAltNames</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tcpKeepalive.probes</code></td>
|
||
<td><code>3</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tcpKeepalive.time</code></td>
|
||
<td><code>10s</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyAccessLogService.tcpKeepalive.interval</code></td>
|
||
<td><code>10s</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.protocolDetectionTimeout</code></td>
|
||
<td><code>10ms</code></td>
|
||
<td><code>在服务端,自动协议检测使用一组启发式方法来确定连接是否正在使用 TLS,以及所使用的应用协议(例如,http vs tcp)。 这些试探法依赖于客户端发送第一次请求数。对于一些优先发现的协议,如 MySQL 协议,MongoDB 协议等等,Envoy 在完成协议检测超时情况下,默认为非 mTLS 的普通 TCP 流量。 设置此字段可调整 Envoy 等待客户端发送第一次请求数据时间。(必须 &gt;= 1ms)</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.enableCoreDumpImage</code></td>
|
||
<td><code>ubuntu:xenial</code></td>
|
||
<td><code>当 &quot;enableCoreDump&quot; 设置为 true 的时候,启动核心存储的镜像</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.defaultTolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td><code>节点的默认 tolerations 将应用于所有部署,以便可以将所有 Pod 调度到具有匹配 taints 的特定节点。每个组件都可以通过在下面的相关部分中添加其 tolerations block 并设置所需的值来覆盖这些默认值。如果希望将 Istio 控制平面的所有 Pod 都调度到具有指定 taints 的特定节点,请配置此字段。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.meshID</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>MeshID 表示 Mesh 标识符。在可能会彼此交互的 mesh 之间,它应该是唯一的,但是并不需要是全局唯一的。例如,如果满足以下任一条件,则两个 mesh 必须具有不同的 MeshID:- Mesh 将遥测聚集在同一个地方。- Mesh 将联合在一起。- 策略将被另一个 Mesh 引用。管理员希望这些条件中的任何一种将来可能成为现实,因此应确保为其 Mesh 分配了不同的 MeshID。在多集群 Mesh 中,每个集群必须(手动或自动)配置为具有相同的 MeshID 值。如果现有集群“加入”到多集群 Mesh 则需要将其迁移到新的 MeshID。迁移的详细信息待定,并且在安装后更改 MeshID 可能是一项破坏性操作。如果 Mesh 管理者未指定值,则 Istio 将使用 Mesh “信任域”的值。最佳实践是选择适当的“信任域”值。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.localityLbSetting.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-galley-key-value-pairs">添加 <code>galley</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>galley.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>galley.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-mixer-key-value-pairs">添加 <code>mixer</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>mixer.policy.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.policy.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.reportBatchMaxEntries</code></td>
|
||
<td><code>100</code></td>
|
||
<td><code>将 reportBatchMaxEntries 设置为 0 表示使用默认的批处理行为(即每 100 个批处理一次)。 正值表示遥测数据发送到 mixer 服务器之前已批处理的请求数</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.reportBatchMaxTime</code></td>
|
||
<td><code>1s</code></td>
|
||
<td><code>将 reportBatchMaxTime 设置为 0 以使用默认的批处理行为(即每 1 秒批处理一次)。 正值表示处理完上次请求并将遥测数据发送到 mixer 服务器后,进行下次批处理前的最大等待时间</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Grafana-key-value-pairs">添加 <code>grafana</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>grafana.env</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.envSecrets</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.type.orgId</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.type.url</code></td>
|
||
<td><code>http://prometheus:9090</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.type.access</code></td>
|
||
<td><code>proxy</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.type.isDefault</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.type.jsonData.timeInterval</code></td>
|
||
<td><code>5s</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.type.editable</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.orgId.folder</code></td>
|
||
<td><code>'istio'</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.orgId.type</code></td>
|
||
<td><code>file</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.orgId.disableDeletion</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.orgId.options.path</code></td>
|
||
<td><code>/var/lib/grafana/dashboards/istio</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Prometheus-key-value-pairs">添加 <code>prometheus</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>prometheus.image</code></td>
|
||
<td><code>prometheus</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-gateways-key-value-pairs">添加 <code>gateways</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-cert-manager-key-value-pairs">添加 <code>certmanager</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>certmanager.image</code></td>
|
||
<td><code>cert-manager-controller</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Kiali-key-value-pairs">添加 <code>kiali</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.image</code></td>
|
||
<td><code>kiali</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.dashboard.auth.strategy</code></td>
|
||
<td><code>login</code></td>
|
||
<td><code>可以通过匿名,登录,或者是 openshift 方式</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.security.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.security.cert_file</code></td>
|
||
<td><code>/kiali-cert/cert-chain.pem</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.security.private_key_file</code></td>
|
||
<td><code>/kiali-cert/key.pem</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Istio-core-DNS-key-value-pairs">添加 <code>istiocoredns</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>istiocoredns.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>istiocoredns.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-security-key-value-pairs">添加 <code>security</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>security.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.workloadCertTtl</code></td>
|
||
<td><code>2160h</code></td>
|
||
<td><code>90*24hour = 2160h</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.enableNamespacesByDefault</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>如果在给定命名空间上找不到 ca.istio.io/env 或 ca.istio.io/override 标签,则确定 Citadel 默认行为。 例如:考虑一个名为 “target” 的命名空间,该命名空间既没有 ca.istio.io/env 也没有 ca.istio.io/override 命名空间标签,为了确定是否为在 “target” 命名空间中创建的服务帐户生成 secret,Citadel 将采用此选项。如果在这种情况下此选项的值为 “true”,则将为 “target” 命名空间生成 secret。 如果此选项的值为“false”,则 Citadel 在创建服务帐户时不会生成机密信息。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-pilot-key-value-pairs">添加 <code>pilot</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>pilot.rollingMaxSurge</code></td>
|
||
<td><code>100%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.rollingMaxUnavailable</code></td>
|
||
<td><code>25%</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.enableProtocolSniffing</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>如果启用了协议嗅探。默认为 false。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="removed-configuration-options">删除的配置选项</h2>
|
||
<h3 id="removed-global-key-value-pairs">删除 <code>global</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.sds.useTrustworthyJwt</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.sds.useNormalJwt</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.localityLbSetting</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-mixer-key-value-pairs">删除 <code>mixer</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>mixer.templates.seTemplateCRDs</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-Grafana-key-value-pairs">删除 <code>grafana</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>说明</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.disableDeletion</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.type</code></td>
|
||
<td><code>file</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.folder</code></td>
|
||
<td><code>'istio'</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.isDefault</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.url</code></td>
|
||
<td><code>http://prometheus:9090</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.access</code></td>
|
||
<td><code>proxy</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.jsonData.timeInterval</code></td>
|
||
<td><code>5s</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.options.path</code></td>
|
||
<td><code>/var/lib/grafana/dashboards/istio</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.editable</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.orgId</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<!-- 自动生成结束--></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3/helm-changes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3/helm-changes/</guid><category>kubernetes</category><category>helm</category><category>install</category><category>options</category></item><item><title>Helm 安装参数变动表</title><description>
|
||
<p>下表显示了在 Istio 1.0 版本到 Istio 1.1 版本之间使用 Helm 自定义安装 Istio 时参数变更,主要包含了三种类型的变更:</p>
|
||
<ul>
|
||
<li>安装参数在 1.0 版本之前已经存在,但是值在新发布的 1.1 版本中进行了修改。</li>
|
||
<li>1.1 版本新加的参数。</li>
|
||
<li>1.1 版本删除的参数。</li>
|
||
</ul>
|
||
<!-- 下表是运行 python 脚本 scripts/tablegen.py 自动生成 -->
|
||
<!-- 自动生成开始 -->
|
||
<h2 id="modified-configuration-options">修改配置选项</h2>
|
||
<h3 id="modified-key-value-pairs">修改 <code>servicegraph</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>servicegraph.ingress.hosts</code></td>
|
||
<td><code>servicegraph.local</code></td>
|
||
<td><code>servicegraph.local</code></td>
|
||
<td></td>
|
||
<td><code>用来创建一个 Ingress record。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-tracing-key-value-pairs">修改 <code>tracing</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>tracing.jaeger.tag</code></td>
|
||
<td><code>1.5</code></td>
|
||
<td><code>1.9</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-global-key-value-pairs">修改 <code>global</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.hub</code></td>
|
||
<td><code>gcr.io/istio-release</code></td>
|
||
<td><code>gcr.io/istio-release</code></td>
|
||
<td></td>
|
||
<td><code>Istio 镜像的默认仓库。已发布版本的 Istio 镜像已经推送到了 docker hub 中的 istio 项目下,白天会从 gcr.io 进行构建,夜晚会从 docker.io/istionightly 上进行构建。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.tag</code></td>
|
||
<td><code>release-1.0-latest-daily</code></td>
|
||
<td><code>release-1.1-latest-daily</code></td>
|
||
<td></td>
|
||
<td><code>Istio 镜像的默认标签。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.resources.requests.cpu</code></td>
|
||
<td><code>10m</code></td>
|
||
<td><code>100m</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.accessLogFile</code></td>
|
||
<td><code>&quot;/dev/stdout&quot;</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.enableCoreDump</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
<td><code>如果设置,新注入的 sidecars 将启用 core dumps。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.autoInject</code></td>
|
||
<td><code>enabled</code></td>
|
||
<td><code>enabled</code></td>
|
||
<td></td>
|
||
<td><code>可以控制 sidecar 的注入策略。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyStatsd.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
<td><code>如果设置为 true,则还须提供主机地址和端口。Istio 不再提供 statsd 收集器。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyStatsd.host</code></td>
|
||
<td><code>istio-statsd-prom-bridge</code></td>
|
||
<td>``</td>
|
||
<td></td>
|
||
<td><code>例如: statsd-svc.istio-system</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyStatsd.port</code></td>
|
||
<td><code>9125</code></td>
|
||
<td>``</td>
|
||
<td></td>
|
||
<td><code>例如: 9125</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy_init.image</code></td>
|
||
<td><code>proxy_init</code></td>
|
||
<td><code>proxy_init</code></td>
|
||
<td></td>
|
||
<td><code>proxy_init 容器的基本名称,用于配置 iptables。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.controlPlaneSecurityEnabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
<td><code>启用 controlPlaneMtls。在传播 secret 时,将导致 Pod 的延迟启动,不建议用于测试。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.disablePolicyChecks</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
<td><code>disablePolicyChecks 禁用 mixer 策略检查。如果 mixer.policy.enabled==true 则 disablePolicyChecks 已生效。将在 istio ConfigMap 设置相同名称的值 - pilot 需要重新启动才能生效。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.enableTracing</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
<td><code>EnableTracing 在 istio ConfigMap 中具有相同名称的值,需要重新启动 pilot 才能生效。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.mtls.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
<td><code>服务到服务间的 mtls 的默认设置。可以使用目标规则或服务注释来显式设置。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.oneNamespace</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
<td><code>是否限制控制器管理的应用程序的名称空间;如果未设置,则控制器将监控所有名称空间。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.configValidation</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
<td><code>是否执行服务器端配置验证。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-gateways-key-value-pairs">修改 <code>gateways</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.type</code></td>
|
||
<td><code>LoadBalancer #change to NodePort, ClusterIP or LoadBalancer if need be</code></td>
|
||
<td><code>LoadBalancer</code></td>
|
||
<td></td>
|
||
<td><code>如果需要,请更改为节点端口,集群 IP,或者负载地址。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.type</code></td>
|
||
<td><code>ClusterIP #change to NodePort or LoadBalancer if need be</code></td>
|
||
<td><code>ClusterIP</code></td>
|
||
<td></td>
|
||
<td><code>如果需要,请更改为节点端口或者负载地址。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified--key-value-pairs">修改 <code>certmanager</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>certmanager.tag</code></td>
|
||
<td><code>v0.3.1</code></td>
|
||
<td><code>v0.6.2</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-key-value-pairs-1">修改 <code>kiali</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.tag</code></td>
|
||
<td><code>istio-release-1.0</code></td>
|
||
<td><code>v0.14</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-security-key-value-pairs">修改 <code>security</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>security.selfSigned</code></td>
|
||
<td><code>true # indicate if self-signed CA is used.</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
<td><code>是否使用自签名 CA 证书。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-pilot-key-value-pairs">修改 <code>pilot</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>pilot.autoscaleMax</code></td>
|
||
<td><code>1</code></td>
|
||
<td><code>5</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.traceSampling</code></td>
|
||
<td><code>100.0</code></td>
|
||
<td><code>1.0</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="new-configuration-options">新的配置选项</h2>
|
||
<h3 id="new-key-value-pairs">新增 <code>istio_cni</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>istio_cni.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-key-value-pairs-1">新增 <code>servicegraph</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>servicegraph.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-tracing-key-value-pairs">新增 <code>tracing</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>tracing.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.hub</code></td>
|
||
<td><code>docker.io/openzipkin</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.tag</code></td>
|
||
<td><code>2</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.probeStartupDelay</code></td>
|
||
<td><code>200</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.queryPort</code></td>
|
||
<td><code>9411</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.resources.limits.cpu</code></td>
|
||
<td><code>300m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.resources.limits.memory</code></td>
|
||
<td><code>900Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.resources.requests.cpu</code></td>
|
||
<td><code>150m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.resources.requests.memory</code></td>
|
||
<td><code>900Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.javaOptsHeap</code></td>
|
||
<td><code>700</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.maxSpans</code></td>
|
||
<td><code>500000</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.zipkin.node.cpus</code></td>
|
||
<td><code>2</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-key-value-pairs-2">新增 <code>sidecarInjectorWebhook</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.rewriteAppHTTPProbe</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>如果设置为 true,则 webhook 或 istioctl injector 将重写 PodSpec 进行 livenesshealth 检查,以将请求重定向到 Sidecar,即使启用了 mTLS,也可以进行活动检查。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-global-key-value-pairs">新增 <code>global</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.monitoringPort</code></td>
|
||
<td><code>15014</code></td>
|
||
<td><code>监控被 mixer、 pilot 和 galley 所使用的端口。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.k8sIngress.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.k8sIngress.gatewayName</code></td>
|
||
<td><code>ingressgateway</code></td>
|
||
<td><code>用于 k8s 入口资源的网关,默认情况下,它使用的是 istio:ingressgateway,将 gateways.enabled 和 gateways.istio-ingressgateway.enabled 标志设置为 true 即可安装。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.k8sIngress.enableHttps</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>enableHttps 将在入口处添加 443 端口,它要求将证书安装在预期的 secret 中,启用不带证书的此选项将导致 LDS 拒绝,并且入口将不起作用。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.clusterDomain</code></td>
|
||
<td><code>&quot;cluster.local&quot;</code></td>
|
||
<td><code>集群域,默认值为 cluster.local。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.resources.requests.memory</code></td>
|
||
<td><code>128Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.resources.limits.cpu</code></td>
|
||
<td><code>2000m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.resources.limits.memory</code></td>
|
||
<td><code>128Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.concurrency</code></td>
|
||
<td><code>2</code></td>
|
||
<td><code>控制代理工作线程的数量,如果设置为 0(默认值),则为每个 CPU 线程/核心。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.accessLogFormat</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>配置 sidecar 访问日志中显示方式和字段的显示方式,设置空字符串将导致成为默认的日志格式。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.accessLogEncoding</code></td>
|
||
<td><code>TEXT</code></td>
|
||
<td><code>将 Sidecar 的访问日志配置为 JSON 或 TEXT 格式。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.dnsRefreshRate</code></td>
|
||
<td><code>5s</code></td>
|
||
<td><code>为类型为 STRICT_DNS 的 Envoy 集群配置 DNS 的刷新频率为 5s,是 Envoy 使用的默认刷新频率。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.privileged</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>如果设置为 true,则 istio-proxy 容器将具有特权 securityContext。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.statusPort</code></td>
|
||
<td><code>15020</code></td>
|
||
<td><code>Pilot 代理运行状况检查的默认端口,设置为 0 将禁用运行状况检查。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.readinessInitialDelaySeconds</code></td>
|
||
<td><code>1</code></td>
|
||
<td><code>准备就绪探测的初始延迟(以秒为单位)。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.readinessPeriodSeconds</code></td>
|
||
<td><code>2</code></td>
|
||
<td><code>准备就绪探测之间的时间间隔。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.readinessFailureThreshold</code></td>
|
||
<td><code>30</code></td>
|
||
<td><code>指示准备就绪失败之前,连续失败的探测数。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.kubevirtInterfaces</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>pod 的内部接口。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyMetricsService.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyMetricsService.host</code></td>
|
||
<td>``</td>
|
||
<td><code>例如:metrics-service.istio-system</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.envoyMetricsService.port</code></td>
|
||
<td>``</td>
|
||
<td><code>例如:15000</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.tracer</code></td>
|
||
<td><code>&quot;zipkin&quot;</code></td>
|
||
<td><code>指定要使用的跟踪器,lightstep 和 zipkin 其中之一。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.policyCheckFailOpen</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>policyCheckFailOpen 允许在无法访问 mixer 策略的情况下进行通信,默认值为 false,这意味着在客户端无法连接到 Mixer 时拒绝通信。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.tracer.lightstep.address</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>例如:lightstep-satellite:443</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.tracer.lightstep.accessToken</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>例如:abcdefg1234567</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.tracer.lightstep.secure</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>例如:true\|false</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.tracer.lightstep.cacertPath</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>例如:/etc/lightstep/cacert.pem</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.tracer.zipkin.address</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.defaultNodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td><code>默认 node selector 将应用于所有部署,以便可以限制所有特定的 Pod 节点,每个组件都可以通过在下面的相关部分中添加 node selector block 并设置所需的值来覆盖这些默认值。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.meshExpansion.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.meshExpansion.useILB</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>如果设置为 true,则将在内部网关上暴露 pilot 和 citadel mtls 以及 plain text pilot portswill。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.multiCluster.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>当每个集群中的 Pod 无法直接相互通信时,设置为 true 可通过它们各自的 ingress gateway 服务连接两个 kubernetes 集群,所有群集都应使用 Istio mTLS,并且必须具有共享的根证书才能使该模型正常工作。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.defaultPodDisruptionBudget.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.useMCP</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>使用网格控制协议(MCP)来配置 Mixer 和 Pilot。需要 galley (--设置 galley.enabled=true)。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.trustDomain</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.outboundTrafficPolicy.mode</code></td>
|
||
<td><code>ALLOW_ANY</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.sds.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>是否启用 SDS。如果设置为 true,则将通过 SecretDiscoveryService 分发用于 sidecars 的 mTLS 证书,而不是使用 K8S secret 来挂载证书。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.sds.udsPath</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.sds.useTrustworthyJwt</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.sds.useNormalJwt</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.meshNetworks</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.enableHelmTest</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>指定是否启 helm 测试,默认情况下,此字段默认设置为 false,因此 'helm template ...' 将在生成模板时忽略 helm 测试的 yaml 文件。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-mixer-key-value-pairs">新增 <code>mixer</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>mixer.env.GODEBUG</code></td>
|
||
<td><code>gctrace=1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.env.GOMAXPROCS</code></td>
|
||
<td><code>&quot;6&quot;</code></td>
|
||
<td><code>max procs should be ceil(cpu limit + 1)</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.policy.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>如果启用了策略,则 global.disablePolicyChecks 将生效。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.policy.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.policy.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.policy.autoscaleMin</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.policy.autoscaleMax</code></td>
|
||
<td><code>5</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.policy.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.autoscaleMin</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.autoscaleMax</code></td>
|
||
<td><code>5</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.sessionAffinityEnabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.loadshedding.mode</code></td>
|
||
<td><code>enforce</code></td>
|
||
<td><code>禁用,仅用于登录或强制执行。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.loadshedding.latencyThreshold</code></td>
|
||
<td><code>100ms</code></td>
|
||
<td><code>基于 100ms 的测量,p50 转换为 p99 不到 1s,对于本质上是异步的遥测来说是没问题的。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.resources.requests.cpu</code></td>
|
||
<td><code>1000m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.resources.requests.memory</code></td>
|
||
<td><code>1G</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.resources.limits.cpu</code></td>
|
||
<td><code>4800m</code></td>
|
||
<td><code>最好使用适度的 cpu 进行分配使 mixer 水平缩放。我们通过实验发现这些值效果很好。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.telemetry.resources.limits.memory</code></td>
|
||
<td><code>4G</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.podAnnotations</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.adapters.kubernetesenv.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.adapters.stdio.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.adapters.stdio.outputAsJson</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.adapters.prometheus.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.adapters.prometheus.metricsExpiryDuration</code></td>
|
||
<td><code>10m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.adapters.useAdapterCRDs</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>如果设置为 false, 会将 useAdapterCRDs mixer 的启动参数设置为 false。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-key-value-pairs-3">新增 <code>grafana</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>grafana.image.repository</code></td>
|
||
<td><code>grafana/grafana</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.image.tag</code></td>
|
||
<td><code>5.4.0</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.ingress.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.ingress.hosts</code></td>
|
||
<td><code>grafana.local</code></td>
|
||
<td><code>用来创建一个 Ingress record。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.persist</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.storageClassName</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.accessMode</code></td>
|
||
<td><code>ReadWriteMany</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.security.secretName</code></td>
|
||
<td><code>grafana</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.security.usernameKey</code></td>
|
||
<td><code>username</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.security.passphraseKey</code></td>
|
||
<td><code>passphrase</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.contextPath</code></td>
|
||
<td><code>/grafana</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.apiVersion</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.type</code></td>
|
||
<td><code>prometheus</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.orgId</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.url</code></td>
|
||
<td><code>http://prometheus:9090</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.access</code></td>
|
||
<td><code>proxy</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.isDefault</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.jsonData.timeInterval</code></td>
|
||
<td><code>5s</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.datasources.datasources.datasources.editable</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.apiVersion</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.orgId</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.folder</code></td>
|
||
<td><code>'istio'</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.type</code></td>
|
||
<td><code>file</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.disableDeletion</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.dashboardProviders.dashboardproviders.providers.options.path</code></td>
|
||
<td><code>/var/lib/grafana/dashboards/istio</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-key-value-pairs-4">新增 <code>prometheus</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>prometheus.retention</code></td>
|
||
<td><code>6h</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.scrapeInterval</code></td>
|
||
<td><code>15s</code></td>
|
||
<td><code>控制 prometheus 在 scraping 时的频率。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.contextPath</code></td>
|
||
<td><code>/prometheus</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.ingress.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.ingress.hosts</code></td>
|
||
<td><code>prometheus.local</code></td>
|
||
<td><code>用来创建一个 Ingress record。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.security.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-gateways-key-value-pairs">新增 <code>gateways</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.sds.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>如果设置为 true,则入口网关从 SDS 服务器获取凭据以处理 TLS 连接。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.sds.image</code></td>
|
||
<td><code>node-agent-k8s</code></td>
|
||
<td><code>监视 kubernetes 的 secret 并向入口网关提供凭据的 SDS 服务器,该服务器与入口网关服务器在同一容器中运行。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.loadBalancerSourceRanges</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.externalIPs</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.podAnnotations</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.targetPort</code></td>
|
||
<td><code>15029</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>https-kiali</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>https-prometheus</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>https-grafana</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.targetPort</code></td>
|
||
<td><code>15032</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>https-tracing</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.targetPort</code></td>
|
||
<td><code>15443</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.targetPort</code></td>
|
||
<td><code>15020</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>status-port</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.targetPort</code></td>
|
||
<td><code>15011</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.name</code></td>
|
||
<td><code>tcp-pilot-grpc-tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.targetPort</code></td>
|
||
<td><code>15004</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.name</code></td>
|
||
<td><code>tcp-mixer-grpc-tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.targetPort</code></td>
|
||
<td><code>8060</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.name</code></td>
|
||
<td><code>tcp-citadel-grpc-tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.targetPort</code></td>
|
||
<td><code>853</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.meshExpansionPorts.name</code></td>
|
||
<td><code>tcp-dns-tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.env.ISTIO_META_ROUTER_MODE</code></td>
|
||
<td><code>&quot;sni-dnat&quot;</code></td>
|
||
<td><code>具有此模式的网关可确保 pilot 为内部服务生成集群中的 additionalset,但无需 Istio mTLS,即可启用跨群集路由。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.podAnnotations</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.ports.targetPort</code></td>
|
||
<td><code>15443</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.ports.name</code></td>
|
||
<td><code>tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.env.ISTIO_META_ROUTER_MODE</code></td>
|
||
<td><code>&quot;sni-dnat&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.podAnnotations</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-key-value-pairs-5">新增 <code>kiali</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.contextPath</code></td>
|
||
<td><code>/kiali</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.ingress.hosts</code></td>
|
||
<td><code>kiali.local</code></td>
|
||
<td><code>用来创建一个 Ingress record。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.dashboard.secretName</code></td>
|
||
<td><code>kiali</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.dashboard.usernameKey</code></td>
|
||
<td><code>username</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.dashboard.passphraseKey</code></td>
|
||
<td><code>passphrase</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.prometheusAddr</code></td>
|
||
<td><code>http://prometheus:9090</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.createDemoSecret</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>设置为 true 时,将使用默认的用户名和密码创建一个 secret, 对一些 demo 有用。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-key-value-pairs-6">新增 <code>istiocoredns</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>istiocoredns.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>istiocoredns.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>istiocoredns.coreDNSImage</code></td>
|
||
<td><code>coredns/coredns:1.1.2</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>istiocoredns.coreDNSPluginImage</code></td>
|
||
<td><code>istio/coredns-plugin:0.2-istio-1.1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>istiocoredns.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-security-key-value-pairs">新增 <code>security</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>security.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.createMeshPolicy</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-key-value-pairs-7">新增 <code>nodeagent</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>nodeagent.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>nodeagent.image</code></td>
|
||
<td><code>node-agent-k8s</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>nodeagent.env.CA_PROVIDER</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>provider 的名称。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>nodeagent.env.CA_ADDR</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>CA 地址。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>nodeagent.env.Plugins</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>鉴别 provider 插件的名称。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>nodeagent.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-pilot-key-value-pairs">新增 <code>pilot</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>pilot.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.env.PILOT_PUSH_THROTTLE</code></td>
|
||
<td><code>100</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.env.GODEBUG</code></td>
|
||
<td><code>gctrace=1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.keepaliveMaxServerConnectionAge</code></td>
|
||
<td><code>30m</code></td>
|
||
<td><code>用于限制 sidecar 可以被 pilot 连接多久,平衡了 pilot 实例的负载,以损失系统资源为代价。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="removed-configuration-options">移除的配置选项</h2>
|
||
<h3 id="removed-ingress-key-value-pairs">移除 <code>ingress</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>ingress.service.ports.nodePort</code></td>
|
||
<td><code>32000</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.service.selector.istio</code></td>
|
||
<td><code>ingress</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.autoscaleMin</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.service.loadBalancerIP</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.service.annotations</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.service.ports.name</code></td>
|
||
<td><code>http</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.service.ports.name</code></td>
|
||
<td><code>https</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.autoscaleMax</code></td>
|
||
<td><code>5</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>ingress.service.type</code></td>
|
||
<td><code>LoadBalancer #change to NodePort, ClusterIP or LoadBalancer if need be</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-key-value-pairs">移除 <code>servicegraph</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>servicegraph</code></td>
|
||
<td><code>servicegraph.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.ingress</code></td>
|
||
<td><code>servicegraph.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.service.internalPort</code></td>
|
||
<td><code>8088</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-telemetry-gateway-key-value-pairs">移除 <code>telemetry-gateway</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>telemetry-gateway.prometheusEnabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>telemetry-gateway.gatewayName</code></td>
|
||
<td><code>ingressgateway</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>telemetry-gateway.grafanaEnabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-global-key-value-pairs">移除 <code>global</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.hyperkube.tag</code></td>
|
||
<td><code>v1.7.6_coreos.0</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.k8sIngressHttps</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.crds</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.hyperkube.hub</code></td>
|
||
<td><code>quay.io/coreos</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.meshExpansion</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.k8sIngressSelector</code></td>
|
||
<td><code>ingress</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.meshExpansionILB</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-mixer-key-value-pairs">移除 <code>mixer</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>mixer.autoscaleMin</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-policy.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.autoscaleMax</code></td>
|
||
<td><code>5</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-telemetry.autoscaleMin</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.prometheusStatsdExporter.tag</code></td>
|
||
<td><code>v0.6.0</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-telemetry.autoscaleMax</code></td>
|
||
<td><code>5</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-telemetry.cpu.targetAverageUtilization</code></td>
|
||
<td><code>80</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-policy.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-telemetry.autoscaleEnabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.prometheusStatsdExporter.hub</code></td>
|
||
<td><code>docker.io/prom</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-policy.autoscaleMin</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.istio-policy.autoscaleMax</code></td>
|
||
<td><code>5</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-key-value-pairs-1">移除 <code>grafana</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>grafana.image</code></td>
|
||
<td><code>grafana</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.service.internalPort</code></td>
|
||
<td><code>3000</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.security.adminPassword</code></td>
|
||
<td><code>admin</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.security.adminUser</code></td>
|
||
<td><code>admin</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-gateways-key-value-pairs">移除 <code>gateways</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>tcp-pilot-grpc-tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>tcp-citadel-grpc-tls</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>http2-prometheus</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.name</code></td>
|
||
<td><code>http2-grafana</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.targetPort</code></td>
|
||
<td><code>15011</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.ports.targetPort</code></td>
|
||
<td><code>8060</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-tracing-key-value-pairs">移除 <code>tracing</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>tracing.service.internalPort</code></td>
|
||
<td><code>9411</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.ingress</code></td>
|
||
<td><code>jaeger.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.ingress</code></td>
|
||
<td><code>tracing.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger</code></td>
|
||
<td><code>jaeger.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing</code></td>
|
||
<td><code>jaeger.local tracing.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.ingress.hosts</code></td>
|
||
<td><code>jaeger.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.ingress.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.ingress.hosts</code></td>
|
||
<td><code>tracing.local</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.jaeger.ui.port</code></td>
|
||
<td><code>16686</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-key-value-pairs-2">移除 <code>kiali</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.dashboard.username</code></td>
|
||
<td><code>admin</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.dashboard.passphrase</code></td>
|
||
<td><code>admin</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-pilot-key-value-pairs">移除 <code>pilot</code> 键/值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>pilot.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<!-- 自动生成结束 --></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1/helm-changes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1/helm-changes/</guid><category>kubernetes</category><category>helm</category><category>install</category><category>options</category></item><item><title>Helm 变更</title><description>
|
||
<p>下面的表格展示了 Istio 1.2 相比于 Istio 1.1 在使用 Helm 安装时关于自定义安装选项的一些变化。表格分为三类:</p>
|
||
<ul>
|
||
<li>安装选项在之前发行版本中就已经有了,但是在新发行版本中对其值作了修改。</li>
|
||
<li>在新发行版本中增加的安装选项。</li>
|
||
<li>在新发行版本中被移除的安装选项。</li>
|
||
</ul>
|
||
<!-- Run python scripts/tablegen.py to generate this table -->
|
||
<!-- AUTO-GENERATED-START -->
|
||
<h2 id="modified-configuration-options">作了修改的配置选项</h2>
|
||
<h3 id="modified-Kiali-key-value-pairs">修改 <code>kiali</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.hub</code></td>
|
||
<td><code>docker.io/kiali</code></td>
|
||
<td><code>quay.io/kiali</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.tag</code></td>
|
||
<td><code>v0.14</code></td>
|
||
<td><code>v0.20</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-Prometheus-key-value-pairs">修改 <code>prometheus</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>prometheus.tag</code></td>
|
||
<td><code>v2.3.1</code></td>
|
||
<td><code>v2.8.0</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-global-key-value-pairs">修改 <code>global</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.tag</code></td>
|
||
<td><code>release-1.1-latest-daily</code></td>
|
||
<td><code>1.2.0-rc.3</code></td>
|
||
<td><code>Istio 镜像的默认标签。</code></td>
|
||
<td><code>Istio 镜像的默认标签。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.resources.limits.memory</code></td>
|
||
<td><code>128Mi</code></td>
|
||
<td><code>1024Mi</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.dnsRefreshRate</code></td>
|
||
<td><code>5s</code></td>
|
||
<td><code>300s</code></td>
|
||
<td><code>配置 STRICT_DNS 类型的 Envoy 集群的 DNS 刷新速率,默认值为 5 秒</code></td>
|
||
<td><code>配置 STRICT_DNS 类型的 Envoy 集群的 DNS 刷新速率,单位必须为秒。例如,可以 设为 300s,不能设为 5m</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-mixer-key-value-pairs">修改 <code>mixer</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>mixer.adapters.useAdapterCRDs</code></td>
|
||
<td><code>true</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>如果设这个值为 false,则 useAdapterCRDs mixer 的起始参数为 false</code></td>
|
||
<td><code>如果设这个值为 false,则 useAdapterCRDs mixer 的起始参数为 false</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="modified-Grafana-key-value-pairs">修改 <code>grafana</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>旧默认值</th>
|
||
<th>新默认值</th>
|
||
<th>旧描述</th>
|
||
<th>新描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>grafana.image.tag</code></td>
|
||
<td><code>5.4.0</code></td>
|
||
<td><code>6.1.6</code></td>
|
||
<td></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="new-configuration-options">新增的配置选项</h2>
|
||
<h3 id="new-tracing-key-value-pairs">新增 <code>tracing</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>tracing.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>tracing.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-sidecar-injector-webhook-key-value-pairs">新增 <code>sidecarInjectorWebhook</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.neverInjectSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td><code>你可以用alwaysInjectSelector 和 neverInjectSelector 两个值,分别表示强制注入 sidecar 和无视全局策略,跳过符合标签过滤条件的 pod。请查看 https://istio.io/docs/setup/kubernetes/additional-setup/sidecar-injection/more-control-adding-exceptions</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>sidecarInjectorWebhook.alwaysInjectSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-global-key-value-pairs">新增 <code>global</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>global.logging.level</code></td>
|
||
<td><code>&quot;default:info&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.logLevel</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>代理的 log 等级,用于 gateway 和 sidecar。如果值为空,则使用 &quot;warning&quot;。可选的值为:trace\|debug\|info\|warning\|error\|critical\|off</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.componentLogLevel</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td><code>代理的每一个组件的 log 等级,用于 gateway 和 sidecar。如果组件等级未设置,则使用全局的 &quot;logLevel&quot;。如果设置值为空,则使用 &quot;misc:error&quot;。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.proxy.excludeOutboundPorts</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.tracer.datadog.address</code></td>
|
||
<td><code>&quot;$(HOST_IP):8126&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.imagePullSecrets</code></td>
|
||
<td><code>[]</code></td>
|
||
<td><code>列出你从一个安全的镜像仓库拉取 Istio 镜像时需要用的 secret</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>global.localityLbSetting</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-galley-key-value-pairs">新增 <code>galley</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>galley.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>galley.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>galley.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>galley.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="新增-mixer-键值对">新增 <code>mixer</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>mixer.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>mixer.templates.useTemplateCRDs</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Grafana-key-value-pairs">新增 <code>grafana</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>grafana.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>grafana.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Prometheus-key-value-pairs">新增 <code>prometheus</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>prometheus.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>prometheus.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-gateways-key-value-pairs">新增 <code>gateways</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.sds.resources.requests.cpu</code></td>
|
||
<td><code>100m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.sds.resources.requests.memory</code></td>
|
||
<td><code>128Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.sds.resources.limits.cpu</code></td>
|
||
<td><code>2000m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.sds.resources.limits.memory</code></td>
|
||
<td><code>1024Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.resources.requests.cpu</code></td>
|
||
<td><code>100m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.resources.requests.memory</code></td>
|
||
<td><code>128Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.resources.limits.cpu</code></td>
|
||
<td><code>2000m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.resources.limits.memory</code></td>
|
||
<td><code>1024Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.applicationPorts</code></td>
|
||
<td><code>&quot;&quot;</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.resources.requests.cpu</code></td>
|
||
<td><code>100m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.resources.requests.memory</code></td>
|
||
<td><code>128Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.resources.limits.cpu</code></td>
|
||
<td><code>2000m</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.resources.limits.memory</code></td>
|
||
<td><code>256Mi</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-egressgateway.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>gateways.istio-ilbgateway.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-cert-manager-key-value-pairs">新增 <code>certmanager</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>certmanager.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>certmanager.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>certmanager.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>certmanager.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>certmanager.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Kiali-key-value-pairs">新增 <code>kiali</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.dashboard.viewOnlyMode</code></td>
|
||
<td><code>false</code></td>
|
||
<td><code>将一个服务账户与一个只读的角色绑定</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-Istio-CoreDNS-key-value-pairs">新增 <code>istiocoredns</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>istiocoredns.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>istiocoredns.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>istiocoredns.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-security-key-value-pairs">新增 <code>security</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>security.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.citadelHealthCheck</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>security.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-node-agent-key-value-pairs">新增 <code>nodeagent</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>nodeagent.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>nodeagent.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>nodeagent.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="new-pilot-key-value-pairs">新增 <code>pilot</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>pilot.tolerations</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.podAntiAffinityLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>pilot.podAntiAffinityTermLabelSelector</code></td>
|
||
<td><code>[]</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 id="removed-configuration-options">被移除的配置选项</h2>
|
||
<h3 id="removed-Kiali-key-value-pairs">移除 <code>kiali</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>kiali.dashboard.usernameKey</code></td>
|
||
<td><code>username</code></td>
|
||
<td><code>secret 中用户名的键名。</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>kiali.dashboard.passphraseKey</code></td>
|
||
<td><code>passphrase</code></td>
|
||
<td><code>secret 中密码的键名。</code></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-security-key-value-pairs">移除 <code>security</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>security.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-gateways-key-value-pairs">移除 <code>gateways</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>gateways.istio-ingressgateway.resources</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-mixer-key-value-pairs">移除 <code>mixer</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>mixer.enabled</code></td>
|
||
<td><code>true</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h3 id="removed-service-graph-key-value-pairs">移除 <code>servicegraph</code> 键值对</h3>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>键</th>
|
||
<th>默认值</th>
|
||
<th>描述</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>servicegraph.ingress.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.service.name</code></td>
|
||
<td><code>http</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.replicaCount</code></td>
|
||
<td><code>1</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.service.type</code></td>
|
||
<td><code>ClusterIP</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.service.annotations</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.enabled</code></td>
|
||
<td><code>false</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.image</code></td>
|
||
<td><code>servicegraph</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.service.externalPort</code></td>
|
||
<td><code>8088</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.ingress.hosts</code></td>
|
||
<td><code>servicegraph.local</code></td>
|
||
<td><code>用来创建一条进入记录</code></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.nodeSelector</code></td>
|
||
<td><code>{}</code></td>
|
||
<td></td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>servicegraph.prometheusAddr</code></td>
|
||
<td><code>http://prometheus:9090</code></td>
|
||
<td></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<!-- AUTO-GENERATED-END --></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2/helm-changes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2/helm-changes/</guid><category>kubernetes</category><category>helm</category><category>install</category><category>options</category></item><item><title>更新公告</title><description>
|
||
<p>此页面描述了从 Istio 1.4.x 升级到 1.5.x 时需要注意的更改。在这里,我们详细介绍了有意不再向下兼容情况。还提到了保留向下兼容但引入了新行为的情况,熟悉 Istio 1.4 的使用和操作的人可能会感到惊讶。</p>
|
||
<h2 id="control-plane-restructuring">重构控制平面</h2>
|
||
<p>在 Istio 1.5 中,我们开始使用新的控制平面 deployment 模型,其中整合了许多组件。下面各功能迁移位置的说明。</p>
|
||
<h3 id="istiod">Istiod</h3>
|
||
<p>Istio 1.5,会有一个新的 deployment:<code>istiod</code>。该组件是控制平面的核心,负责处理配置、证书分发以及 sidecar 注入等。</p>
|
||
<h3 id="sidecar-injection">sidecar 注入</h3>
|
||
<p>以前,sidecar 注入是通过一个可变的 webhook 处理的,该 webhook 由名为 <code>istio-sidecar-injector</code> 的 deployment 处理。在 Istio 1.5 中,保留了相同的可变 webhook,但现在它指向 <code>istiod</code> deployment,其它所有注入逻辑保持不变。</p>
|
||
<h3 id="galley">Galley</h3>
|
||
<ul>
|
||
<li>配置验证。保持不变,但现在由 <code>istiod</code> deployment 处理。</li>
|
||
<li>MCP 服务器。默认情况下,MCP 服务器是禁用的。对于大多数用户,这是一个可实现细节。如果您依赖此功能,则需要运行 <code>istio-galley</code> deployment。</li>
|
||
<li>实验性功能(例如配置分析)。这些功能将需要 <code>istio-galley</code> deployment。</li>
|
||
</ul>
|
||
<h3 id="citadel">Citadel</h3>
|
||
<p>以前,Citadel 有两个功能:将证书写入至每个命名空间中的 secret、在使用 SDS 时通过 gRPC 将 secret 提供给 <code>nodeagent</code>。在 Istio 1.5 中,secret 不再写入至每个命名空间。而是仅通过 gRPC 提供服务。并且,此功能已迁移至 <code>istiod</code> deployment。</p>
|
||
<h3 id="sds-node-agent">SDS 节点代理</h3>
|
||
<p>移除 <code>nodeagent</code> deployment。现在,此功能存在于 Envoy sidecar 中。</p>
|
||
<h3 id="sidecar">Sidecar</h3>
|
||
<p>以前,sidecar 可以通过两种方式访问证书:通过作为文件挂载的 secret 或 SDS(通过 <code>nodeagent</code>)。在 Istio 1.5 中,已对此进行了简化。所有 secret 信息将通过本地运行的 SDS 服务器提供。对于大多数用户而言,这些 secret 将从 <code>istiod</code> deployment 中获取。对于具有自定义 CA 的用户,仍可以使用文件挂载的 secret,但是,本地 SDS 服务器仍将提供这些 secret。这意味着证书轮换不再需要重启 Envoy。</p>
|
||
<h3 id="cni">CNI</h3>
|
||
<p><code>istio-cni</code> deployment 没有变化。</p>
|
||
<h3 id="pilot">Pilot</h3>
|
||
<p>移除 <code>istio-pilot</code> deployment,以便支持 <code>istiod</code> deployment,<code>istiod</code> 包含了 Pilot 曾经拥有的所有功能。为了向下兼容,保留了一些对 Pilot 的引用。</p>
|
||
<h2 id="mixer-deprecation">弃用 Mixer</h2>
|
||
<p>Mixer,即 <code>istio-telemetry</code> 和 <code>istio-policy</code> deployment 背后的过程,在 1.5 版本中被弃用了。Istio 1.3 开始,默认禁用了 <code>istio-policy</code>,而 Istio 1.5 ,默认禁用了 <code>istio-telemetry</code>。</p>
|
||
<p>遥测现在是使用的不再需要 Mixer 的代理内扩展机制(Telemetry V2)收集的。</p>
|
||
<p>如果您依赖 Mixer 的某些特有的特性,如进程外适配器,则可以手动重新启用 Mixer。在 Istio 1.7 之前,Mixer 将继续收到 bug 修复程序和安全修复程序。Mixer 支持的许多特性都能在<a href="https://tinyurl.com/mixer-deprecation">弃用 Mixer</a> 文档中找到替代方法,包括基于 WebAssembly 沙箱 API 的<a href="https://github.com/istio/proxy/tree/master/extensions">代理内扩展</a>。</p>
|
||
<p>如果您需要 Mixer 没有的特性,我们建议您公开问题并在社区中进行讨论。</p>
|
||
<p>查看<a href="https://tinyurl.com/mixer-deprecation">弃用 Mixer</a> 获取详细信息。</p>
|
||
<h3 id="feature-gaps-between-telemetry-v2-and-mixer-telemetry">Telemetry V2 和 Mixer Telemetry 的差异</h3>
|
||
<ul>
|
||
<li>不支持网格外遥测。如果流量源或目的地未注入 sidecar,则会缺少某些遥测数据。</li>
|
||
<li><a href="https://github.com/istio/istio/issues/19385">不支持</a> Egress gateway 遥测。</li>
|
||
<li>仅支持基于 <code>mtls</code> 的 TCP 遥测。</li>
|
||
<li>不支持针对 TCP 和 HTTP 的黑洞遥测。</li>
|
||
<li>直方图与 <a href="https://github.com/istio/istio/issues/20483">Mixer Telemetry</a> 显著不同,且无法更改。</li>
|
||
</ul>
|
||
<h2 id="authentication-policy">认证策略</h2>
|
||
<p>Istio 1.5 引入了 <a href="/v1.6/zh/docs/reference/config/security/peer_authentication/"><code>PeerAuthentication</code></a> 和 <a href="/v1.6/zh/docs/reference/config/security/request_authentication"><code>RequestAuthentication</code></a> (它们取代了 Authentication API 的 Alpha 版本)。有关新 API 的更多信息,请参见 <a href="/v1.6/zh/docs/tasks/security/authentication/authn-policy">authentication policy</a> 教程。</p>
|
||
<ul>
|
||
<li><p>升级 Istio 后,您 Alpha 版的身份验证策略将被保留并继续使用。您可以逐步将它们替换为等效的 <code>PeerAuthentication</code> 和 <code>RequestAuthentication</code>。新策略将根据定义的范围内接管旧策略。我们建议从 workload(最具体的范围)开始替换,然后是命名空间,最后是整个网格范围。</p></li>
|
||
<li><p>替换 workload、命名空间和整个网格的策略之后,您可以使用以下命令,安全地删除 alpha 版本的身份验证策略:</p></li>
|
||
</ul>
|
||
<pre><code class='language-bash' data-expandlinks='true' data-repo='istio' >$ kubectl delete policies.authentication.istio.io --all-namespaces --all
|
||
$ kubectl delete meshpolicies.authentication.istio.io --all
|
||
</code></pre>
|
||
<h2 id="Istio-workload-key-and-certificate-provisioning">Istio workload 密钥及证书配置</h2>
|
||
<ul>
|
||
<li>我们已经稳定了 SDS 证书和密钥配置流程。现在,Istio workload 使用 SDS 来提供证书。不建议再使用通过 secret 卷挂载的方法。</li>
|
||
<li>请注意,启用双向 TLS 后,需要手动修改 Prometheus deployment 以监控 workload。详细信息在此 <a href="https://github.com/istio/istio/issues/21843">issue</a> 中。该问题将在 1.5.1 中解决。</li>
|
||
</ul>
|
||
<h2 id="control-plane-security">控制平面安全</h2>
|
||
<p>作为 Istiod 努力的一部分,我们已经更改了代理与控制平面安全通信的方式。在以前的版本中,当配置了 <code>values.global.controlPlaneSecurityEnabled=true</code> 设置时,代理将安全地连接到控制平面,这也是 Istio 1.4 的默认设置。每个控制平面组件都运行带有 Citadel 证书的 sidecar,并且代理通过端口 15011 连接到 Pilot。</p>
|
||
<p>在 Istio 1.5 中,代理与控制平面连接的推荐或默认方式不再是这样;相反,可以使用由 Kubernetes 或 Istiod 签名的 DNS 证书,通过 15012 端口连接到 Istiod。</p>
|
||
<p>注意:尽管如此,但在 Istio 1.5 中,将 <code>controlPlaneSecurityEnabled</code> 设置为 <code>false</code> 时,默认情况下控制平面之间的通信已经是安全的。</p>
|
||
<h2 id="multicluster-setup">多集群安装</h2>
|
||
<div>
|
||
<aside class="callout warning">
|
||
<div class="type">
|
||
<svg class="large-icon"><use xlink:href="/v1.6/img/icons.svg#callout-warning"/></svg>
|
||
</div>
|
||
<div class="content"><p>如果您使用的是多集群,建议您不要升级到 Istio 1.5.0!</p>
|
||
<p>多集群 Istio 1.5.0 目前存在几个已知问题,这些问题(<a href="https://github.com/istio/istio/issues/21702">27102</a>, <a href="https://github.com/istio/istio/issues/21676">21676</a>)使其在共享控制平面和控制平面副本集 deployment 中均无法使用。这些问题将在 Istio 1.5.1 中解决。</p>
|
||
</div>
|
||
</aside>
|
||
</div>
|
||
<h2 id="helm-upgrade">Helm 升级</h2>
|
||
<p>如果您使用 <code>helm upgrade</code> 将群集更新到较新的 Istio 版本,则建议您使用 <a href="/v1.6/zh/docs/setup/upgrade/istioctl-upgrade/"><code>istioctl upgrade</code></a> 或遵循 <a href="/v1.6/zh/docs/setup/upgrade/cni-helm-upgrade/">helm template</a> 的步骤。</p></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.5.x/announcing-1.5/upgrade-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.5.x/announcing-1.5/upgrade-notes/</guid></item><item><title>升级说明</title><description>
|
||
<p>此页面描述了当你从 Istio 1.3 升级到 1.4 时需要注意的一些变化。这里我们主要说明在哪我们有意的取消了向后兼容。
|
||
同时我们也会说明哪些向后兼容被保留后并可能会产生一些不同于 Istio 1.3 的奇怪行为。</p>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<h3 id="http-services-on-port-four-four-three">443 端口的 HTTP 服务</h3>
|
||
<p><code>http</code>类型的服务将不再允许使用 443 端口,这个改动是为了保护协议不与外部的 HTTPS 服务所冲突。</p>
|
||
<p>如果你依赖这个行为,那么有下面一些选项:</p>
|
||
<ul>
|
||
<li>把应用替换为其他端口。</li>
|
||
<li>把协议类型从 <code>http</code> 替换为 <code>tcp</code>。</li>
|
||
<li>给 Pilot deployment 指定环境变量 <code>PILOT_BLOCK_HTTP_ON_443=false</code>。注意:这会在未来的发布中移除。</li>
|
||
</ul>
|
||
<p>查看 <a href="/v1.6/zh/docs/ops/configuration/traffic-management/protocol-selection/">Protocol Selection</a> 获取更多关于指定协议端口的信息。</p>
|
||
<h3 id="regex-engine-changes">正则引擎变化</h3>
|
||
<p>为了防止过大的正则表达式消耗过多的资源,Envoy 选择了一个新的正则表达式引擎 <a href="https://github.com/google/re2"><code>re2</code></a> ,这之前用的是 <code>std::regex</code>。这两个引擎有着很明显的语法差异,尤其是,现在的正则字段被限制在 100 bytes 以内。</p>
|
||
<p>如果你依赖了旧正则表达式引擎的某个特定的行为,你可以通过给 Pilot deployment 指定环境变量 <code>PILOT_ENABLE_UNSAFE_REGEX=true</code> 来避免这个变化。注意:这会在未来的发布中移除。</p>
|
||
<h2 id="configuration-management">配置管理</h2>
|
||
<p>我们已经在 Istio 资源 的 Kubernetes schema 中介绍过 OpenAPI V3 <a href="https://kubernetes.io/docs/concepts/extend-kubernetes/api-extension/custom-resources/#customresourcedefinitions">Custom Resource Definitions (CRD)</a>,此 schema 描述 Istio 资源并且确保你创建和修改的 Istio 资源能够结构化并且保持正确。</p>
|
||
<p>如果配置的某个或者多个字段是 unknown 或者错误的类型,那么当你创建或者修改 Istio 资源的时候 Kubernetes API server 会拒绝。这个特性,<code>CustomResourceValidation</code> 是 Kubernetes 1.9+ 版本的默认选项。需要注意的是如果某个之前已经存在的配置并且没有被修改过那么他们 <strong>不会</strong> 受到影响。</p>
|
||
<p>为了帮助你升级,这里有一些你可以参照的步骤:</p>
|
||
<ul>
|
||
<li>升级 Istio 之后,用 <code>kubectl apply --dry-run</code> 来跑一遍你的 Istio 配置,这样你就可以知道这些配置对于 API server 来说是不是 unknown 或者无效的字段。(<code>DryRun</code> 特性是 Kubernetes 1.13+ 版本开始的默认选项)</li>
|
||
<li>查看 <a href="/v1.6/zh/docs/reference/config/">reference documentation</a> 来确认修正字段名和数据类型。</li>
|
||
<li>另外,为了能够结构化验证,你也可以使用 <code>istioctl x analyze</code> 来帮助检查到你的 Istio 配置的潜在问题。参考 <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/">here</a> 获取更多细节。</li>
|
||
</ul>
|
||
<p>如果你想忽略验证错误,当你创建或者修改 Istio 资源的时候可以给 <code>kubectl</code> 添加 <code>--validate=false</code> 参数。由于这会导致错误的配置,我们非常不推荐这么做。</p></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes/</guid></item><item><title>升级说明</title><description>
|
||
<p>此页面描述了从 Istio 1.2 升级到 1.3 时需要注意的更改。我们在这里详细介绍了有意破坏向后兼容性的情况。我们还提到了保留向后兼容性但引入新行为的情况,这对于熟悉 Istio 1.2 的使用和操作的人来说是令人惊讶的。</p>
|
||
<h2 id="installation-and-upgrade">安装与升级</h2>
|
||
<p>我们简化了 Mixer 的配置模型,并在 1.3 中完全删除了对特定适配器和特定模板的自定义资源定义(CRD)的支持。请转向新的配置模型。</p>
|
||
<p>我们从系统中删除了 Mixer CRD,以简化配置模型,提高 Kubernetes 部署中 Mixer 的性能,并提高各种 Kubernetes 环境中的可靠性。</p>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<p>Istio 现在默认情况下会捕获所有端口。如果您没有指定容器端口来故意绕过 Envoy,则必须使用 <code>traffic.sidecar.istio.io/excludeInboundPorts</code> 选项来选择退出端口捕获。</p>
|
||
<p>现在默认情况下启用协议嗅探。当您想升级来获得以前的行为时请使用 <code>--set pilot.enableProtocolSniffing=false</code> 选项来禁用协议嗅探。要了解更多信息,请参考我们的<a href="/v1.6/zh/docs/ops/configuration/traffic-management/protocol-selection/">协议选择</a>。</p>
|
||
<p>要想在多个命名空间指定一个主机名,您必须使用 <a href="/v1.6/zh/docs/reference/config/networking/sidecar/"><code>Sidecar</code> 资源</a>来选择单个主机。</p>
|
||
<h2 id="trust-domain-validation">信任域名验证</h2>
|
||
<p>信任域名验证是 Istio 1.3 中的新增功能。如果您只有一个信任域名,或者没有通过身份验证策略启用双向 TLS,则无需执行任何操作。</p>
|
||
<p>要选择退出信任域名验证,请在升级到 Istio 1.3 之前在 Helm 模板中添加以下标志:
|
||
<code>--set pilot.env.PILOT_SKIP_VALIDATE_TRUST_DOMAIN=true</code></p>
|
||
<h2 id="secret-discovery-service">Secret 发现服务</h2>
|
||
<p>在 Istio 1.3 中,我们正在利用 Kubernetes 的改进来更安全地为工作负载实例颁发证书。</p>
|
||
<p>Kubernetes 1.12 引入了 <code>值得信赖的</code> JWTs 来解决这些问题。
|
||
<a href="https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.13.md">Kubernetes 1.13</a> 引入了将 <code>aud</code> 字段的值更改为 API server 以外的值的功能。<code>aud</code> 字段代表了 Kubernetes 的 audience 。为了更好地保护网格,Istio 1.3 仅支持 <code>值得信赖的</code> JWT,并且当您启用 SDS 后,要求 audience ,也就是 <code>aud</code> 字段的值,为 <code>istio-ca</code>。</p>
|
||
<p>在启用 SDS 的情况下升级到 Istio 1.3 之前,请参阅我们的博客文章<a href="/v1.6/zh/blog/2019/trustworthy-jwt-sds/">可信赖的 JWT 和 SDS</a>。</p></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3/upgrade-notes/</guid></item><item><title>升级说明</title><description>
|
||
<p>本页描述了您在从 Istio 1.1.x 升级至 1.2.x 版本时的注意事项。这里我们详细描述了向后不兼容的情况。同时介绍那些向后兼容但引入了新行为的情况,这对于熟悉 Istio 1.1 使用和操作的人来说可能令人惊讶。</p>
|
||
<h2 id="installation-and-upgrade">安装与升级</h2>
|
||
<div>
|
||
<aside class="callout tip">
|
||
<div class="type"><svg class="large-icon"><use xlink:href="/v1.6/img/icons.svg#callout-tip"/></svg></div>
|
||
<div class="content">Mixer 的配置模型得以简化。面向适配器、面向模板的定制资源支持在 1.2 中默认被删除,并会在 1.3 中完全删除。请迁移到新的配置模型。</div>
|
||
</aside>
|
||
</div>
|
||
<p>为简化配置模型、提高 Mixer 与 Kubernetes 一起使用时的性能以及在各种 Kubernetes 环境中的可靠性,大部分 Mixer CRD 被删除。</p>
|
||
<p>以下 CRD 保留:</p>
|
||
<table>
|
||
<thead>
|
||
<tr>
|
||
<th>定制资源定义名称</th>
|
||
<th>目的</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td><code>adapter</code></td>
|
||
<td>Istio 扩展声明规范</td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>attributemanifest</code></td>
|
||
<td>Istio 扩展声明规范</td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>template</code></td>
|
||
<td>Istio 扩展声明规范</td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>handler</code></td>
|
||
<td>Istio 扩展声明规范</td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>rule</code></td>
|
||
<td>Istio 扩展声明规范</td>
|
||
</tr>
|
||
<tr>
|
||
<td><code>instance</code></td>
|
||
<td>Istio 扩展声明规范</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<p>如果您在使用已被删除的 Mixer 配置模式,在升级 Helm chart 时需设置以下 Helm 标志:
|
||
<code>--set mixer.templates.useTemplateCRDs=true --set mixer.adapters.useAdapterCRDs=true</code></p></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2/upgrade-notes/</guid></item><item><title>升级说明</title><description>
|
||
<p>本页描述了从 Istio 1.0 升级到 1.1 时需要注意的变化。在这里我们详细介绍了一些故意破坏向后兼容性的情况。我们还提到保留向后兼容性的情况,但是引入了一些新的行为,这对于熟悉 Istio 1.0 的使用者和操作人员来说很吃惊。</p>
|
||
<p>有关 Istio 1.1 引入的新特性的概述,请参阅 <a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/change-notes/">1.1 更改说明</a>。</p>
|
||
<h2 id="installation">安装</h2>
|
||
<ul>
|
||
<li><p>我们增加了控制平面和 envoy sidecar 所需的 CPU 和 内存。在进行更新之前,确保集群具有足够的资源至关重要。</p></li>
|
||
<li><p>Istio 的 CRD 已放置在它们自己的 Helm 图表 <code>istio-init</code> 中。这样可以防止丢失自定义资源数据,简化升级过程,并在基于 Helm 的安装之外推动 Istio 的发展。
|
||
<a href="/v1.6/zh/docs/setup/upgrade/">升级文档</a>提供了从 Istio 1.0.6 升级到 Istio 1.1 的正确步骤。当升级时,请仔细遵循这些说明。当使用 <code>template</code> 或者 <code>tiller</code> 安装模式来安装 <code>istio-init</code>和 Istio 图表时,如果需要 <code>certmanager</code>,请使用 <code>--set certmanager=true</code> 标志。</p></li>
|
||
<li><p>许多安装选项已被添加、删除或者更改。请参阅<a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/helm-changes/">安装选项更改</a>来获得详细的更改概要。</p></li>
|
||
<li><p>用于<a href="/v1.6/zh/docs/setup/install/multicluster/shared-vpn/">多集群 VPN</a> 的 1.0 <code>istio-remote</code> 图表和<a href="/v1.6/zh/docs/setup/install/multicluster/shared-gateways/">多集群共享网关</a>的远程集群安装已经被合并到 Istio 图表中。为了生成等价的 <code>istio-remote</code> 图表,请使用 <code>--set global.istioRemote=true</code> 标志。</p></li>
|
||
<li><p>插件不再通过单独的负载均衡器暴露。现在可以通过选择 Ingress 网关暴露插件。当通过 Ingress 网关暴露插件时,请遵循<a href="/v1.6/zh/docs/tasks/observability/gateways/">远程访问遥测插件</a>指南进行操作。</p></li>
|
||
<li><p>内置的 Istio Statsd 收集器已经被删除。Istio 保留了与您自己的 Statsd 收集器集成的功能,可以使用 <code>--set global.envoyStatsd.enabled=true</code> 标志。</p></li>
|
||
<li><p>用于配置 Kubernetes 入口的一系列 <code>ingress</code> 选项已经被删除。使用 <code>--set global.k8sIngress.enabled=true</code> 标志依然可以开启并使用 Kubernetes Ingress。请参阅<a href="/v1.6/zh/docs/ops/integrations/certmanager/">使用 Cert-Manager 确保 Kubernetes Ingress 安全</a>的文档了解如何保护 Kubernetes 入口资源。</p></li>
|
||
</ul>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<ul>
|
||
<li><p>现在出站流量的默认策略为 <code>ALLOW_ANY</code>。到达未知端口的流量将按原样转发。到达已知端口(例如 80 端口)的流量将与系统中的一个服务匹配并进行相应的转发。</p></li>
|
||
<li><p>将 sidecar 路由到服务期间,与 sidecar 相同命名空间中的目标服务的 destination rule 将优先使用,随后是服务命名空间的 destination rule,最后是在其他命名空间的 destination rule(如果适用)。</p></li>
|
||
<li><p>我们建议将网关资源存储在与网关工作负载相同的命名空间中(例如在 <code>istio-ingressgateway</code> 情况下使用 <code>istio-system</code> 命名空间)。
|
||
当在虚拟服务中提到网关资源时,使用命名空间/名称格式而不要使用 <code>name.namespace.svc.cluster.local</code>。</p></li>
|
||
<li><p>现在默认情况下禁用可选的出口网关。在 demo 配置文件中启用它,以供用户浏览,但默认情况下在所有的其他配置文件中已禁用。
|
||
如果您需要通过出口网关控制和保护出站流量,则需要在任何非演示配置文件中,手动启用 <code>gateways.istio-egressgateway.enabled=true</code>。</p></li>
|
||
</ul>
|
||
<h2 id="policy-telemetry">策略和遥测</h2>
|
||
<ul>
|
||
<li><p>现在默认禁用 <code>istio-policy</code> 检查。demo 配置文件中启用它,供用户评测,但在所有的其他配置文件已禁用该检查。这个改变仅针对 <code>istio-policy</code> 而不针对 <code>istio-telemetry</code>。若想重新启用该策略检查,请运行 <code>helm template</code> 并附带 <code>--set global.disablePolicyChecks=false</code> 参数,重新应用配置。</p></li>
|
||
<li><p>Service Graph 组件已被弃用,推荐使用 <a href="https://www.kiali.io/">Kiali</a>。</p></li>
|
||
</ul>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li>RBAC 配置已被修改来实现集群作用域。<code>RbacConfig</code> 资源已经被替换成 <code>ClusterRbacConfig</code> 资源。请参阅<a href="https://archive.istio.io/v1.1/docs/setup/kubernetes/upgrade/steps/#migrating-from-rbacconfig-to-clusterrbacconfig">将 <code>RbacConfig</code> 迁移到 <code>ClusterRbacConfig</code></a> 的文档获得更多的迁移说明。</li>
|
||
</ul></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes/</guid></item><item><title>变更说明</title><description>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<ul>
|
||
<li><strong>改进</strong> 通过避免不必要的完全推送 <a href="https://github.com/istio/istio/pull/18164">#19305</a>,提高 <code>ServiceEntry</code> 性能。</li>
|
||
<li><strong>改进</strong> Envoy sidecar 就绪状态探测,可以更加准确地确定就绪状态 <a href="https://github.com/istio/istio/pull/18164">#18164</a>。</li>
|
||
<li><strong>改进</strong> 在可能的情况下,通过 xDS 发送部分更新,以增强 Envoy 代理配置更新性能 <a href="https://github.com/istio/istio/pull/18354">#18354</a>。</li>
|
||
<li><strong>新增</strong> 可通过目标规则为每个目标服务配置本地负载均衡设置 <a href="https://github.com/istio/istio/pull/18406">#18406</a>。</li>
|
||
<li><strong>修复</strong> Pod 崩溃会触发过多 Envoy 代理配置推送的问题 <a href="https://github.com/istio/istio/pull/18574">#18574</a>。</li>
|
||
<li><strong>修复</strong> 应用程序(如 headless 服务)无需通过 Envoy 代理即可直接调用自己的问题 <a href="https://github.com/istio/istio/pull/19308">#19308</a>。</li>
|
||
<li><strong>新增</strong> 当使用 Istio CNI 时,支持 <code>iptables</code> 故障检测 <a href="https://github.com/istio/istio/pull/19534">#19534</a>。</li>
|
||
<li><strong>新增</strong> 在目标规则中添加 <code>consecutiveGatewayErrors</code> 和 <code>consecutive5xxErrors</code> 作为异常检测选项 <a href="https://github.com/istio/istio/pull/19771">#19771</a>。</li>
|
||
<li><strong>改进</strong> <code>EnvoyFilter</code> 的匹配性能 <a href="https://github.com/istio/istio/pull/19786">#19786</a>。</li>
|
||
<li><strong>新增</strong> <code>HTTP_PROXY</code> 协议支持 <a href="https://github.com/istio/istio/pull/19919">#19919</a>。</li>
|
||
<li><strong>改进</strong> <code>iptables</code> 默认设置使用 <code>iptables-restore</code><a href="https://github.com/istio/istio/pull/18847">#18847</a>。</li>
|
||
<li><strong>改进</strong> 通过过滤未使用的集群,提高网关性能。默认情况下禁用该设置 <a href="https://github.com/istio/istio/pull/20124">#20124</a>。</li>
|
||
</ul>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li><strong>毕业</strong> SDS 稳定,并默认启用。它为 Istio Envoy 代理提供身份配置。</li>
|
||
<li><strong>新增</strong> Beta 身份认证 API。新的 API 将对等体(即双向 TLS)和源(JWT)身份验证分别分离到 <a href="https://github.com/istio/api/blob/master/security/v1beta1/peer_authentication.proto"><code>PeerAuthentication</code></a> 和 <a href="https://github.com/istio/api/blob/master/security/v1beta1/request_authentication.proto"><code>RequestAuthentication</code></a> 中。
|
||
两个新 API 都是面向工作负载的,在 alpha 版本的 <code>AuthenticationPolicy</code> 中它们是面向服务的。</li>
|
||
<li><strong>新增</strong> 在授权策略中添加<a href="https://github.com/istio/api/blob/master/security/v1beta1/authorization.proto#L28">拒绝语义</a>。</li>
|
||
<li><strong>毕业</strong> <a href="/v1.6/zh/docs/tasks/security/authentication/authn-policy/#auto-mutual-TLS">自动双向 TLS</a> 从 alpha 转到 beta。该特性现在默认启用。</li>
|
||
<li><strong>改进</strong> 通过将 Node Agent 与 Pilot Agent 作为 Istio Agent 合并,并删除跨 Pod UDS,从而提高了 <a href="https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret">SDS 安全性</a> ,不再需要用户为 UDS 连接部署 Kubernetes Pod 安全策略。</li>
|
||
<li><strong>改进</strong> 通过在 istiod 中包含证书来改进 Istio。</li>
|
||
<li><strong>新增</strong> <a href="https://kubernetes.io/docs/reference/access-authn-authz/authentication/#service-account-tokens"><code>first-party-jwt</code></a> 在 <a href="https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/#service-account-token-volume-projection"><code>third-party-jwt</code></a> 不支持的集群中添加了支持 Kubernetes 作为 CSR 身份验证的后备令牌。</li>
|
||
<li><strong>新增</strong> 支持 Istio CA 和 Kubernetes CA 为控制平面提供证书,可以通过 <code>values.global.pilotCertProvider</code> 进行配置。</li>
|
||
<li><strong>新增</strong> Istio Agent 为 Prometheus 设置了密钥和证书。</li>
|
||
</ul>
|
||
<h2 id="telemetry">遥测</h2>
|
||
<ul>
|
||
<li><strong>新增</strong> 对 v2 版本遥测的 TCP 协议支持。</li>
|
||
<li><strong>新增</strong> 在指标、日志中添加 gRPC 响应状态码。</li>
|
||
<li><strong>新增</strong> 支持 Istio Canonical Service。</li>
|
||
<li><strong>改进</strong> v2 遥测管道的稳定性。</li>
|
||
<li><strong>新增</strong> 对 v2 遥测中可配置性的 alpha 级支持。</li>
|
||
<li><strong>新增</strong> 对在 Envoy 节点元数据中填充 AWS 平台元数据的支持。</li>
|
||
<li><strong>改进</strong> 用于 Mixer 的 Stackdriver 适配器,以通过可配置的刷新间隔跟踪数据。</li>
|
||
<li><strong>新增</strong> 在 Jaeger 插件中增加了对 headless 收集器服务的支持。</li>
|
||
<li><strong>修复</strong> <code>kubernetesenv</code> 适配器可为名字中包含点的 Pod 提供适当支持。</li>
|
||
<li><strong>改进</strong> 用于 Mixer 的 Fluentd 适配器,以在导出的时间戳中提供毫秒级支持。</li>
|
||
</ul>
|
||
<h2 id="configuration-management">配置管理</h2>
|
||
<h2 id="operator">Operator</h2>
|
||
<ul>
|
||
<li><strong>替换</strong> 将 Alpha <code>IstioControlPlane</code> API 替换为新的 <a href="/v1.6/zh/docs/reference/config/istio.operator.v1alpha1/"><code>IstioOperator</code></a> API,以便与现有的 <code>MeshConfig</code> API 保持一致。</li>
|
||
<li><strong>新增</strong> <code>istioctl operator init</code> 和 <code>istioctl operator remove</code> 命令。</li>
|
||
<li><strong>改进</strong> 使用缓存 <a href="https://github.com/istio/operator/pull/667"><code>operator#667</code></a> 提高协调速度。</li>
|
||
</ul>
|
||
<h2 id="istioctl"><code>istioctl</code></h2>
|
||
<ul>
|
||
<li><strong>毕业</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>Istioctl Analyze</code></a>。</li>
|
||
<li><strong>新增</strong> 各种分析器:双向 TLS、JWT、<code>ServiceAssociation</code>、Secret、sidecar 镜像、端口名称和不建议使用的分析器。</li>
|
||
<li><strong>更新</strong> 支持更多针对 <code>RequestAuthentication</code> 的验证规则。</li>
|
||
<li><strong>新增</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 添加新参数 <code>-A|--all-namespaces</code> 以分析整个集群。</li>
|
||
<li><strong>新增</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 对标准输入流传递的内容进行分析的支持。</li>
|
||
<li><strong>新增</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze -L</code></a> 打印全部分析变量。</li>
|
||
<li><strong>新增</strong> 功能抑制来自 <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 的消息。</li>
|
||
<li><strong>新增</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 添加结构化格式选项。</li>
|
||
<li><strong>新增</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 输出中添加指向相关内容的链接。</li>
|
||
<li><strong>更新</strong> Istio API 在 <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>Istioctl Analyze</code></a> 中提供的更新注释方法。</li>
|
||
<li><strong>更新</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 现在可从目录加载文件。</li>
|
||
<li><strong>更新</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 以尝试将消息与其源文件名关联。</li>
|
||
<li><strong>更新</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 打印正在分析的命名空间。</li>
|
||
<li><strong>更新</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 默认情况下分析群集内资源。</li>
|
||
<li><strong>修复</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 抑制群集级资源消息的错误。</li>
|
||
<li><strong>新增</strong> <code>istioctl manifest</code> 对多个输入文件的支持。</li>
|
||
<li><strong>替换</strong> 使用 <code>IstioOperator</code> API 替换 <code>IstioControlPlane</code> API。</li>
|
||
<li><strong>新增</strong> <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-dashboard"><code>istioctl dashboard</code></a> 选择器。</li>
|
||
<li><strong>新增</strong> <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-manifest"><code>istioctl manifest --set</code></a> 支持切片和列表。</li>
|
||
<li><strong>新增</strong> <code>docker/istioctl</code> Docker 镜像(#19079)。</li>
|
||
</ul></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.5.x/announcing-1.5/change-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.5.x/announcing-1.5/change-notes/</guid></item><item><title>变更说明</title><description>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<ul>
|
||
<li><strong>新增了</strong> 对 <a href="/v1.6/zh/docs/tasks/traffic-management/mirroring/">mirroring</a> 百分比的流量支持。</li>
|
||
<li><strong>改进了</strong> <code>Envoy sidecar</code>。当 <code>Envoy sidecar</code> 崩溃退出时,可以更轻松地查看 <code>Envoy sidecar</code> 的状态。</li>
|
||
<li><strong>改进了</strong> <code>Pilot</code> 的功能,当无需修改时,即可跳过向 <code>Envoy</code> 发送冗余配置的操作。</li>
|
||
<li><strong>改进了</strong> <code>headless</code> 服务,以避免与同一端口上的不同服务发生冲突。</li>
|
||
<li><strong>禁用了</strong> 默认的 <a href="/v1.6/zh/docs/tasks/traffic-management/circuit-breaking/">circuit breakers</a>。</li>
|
||
<li><strong>更新了</strong> 正则表达式引擎为 <code>re2</code>。有关详细信息,请参阅<a href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes">升级说明</a>。</li>
|
||
</ul>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li><strong>新增了</strong> <a href="/v1.6/zh/blog/2019/v1beta1-authorization-policy/"><code>v1beta1</code> authorization policy model</a> 用于执行访问控制。最终将取代 <a href="/v1.6/zh/docs/reference/config/security/istio.rbac.v1alpha1/"><code>v1alpha1</code> RBAC policy</a>。</li>
|
||
<li><strong>新增了</strong> <a href="/v1.6/zh/docs/tasks/security/authentication/auto-mtls/">automatic mutual TLS</a> 的实验性支持,以启用 <code>mutual TLS</code>,而无需配置目标规则。</li>
|
||
<li><strong>新增了</strong> 对 <a href="/v1.6/zh/docs/tasks/security/authorization/authz-td-migration/">authorization policy trust domain migration</a> 的实验性支持。</li>
|
||
<li><strong>新增了</strong> 实验性的 <a href="/v1.6/zh/blog/2019/dns-cert/">DNS certificate management</a> 以安全地配置和管理 <code>Kubernetes CA</code> 签名的 <code>DNS</code> 证书。</li>
|
||
<li><strong>改进了</strong> <code>Citadel</code> ,以在自签名 <code>CA</code> 模式下运行时定期检查和更换过期的根证书。</li>
|
||
<li><strong>更新了</strong> JWT 身份验证,将<a href="https://github.com/istio/istio/issues/13565">以空格分隔的声明</a>视为声明列表。</li>
|
||
</ul>
|
||
<h2 id="telemetry">遥测</h2>
|
||
<ul>
|
||
<li><strong>新增了</strong> 在 <a href="https://github.com/istio/proxy/blob/release-1.6/extensions/stackdriver/README.md">Stackdriver</a> 中的实验性的代理遥测报告。</li>
|
||
<li><strong>改进了</strong> 对 <code>HTTP</code> 服务指标监控的<a href="/v1.6/zh/docs/ops/configuration/telemetry/in-proxy-service-telemetry/">代理</a> <code>Prometheus</code> ,(从实验到 <code>alpha</code>)。</li>
|
||
<li><strong>改进了</strong> 遥测收集功能,用于<a href="/v1.6/zh/blog/2019/monitoring-external-service-traffic/">阻止和传递外部流量</a>。</li>
|
||
<li><strong>新增了</strong> 为 <code>Envoy</code> <a href="/v1.6/zh/docs/reference/config/istio.mesh.v1alpha1/#MeshConfig">静态模式</a>配置的选项。</li>
|
||
<li><strong>新增了</strong> <code>inbound</code> 和 <code>outbound</code> 对 <code>Envoy HTTP stats</code> 特定通信方向的描述。</li>
|
||
<li><strong>改进了</strong> 对通过出口网关流量的遥测报告。</li>
|
||
</ul>
|
||
<h2 id="configuration-management">配置管理</h2>
|
||
<ul>
|
||
<li><strong>新增了</strong> 多个验证和检查在 <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/"><code>istioctl analyze</code></a> 子命令中。</li>
|
||
<li><strong>新增了</strong> 实验性选项,以启用 <code>Istio</code> <a href="/v1.6/zh/docs/ops/diagnostic-tools/istioctl-analyze/#enabling-validation-messages-for-resource-status">resource statuses</a> 的验证消息。</li>
|
||
<li><strong>新增了</strong> 对自定义资源 (<code>CRDs</code>) 的 <code>OpenAPI v3</code> 模式验证,有关详细信息,请参阅<a href="/v1.6/zh/news/releases/1.4.x/announcing-1.4/upgrade-notes">升级说明</a>。</li>
|
||
<li><strong>新增了</strong> <a href="https://github.com/istio/client-go">client-go</a> 存储库来访问 <code>Istio APIs</code>。</li>
|
||
</ul>
|
||
<h2 id="installation">安装</h2>
|
||
<ul>
|
||
<li><strong>新增了</strong> 对 <code>Istio</code> 动态安装更新的实验性 <a href="/v1.6/zh/docs/setup/install/standalone-operator/">operator controller</a>。</li>
|
||
<li><strong>移除了</strong> <code>proxy_init</code> 镜像,<code>istio-init</code> 容器重新使用 <code>proxyv2</code> 镜像。</li>
|
||
<li><strong>更新了</strong> 基础镜像为 <code>ubuntu:bionic</code>。</li>
|
||
</ul>
|
||
<h2 id="istioctl"><code>istioctl</code></h2>
|
||
<ul>
|
||
<li><strong>新增了</strong> 子命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-proxy-config-log"><code>istioctl proxy-config logs</code></a>,检索和更新 <code>Envoy</code> 日志记录级别。</li>
|
||
<li><strong>更新了</strong> 子命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-authn-tls-check"><code>istioctl authn tls-check</code></a>,以显示正在使用的策略。</li>
|
||
<li><strong>新增了</strong> 实验性子命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-experimental-wait"><code>istioctl experimental wait</code></a>,以使 <code>Istio</code> 等待,直到它已将配置推送到所有的 <code>Envoy sidecars</code>。</li>
|
||
<li><strong>新增了</strong> 实验性子命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-experimental-multicluster"><code>istioctl experimental multicluster</code></a>,以帮助跨集群管理 <code>Istio</code>。</li>
|
||
<li><strong>新增了</strong> 实验性子命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-experimental-post-install-webhook"><code>istioctl experimental post-install webhook</code></a> 去<a href="/v1.6/zh/blog/2019/webhook/">安全配管 webhook</a>。</li>
|
||
<li><strong>新增了</strong> 实验性子命令 <a href="/v1.6/zh/docs/setup/upgrade/istioctl-upgrade/"><code>istioctl experimental upgrade</code></a> 去执行 <code>Istio</code> 的升级。</li>
|
||
<li><strong>改进了</strong> 子命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-version"><code>istioctl version</code></a>,它现在显示的是 <code>Envoy proxy</code> 的版本。</li>
|
||
</ul></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.4.x/announcing-1.4/change-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.4.x/announcing-1.4/change-notes/</guid></item><item><title>变更说明</title><description>
|
||
<h2 id="installation">安装</h2>
|
||
<ul>
|
||
<li><strong>添加</strong> 实验性的<a href="/v1.6/zh/docs/setup/install/istioctl/">清单和配置文件命令</a>,用于安装和管理 Istio 控制平面,以便进行评估。</li>
|
||
</ul>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<ul>
|
||
<li><strong>添加</strong>。当未根据 Istio 的<a href="/v1.6/zh/docs/ops/deployment/requirements/">约定</a>命名端口时,添加了对 HTTP、TCP 出站流量<a href="/v1.6/zh/docs/ops/configuration/traffic-management/protocol-selection/">自动检测协议</a>的功能。</li>
|
||
<li><strong>添加</strong>。为实现双向 TLS 操作,添加了一个模型至 Gateway API。</li>
|
||
<li><strong>修复</strong>。修复了当服务第一次使用宽容双向 TLS 模式,与 MySQL 和 MongoDB 之类的协议进行网络通信时会出现的问题。</li>
|
||
<li><strong>改进</strong>。改进了 Envoy 代理的就绪检查。现在会检查 Envoy 的就绪状态。</li>
|
||
<li><strong>改进</strong>。pod spec 中不再需要的容器端口,所有端口均为<a href="/v1.6/zh/faq/traffic-management/#controlling-inbound-ports">默认捕获</a>。</li>
|
||
<li><strong>改进</strong>。改进了 <code>EnvoyFilter</code> API。您现在可以添加或更新所有配置。</li>
|
||
<li><strong>改进</strong>。使用 Redis 代理时,改进了 Redis 负载均衡,现在默认为 <a href="https://www.envoyproxy.io/docs/envoy/v1.6.0/intro/arch_overview/load_balancing#maglev"><code>MAGLEV</code></a>。</li>
|
||
<li><strong>改进</strong>。改进了负载均衡,默认会直接将流量导向<a href="/v1.6/zh/faq/traffic-management/#controlling-inbound-ports">相同的地区和区域</a>。</li>
|
||
<li><strong>改进</strong>。改进了 Pilot 的 CPU 利用率。在特殊部署场景,减少幅度接近 90%。</li>
|
||
<li><strong>改进</strong>。改进了 <code>ServiceEntry</code> API,允许在不同命名空间中使用相同的主机名。</li>
|
||
<li><strong>改进</strong>。针对自定义 <code>OutboundTrafficPolicy</code> 策略,改进了 <a href="/v1.6/zh/docs/reference/config/networking/sidecar/#OutboundTrafficPolicy">Sidecar API</a>。</li>
|
||
</ul>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li><strong>添加</strong>。为使用双向 TLS 的服务添加了信任域验证。默认情况下,服务器仅对来自同一信任域的请求进行身份验证。</li>
|
||
<li><strong>添加</strong>。添加了一些<a href="/v1.6/zh/docs/ops/configuration/mesh/secret-creation/">标签</a>,其用于按命名空间控制服务帐户密码的生成。</li>
|
||
<li><strong>添加</strong>。添加了 SDS 支持,以实现向每个 Istio 控制平面服务传递私钥和证书。</li>
|
||
<li><strong>添加</strong>。为 Citadel 添加了对<a href="/v1.6/zh/docs/ops/diagnostic-tools/controlz/">自检</a>支持。</li>
|
||
<li><strong>添加</strong>。为 15014 端口的 Citadel Agent 的 <code>/metrics</code> endpoint 添加了指标,用于监控 SDS 服务。</li>
|
||
<li><strong>添加</strong>。使用 8080 端口上的 <code>/debug/sds/workload</code> 和 <code>/debug/sds/gateway</code> 向 Citadel Agent 添加了诊断程序。</li>
|
||
<li><strong>改进</strong>。改进了 ingress gateway,以实现使用 SDS 时<a href="/v1.6/zh/docs/tasks/traffic-management/ingress/secure-ingress-sds/#configure-a-mutual-TLS-ingress-gateway">从另一个 secret 加载受信任的 CA 证书</a>。</li>
|
||
<li><strong>改进</strong>。通过强制使用 <a href="/v1.6/zh/blog/2019/trustworthy-jwt-sds">Kubernetes Trustworthy JWT</a> 改进了 SDS 的安全性。</li>
|
||
<li><strong>改进</strong>。通过统一日志记录模式,改进了 Citadel Agent 日志记录。</li>
|
||
<li><strong>移除</strong>。移除对 <a href="/v1.6/zh/blog/2019/trustworthy-jwt-sds">Kubernetes 1.13 之前版本</a>的 Istio SDS 支持。</li>
|
||
<li><strong>移除</strong>。暂时移除与 Vault CA 的集成。SDS 的一些要求导致了本次临时移除,但我们将在之后的版本中重新引入 Vault CA 集成。</li>
|
||
<li><strong>启用</strong>。默认情况下启用 Envoy JWT 过滤器以提高安全性和可靠性。</li>
|
||
</ul>
|
||
<h2 id="telemetry">遥测</h2>
|
||
<ul>
|
||
<li><strong>添加</strong>。为 Envoy gRPC 添加了访问日志服务 <a href="https://www.envoyproxy.io/docs/envoy/latest/api-v2/service/accesslog/v2/als.proto#grpc-access-log-service-als">ALS</a> 的支持。</li>
|
||
<li><strong>添加</strong>。为 Citadel 监控添加了一个 Grafana 仪表盘。</li>
|
||
<li><strong>添加</strong>。为 sidecar 注入 webhook 监控添加了<a href="/v1.6/zh/docs/reference/commands/sidecar-injector/#metrics">指标</a>。</li>
|
||
<li><strong>添加</strong>。添加了控制平面指标,用于监控 Istio 的配置状态。</li>
|
||
<li><strong>添加</strong>。添加了流向目标是 <code>Passthrough</code> 和 <code>BlackHole</code> 集群的流量的遥测报告。</li>
|
||
<li><strong>添加</strong>。添加了对使用 Prometheus 代理生成服务指标的 alpha 支持。</li>
|
||
<li><strong>添加</strong>。在 Envoy 节点 metadata 中添加了对环境 metadata 的 alpha 支持。</li>
|
||
<li><strong>添加</strong>。添加了对代理 Metadata 交换的 alpha 支持。</li>
|
||
<li><strong>添加</strong>。添加了对 OpenCensus 追踪驱动的 alpha 支持。</li>
|
||
<li><strong>改进</strong>。通过移除添加服务条目的要求,改进了对外部服务的报告。</li>
|
||
<li><strong>改进</strong>。改进了网格仪表板,以提供对 Istio 配置状态的监控。</li>
|
||
<li><strong>改进</strong>。改进了 Pilot 仪表板,以显示更多的关键指标,并能更清楚地识别错误。</li>
|
||
<li><strong>移除</strong>。移除了不推荐使用的 <code>Adapter</code> 和 <code>Template</code> 自定义资源(CRD)。</li>
|
||
<li><strong>弃用</strong>。弃用可用于产生 API 属性的 HTTP API 规范。我们将在 Istio 1.4 中移除对生成 API 属性的支持。</li>
|
||
</ul>
|
||
<h2 id="policy">策略</h2>
|
||
<ul>
|
||
<li><strong>改进</strong>。改进了速率限制的实现,当配额后端不可用时,仍允许通信。</li>
|
||
</ul>
|
||
<h2 id="configuration-management">配置管理</h2>
|
||
<ul>
|
||
<li><strong>修复</strong>。修复了阻止过多 gRPC ping 关闭连接的情况。</li>
|
||
<li><strong>改进</strong>。改进了 Galley,以避免控制平面升级失败。</li>
|
||
</ul>
|
||
<h2 id="istioctl"><code>istioctl</code></h2>
|
||
<ul>
|
||
<li><strong>添加</strong>。添加了 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-manifest"><code>istioctl</code> 实验清单</a>来管理新的实验安装清单。</li>
|
||
<li><strong>添加</strong>。添加了 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-profile"><code>istioctl</code> 实验配置文件</a>来管理新的实验安装配置文件。</li>
|
||
<li><strong>添加</strong>。添加了 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-experimental-metrics"><code>istioctl experimental metrics</code></a></li>
|
||
<li><strong>添加</strong>。添加了 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-experimental-describe-pod"><code>istioctl experimental describe pod</code></a>,其用于描述 Istio pod 的配置。</li>
|
||
<li><strong>添加</strong>。添加了 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-experimental-add-to-mesh"><code>istioctl experimental add-to-mesh</code></a>,其用于将 Kubernetes 服务或虚拟机添加到现有 Istio 服务网格中。</li>
|
||
<li><strong>添加</strong>。添加了 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-experimental-remove-from-mesh"><code>istioctl experimental remove-from-mesh</code></a>,其用于从已存在的 Istio 服务网格中移除 Kubernetes 服务或虚拟机。</li>
|
||
<li><strong>提升</strong>。将命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-convert-ingress"><code>istioctl experimental convert-ingress</code></a> 提升为 <code>istioctl convert-ingress</code>。</li>
|
||
<li><strong>提升</strong>。将命令 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-dashboard"><code>istioctl experimental dashboard</code></a> 提升为 <code>istioctl dashboard</code>。</li>
|
||
</ul>
|
||
<h2 id="miscellaneous">杂项</h2>
|
||
<ul>
|
||
<li><strong>添加</strong>。添加了基于 <a href="/v1.6/zh/docs/ops/configuration/security/harden-docker-images/">distroless</a> 基础镜像的新镜像。</li>
|
||
<li><strong>改进</strong>。改进了 Istio CNI Helm 图表,使其具有与 Istio 一致的版本。</li>
|
||
<li><strong>改进</strong>。改进了 Kubernetes Job 的行为。当 Job 手动调用 <code>/quitquitquit</code> endpoint 时,Kubernetes Job 现在可以正常退出。</li>
|
||
</ul></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.3.x/announcing-1.3/change-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.3.x/announcing-1.3/change-notes/</guid></item><item><title>变更说明</title><description>
|
||
<h2 id="general">通用功能</h2>
|
||
<ul>
|
||
<li><strong>增加</strong> <code>traffic.sidecar.istio.io/includeInboundPorts</code> 标注可以让服务所有者不需要在 deployment yaml 文件中配置 <code>containerPort</code> 字段。这会是未来版本中的默认做法。</li>
|
||
<li><strong>增加</strong> 对 Kubernetes 集群的 IPv6 试验性支持。</li>
|
||
</ul>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<ul>
|
||
<li><strong>改进</strong> 在多集群环境中<a href="/v1.6/zh/docs/ops/configuration/traffic-management/locality-load-balancing/">基于位置的路由</a>功能。</li>
|
||
<li><strong>改进</strong> <a href="/v1.6/zh/docs/reference/config/installation-options/#global-options"><code>ALLOW_ANY</code> 模式</a>出站流量策略。在一个已存在端口上的未知 HTTP/HTTPS 主机流量将会被<a href="/v1.6/zh/docs/tasks/traffic-management/egress/egress-control/#envoy-passthrough-to-external-services">按原样转发</a>。未知流量会被记录在 Envoy 的访问日志中。</li>
|
||
<li><strong>增加</strong> 支持为上游服务设置 HTTP 空闲超时时间。</li>
|
||
<li><strong>改进</strong> Sidecar 支持 <a href="/v1.6/zh/docs/reference/config/networking/sidecar/#CaptureMode">NONE 模式</a> (不用 iptables)。</li>
|
||
<li><strong>增加</strong> 给 Envoy sidecar 配置 <a href="/v1.6/zh/docs/reference/config/installation-options/#global-options">DNS 刷新频率</a>的能力。减轻 DNS 服务的压力。</li>
|
||
<li><strong>毕业</strong> <a href="/v1.6/zh/docs/reference/config/networking/sidecar/">Sidecar API</a> 从 Alpha 版本发展到 Alpha API 和 Beta 运行时。</li>
|
||
</ul>
|
||
<h2 id="security">安全</h2>
|
||
<ul>
|
||
<li><strong>改进</strong> 将自签名 Citadel 根证书的默认生存期延长到 10 年。</li>
|
||
<li><strong>增加</strong> 通过 <a href="/v1.6/zh/docs/ops/configuration/mesh/app-health-check/#use-annotations-on-pod">标注</a> <code>PodSpec</code> 中<code>sidecar.istio.io/rewriteAppHTTPProbers: &quot;true&quot;</code> 字段,Kubernetes 的健康检查探测器会重写每个 deployment。</li>
|
||
<li><strong>增加</strong> 支持给 Istio 双向 TLS 证书配置密钥路径。更多信息请看<a href="https://github.com/istio/istio/issues/11984">这里</a>。</li>
|
||
<li><strong>增加</strong> 通过启用 Citadel 上的 <code>pkcs8-keys</code> 来支持 workload 使用 <a href="https://en.wikipedia.org/wiki/PKCS_8">PKCS 8</a> 私钥。</li>
|
||
<li><strong>改进</strong> JWT 公钥获取逻辑在网络失败的时候更可靠。</li>
|
||
<li><strong>修复</strong> workload 证书中的 <a href="https://tools.ietf.org/html/rfc5280#section-4.2.1.6">SAN</a> 字段设置为 <code>critical</code>。这是修复了一些自定义证书验证服务无法验证 Istio 证书的问题。</li>
|
||
<li><strong>修复</strong> 重写了 HTTPS 的双向 TLS 探测。</li>
|
||
<li><strong>毕业</strong> <a href="/v1.6/zh/docs/reference/config/networking/gateway/">入口网关多证书支持的 SNI</a> 从 Alpha 版本发展到了稳定版。</li>
|
||
<li><strong>毕业</strong> <a href="/v1.6/zh/docs/tasks/traffic-management/ingress/secure-ingress-sds/">入口网关证书管理</a>从 Alpha 版本发展到了 Beta 版。</li>
|
||
</ul>
|
||
<h2 id="telemetry">遥测</h2>
|
||
<ul>
|
||
<li><strong>增加</strong> 通过用户标注统计字段前缀、后缀和正则表达式的方式,全面支持对 Envoy 统计生成的控制。</li>
|
||
<li><strong>修改</strong> Prometheus 产生的流量排除在统计度量之外。</li>
|
||
<li><strong>增加</strong> 支持发送追踪信息到 Datadog。</li>
|
||
<li><strong>毕业</strong> <a href="/v1.6/zh/docs/tasks/observability/distributed-tracing/">分布式追踪</a>从 Beta 版本发展到了稳定版。</li>
|
||
</ul>
|
||
<h2 id="policy">策略</h2>
|
||
<ul>
|
||
<li><strong>修复</strong> <a href="https://github.com/istio/istio/issues/13868">基于 Mixer</a> 的 TCP 策略执行。</li>
|
||
<li><strong>毕业</strong> <a href="/v1.6/zh/docs/reference/config/security/istio.rbac.v1alpha1/">认证 (RBAC)</a> 从 Alpha 版本发展到 Alpha API 和 Beta 运行时。</li>
|
||
</ul>
|
||
<h2 id="configuration-management">配置管理</h2>
|
||
<ul>
|
||
<li><strong>改进</strong> 对策略和 CRD 遥测的验证。</li>
|
||
<li><strong>毕业</strong> 基本资源配置验证从 Alpha 版本发展到了 Beta 版。</li>
|
||
</ul>
|
||
<h2 id="installation-and-upgrade">安装和升级</h2>
|
||
<ul>
|
||
<li><strong>更新</strong> 默认代理内存大小限制 (<code>global.proxy.resources.limits.memory</code>) 从 <code>128Mi</code> 扩大到 <code>1024Mi</code>,以此保证代理有充足的内存。</li>
|
||
<li><strong>增加</strong> pod 的<a href="https://kubernetes.io/docs/concepts/configuration/assign-pod-node/#affinity-and-anti-affinity">反亲和性</a>和<a href="https://kubernetes.io/docs/concepts/configuration/taint-and-toleration/">容错</a>功能支持了所有的控制平面组件。</li>
|
||
<li><strong>增加</strong> <code>sidecarInjectorWebhook.neverInjectSelector</code> 和 <code>sidecarInjectorWebhook.alwaysInjectSelector</code> 配置,通过标签选择器让用户可以进一步控制 workload 是否应该自动注入 sidecar。</li>
|
||
<li><strong>增加</strong> <code>global.logging.level</code> 和 <code>global.proxy.logLevel</code> 配置,允许用户方便的给控制平面和数据平面组件全局的配置日志。</li>
|
||
<li><strong>增加</strong> 支持通过设置 <a href="/v1.6/zh/docs/reference/config/installation-options/#global-options"><code>global.tracer.datadog.address</code></a> 来配置 Datadog 的地址。</li>
|
||
<li><strong>移除</strong> 默认情况下禁止使用早期<a href="https://discuss.istio.io/t/deprecation-notice-custom-mixer-adapter-crds/2055">被弃用</a>的适配器和 CRD 模版。可以使用 <code>mixer.templates.useTemplateCRDs=true</code> 和 <code>mixer.adapters.useAdapterCRDs=true</code> 安装配置项来重新启用这两个功能。</li>
|
||
</ul>
|
||
<p>要看全部的变动,请参阅<a href="/v1.6/zh/news/releases/1.2.x/announcing-1.2/helm-changes/">安装选项变动页面</a>。</p>
|
||
<h2 id="Istio-control-and-Kube-control"><code>istioctl</code> 和 <code>kubectl</code></h2>
|
||
<ul>
|
||
<li><strong>毕业</strong> <code>istioctl verify-install</code> 走出实验标签。</li>
|
||
<li><strong>改进</strong> <code>istioctl verify-install</code> 可以验证给定的 Kubernetes 环境是否满足 Istio 的要求。</li>
|
||
<li><strong>增加</strong> <code>istioctl</code> 支持自动完成功能。</li>
|
||
<li><strong>增加</strong> <code>istioctl experimental dashboard</code> 允许用户方便的打开任意 Istio 插件的 web UI。</li>
|
||
<li><strong>增加</strong> <code>istioctl x</code> 别名可以方便的运行 <code>istioctl experimental</code> 命令。</li>
|
||
<li><strong>改进</strong> <code>istioctl version</code> 默认展示 Istio 控制平面和 <code>istioctl</code> 自己的版本信息。</li>
|
||
<li><strong>改进</strong> <code>istioctl validate</code> 验证 Mixer 配置,并且支持完整关联的深度验证。</li>
|
||
</ul>
|
||
<h2 id="miscellaneous">杂项</h2>
|
||
<ul>
|
||
<li><strong>增加</strong> <a href="/v1.6/zh/docs/setup/additional-setup/cni/">Istio CNI 支持</a>以设置 sidecar 网络重定向,并移除需要 <code>NET_ADMIN</code> 功能的 <code>istio-init</code> 容器。</li>
|
||
<li><strong>增加</strong> 新实验功能 <a href="https://github.com/istio/installer/wiki">&lsquo;a-la-carte&rsquo; Istio 安装器</a>可以让用户以所希望的独立和安全的方式安装和升级 Istio。</li>
|
||
<li><strong>增加</strong> 除了命令行参数外,<a href="https://docs.google.com/document/d/1M-qqBMNbhbAxl3S_8qQfaeOLAiRqSBpSgfWebFBRuu8/edit">支持以环境变量和配置文件</a>的方式来配置 Galley。</li>
|
||
<li><strong>增加</strong> <a href="/v1.6/zh/docs/ops/diagnostic-tools/controlz/">ControlZ</a> 支持在 Galley 中可视化 MCP 服务的状态。</li>
|
||
<li><strong>增加</strong> 在 Galley 中通过 <a href="/v1.6/zh/docs/reference/commands/galley/#galley-server"><code>enableServiceDiscovery</code> 命令行参数</a>来控制服务发现模块。</li>
|
||
<li><strong>增加</strong> Galley 和 Pilot 中的 <code>InitialWindowSize</code> 和 <code>InitialConnWindowSize</code> 参数允许微调 MCP (gRPC) 的链接设置。</li>
|
||
<li><strong>毕业</strong> Galley 的配置处理从 Alpha 版本发展到了 Beta 版。</li>
|
||
</ul></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.2.x/announcing-1.2/change-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.2.x/announcing-1.2/change-notes/</guid></item><item><title>变更说明</title><description>
|
||
<h2 id="incompatible-changes-from-1-0">从 1.0 开始的不兼容变更</h2>
|
||
<p>除了下面列出的新功能和改进之外,Istio 从 1.0 开始就引入了许多重要改进,这些改进可以更改应用程序的行为。在<a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes">升级说明</a>中可以找到这些改进的简明清单。</p>
|
||
<h2 id="upgrades">升级</h2>
|
||
<p>我们建议手动将控制平面和数据平面升级到 1.1。有关更多信息,请参见<a href="/v1.6/zh/docs/setup/upgrade/">升级文档</a>。</p>
|
||
<div>
|
||
<aside class="callout warning">
|
||
<div class="type">
|
||
<svg class="large-icon"><use xlink:href="/v1.6/img/icons.svg#callout-warning"/></svg>
|
||
</div>
|
||
<div class="content">在将 deployment 升级到 Istio 1.1 之前,请务必查看<a href="/v1.6/zh/news/releases/1.1.x/announcing-1.1/upgrade-notes">升级说明</a>以获得您应该了解的简要清单。</div>
|
||
</aside>
|
||
</div>
|
||
<h2 id="installation">安装</h2>
|
||
<ul>
|
||
<li><p><strong>将 CRD 安装从 Istio 安装中分离出来</strong>。将 Istio 的自定义资源(CRD)放入 <code>istio-init</code> Helm chart 中。将 CRD 放置在自己的 Helm chart 中,可以在升级过程中保留自定义资源内容的数据连续性,并进一步使 Istio 能够超越基于 Helm 的安装。</p></li>
|
||
<li><p><strong>安装配置文件</strong>。添加了几个安装配置文件,以便使用成熟的且经过测试的方式简化安装过程。<a href="/v1.6/zh/docs/setup/additional-setup/config-profiles/">安装配置文件功能</a>为用户提供了更好的体验,以便您详细了解。</p></li>
|
||
<li><p><strong>改进多集群集成</strong>。将 <code>istio-remote</code> chart 1.0 合并到 Istio Helm chart 中,从而简化操作体验,其先前用于<a href="/v1.6/zh/docs/setup/install/multicluster/shared-vpn/">多集群 VPN</a> 和<a href="/v1.6/zh/docs/setup/install/multicluster/shared-gateways/">多集群水平拆分</a>远程集群安装。</p></li>
|
||
</ul>
|
||
<h2 id="traffic-management">流量管理</h2>
|
||
<ul>
|
||
<li><p><strong>新的 <code>Sidecar</code> 资源</strong>。通过新的 <a href="/v1.6/zh/docs/concepts/traffic-management/#sidecars">sidecar</a> 资源,可以更精细地控制附加到命名空间中工作负载的 sidecar 代理的行为。特别是,它增加了对限制 sidecar 向其发送流量的服务集的支持。这减少了计算和传输给代理的配置量,从而改善了启动时间、资源消耗和控制平面可伸缩性。对于复杂部署,我们建议为每个命名空间添加 sidecar 资源。我们还为高级用例的端口、协议和流量捕获提供了控件。</p></li>
|
||
<li><p><strong>限制服务的可见性</strong>。添加了新的 <code>exportTo</code> 功能,该功能允许服务所有者控制哪些命名空间可以引用其服务。此功能已添加到<code>ServiceEntry</code>,<code>VirtualService</code> 中,并且 Kubernetes 服务也通过 <code>networking.istio.io/exportTo</code> 批注支持该功能。</p></li>
|
||
<li><p><strong>命名空间范围</strong>。当在网关中引用 <code>VirtualService</code> 时,我们在配置模型中使用基于 DNS 的名称匹配。当多个命名空间为同一主机名定义虚拟服务时,这会造成模棱两可的情况。为了解决歧义,现在可以在 <code>hosts</code> 字段中使用 <strong><code>[{namespace-name}]/{hostname-match}</code></strong> 形式的语法按命名空间显式定义这些引用的范围。在 egress <code>Sidecar</code> 中也可以使用相同功能。</p></li>
|
||
<li><p><strong>更新 <code>ServiceEntry</code> 资源</strong>。现在支持指定,与双向 TLS 一起使用的服务及相关 SAN 的位置。具有 HTTPS 端口的服务条目不再需要其他虚拟服务来启用基于 SNI 的路由。</p></li>
|
||
<li><p><strong>位置感知路由</strong>。添加了对在选择其他地区的服务之前路由到相同地区的服务的完整支持。请参阅<a href="/v1.6/zh/docs/reference/config/networking/destination-rule#LocalityLoadBalancerSetting">本地负载均衡器设置</a></p></li>
|
||
<li><p><strong>完善多集群路由</strong>。简化了多集群设置并启用了其他部署模式。现在,您可以简单地使用它们的入口网关连接多个集群,而无需 Pod 级的 VPN,针对高可用性情况在每个集群中部署控制平面,并跨多个集群创建命名空间以实现创建全局命名空间。高可用控制平面解决方案默认启用位置感知路由。</p></li>
|
||
<li><p><strong>弃用 Istio Ingress</strong>。删除了以前不推荐使用的 Istio ingress。有关如何在<a href="/v1.6/zh/docs/concepts/traffic-management/#gateways">网关</a>中使用 Kubernetes Ingress 资源的更多详细信息,请参考<a href="/v1.6/zh/docs/ops/integrations/certmanager/">使用 Cert-Manager 保护 Kubernetes Ingress</a> 示例。</p></li>
|
||
<li><p><strong>改进性能和可伸缩性</strong>。调整 Istio 和 Envoy 的性能和可伸缩性。阅读<a href="/v1.6/zh/docs/ops/deployment/performance-and-scalability/">性能和可伸缩性</a>获取更多信息。</p></li>
|
||
<li><p><strong>默认关闭访问日志</strong>。默认情况下,禁用所有 Envoy sidecar 的访问日志以提高性能。</p></li>
|
||
</ul>
|
||
<h3 id="security">安全</h3>
|
||
<ul>
|
||
<li><p><strong>就绪和存活探针</strong>。添加了对 Kubernetes HTTP <a href="/v1.6/zh/faq/security/#k8s-health-checks">就绪和存活探针</a>的支持(启用双向 TLS 时)。</p></li>
|
||
<li><p><strong>群集 RBAC 配置</strong>。用 <code>ClusterRbacConfig</code> 资源替换了 <code>RbacConfig</code> 资源,以实现正确的集群范围。关于迁移说明,请参见<a href="https://archive.istio.io/v1.1/docs/setup/kubernetes/upgrade/steps/#migrating-from-rbacconfig-to-clusterrbacconfig">将 <code>RbacConfig</code> 迁移到 <code>ClusterRbacConfig</code></a>。</p></li>
|
||
<li><p><strong>通过 SDS 进行身份认证</strong>。添加了 SDS 支持,通过节点密钥生成以及动态证书轮换,来提供更强的安全性,并且无需重启 Envoy。</p></li>
|
||
<li><p><strong>TCP 服务授权</strong>。除了 HTTP 和 gRPC 服务之外,还增加了对 TCP 服务的授权支持。有关更多信息,请参见 <a href="/v1.6/zh/docs/tasks/security/authorization/authz-tcp">TCP 服务授权</a>。</p></li>
|
||
<li><p><strong>终端用户组的授权</strong>。添加了基于 <code>组</code> 声明或 JWT 中任何列表类型声明的授权。有关更多信息,请参见<a href="/v1.6/zh/docs/tasks/security/authorization/authz-jwt">基于 JWT 授权</a>。</p></li>
|
||
<li><p><strong>Ingress Gateway 控制器的外部证书管理</strong>。添加了一个控制器以动态加载和轮转外部证书。</p></li>
|
||
<li><p><strong>自定义 PKI 集成</strong>。添加了 Vault PKI 集成,并支持受 Vault 保护的签名密钥,并能直接与现有的 Vault PKI 集成。</p></li>
|
||
<li><p><strong>自定义信任域(非<code>cluster.local</code>)</strong>。在标识中增加了对特定于组织或群集的信任域的支持。</p></li>
|
||
</ul>
|
||
<h2 id="policies-and-telemetry">策略和遥测</h2>
|
||
<ul>
|
||
<li><p><strong>默认关闭策略检查</strong>。默认情况下,修改后的策略检查是关闭的,以提高大多数客户方案的性能。<a href="/v1.6/zh/docs/tasks/policy-enforcement/enabling-policy/">启用策略执行</a>详细说明了如何根据需要开启 Istio 策略检查。</p></li>
|
||
<li><p><strong>Kiali</strong>。用 <a href="https://www.kiali.io">Kiali</a> 替换了 <a href="https://github.com/istio/istio/issues/9066">Service Graph addon</a>,以提供更丰富的可视化体验。有关更多详细信息,请参见 <a href="/v1.6/zh/docs/tasks/observability/kiali/">Kiali 任务</a>。</p></li>
|
||
<li><p><strong>减少开销</strong>。添加了一些性能和规模改进,包括:</p>
|
||
<ul>
|
||
<li><p>大大减少了 Envoy 默认收集生成的统计信息的开销。</p></li>
|
||
<li><p>为 Mixer 工作负载添加了负载削减功能。</p></li>
|
||
<li><p>改进了 Envoy 和 Mixer 之间的协议。</p></li>
|
||
</ul></li>
|
||
<li><p><strong>请求头和路由控制</strong>。添加了创建适配器以影响传入请求 header 和路由的选项。有关更多信息,请参见<a href="/v1.6/zh/docs/tasks/policy-enforcement/control-headers">请求头和路由控制</a>任务。</p></li>
|
||
<li><p><strong>进程外适配器</strong>。添加了生产可用的进程外适配器功能。然后,我们在此版本中弃用了进程内适配器模型。所有新的适配器开发都应使用进程外模型。</p></li>
|
||
<li><p><strong>追踪改进</strong>。在我们的总体追踪故事中进行了许多改进:</p>
|
||
<ul>
|
||
<li><p>跟踪 ID 的位宽现在是 128。</p></li>
|
||
<li><p>现在支持将追踪数据发送到 <a href="/v1.6/zh/docs/tasks/observability/distributed-tracing/lightstep/">LightStep</a>。</p></li>
|
||
<li><p>添加了一个选项,可用于完全禁用由 Mixer 支持的服务的跟踪功能。</p></li>
|
||
<li><p>添加了策略 decision-aware 跟踪。</p></li>
|
||
</ul></li>
|
||
<li><p><strong>默认的 TCP 指标</strong>。为追踪 TCP 连接增加默认指标</p></li>
|
||
<li><p><strong>降低插件的负载均衡的要求</strong>。不再通过单独的负载均衡公开插件。而是通过 Istio 网关公开插件。要使用 HTTP 或 HTTPS 协议从外部公开插件,请使用 <a href="/v1.6/zh/docs/tasks/observability/gateways/">Addon Gateway 文档</a>。</p></li>
|
||
<li><p><strong>附加安全凭证</strong>。更改了附加凭证的存储。为了提高安全性与合规性,Grafana、Kiali 以及 Jaeger 的用户名密码现在存储在 <a href="https://kubernetes.io/docs/concepts/configuration/secret/">Kubernetes secret</a> 中。</p></li>
|
||
<li><p><strong>更加灵活的 <code>statsd</code> 收集器</strong>。删除了内置的 <code>statsd</code> 收集器。Istio 现在支持您自己的 <code>statsd</code>,以提高现有 Kubernetes 部署的灵活性。</p></li>
|
||
</ul>
|
||
<h3 id="configuration-management">配置管理</h3>
|
||
<ul>
|
||
<li><p><strong>Galley</strong>。添加 <a href="/v1.6/zh/docs/ops/deployment/architecture/#galley">Galley</a> 作为 Istio 主要的配置收集和分发装置。它提供了一个健壮的模型来验证,转换配置状态并将其分配给 Istio 组件,从而将 Istio 组件与 Kubernetes 详细信息隔离开来。Galley 使用<a href="https://github.com/istio/api/tree/release-1.6/mcp">网格配置协议</a>与组件进行交互。</p></li>
|
||
<li><p><strong>监听端口</strong>。将 Galley 的默认监听端口从 9093 修改为 15014。</p></li>
|
||
</ul>
|
||
<h2 id="Istio-and-Kube"><code>istioctl</code> 和 <code>kubectl</code></h2>
|
||
<ul>
|
||
<li><p><strong>验证命名</strong>。添加 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-validate"><code>istioctl validate</code></a> 命令,用于 Istio Kubernetes 资源的离线验证。</p></li>
|
||
<li><p><strong>安装验证命令</strong>。添加 <a href="/v1.6/zh/docs/reference/commands/istioctl/#istioctl-verify-install"><code>istioctl verify-install</code></a> 命令,用于验证指定了 YAML 文件的 Istio 安装的状态。</p></li>
|
||
<li><p><strong>弃用命令</strong>。弃用 <code>istioctl create</code>、<code>istioctl replace</code>、<code>istioctl get</code> 和 <code>istioctl delete</code> 命令。
|
||
请使用 <a href="https://kubernetes.io/docs/tasks/tools/install-kubectl"><code>kubectl</code></a> 替代。<code>istioctl gen-deploy</code> 命令也被弃用。请改用 <a href="/v1.6/zh/docs/setup/install/helm/#option-1-install-with-helm-via-helm-template"><code>helm template</code></a>。这些命令将在 1.2 版被删除。</p></li>
|
||
<li><p><strong>短命令</strong>。<code>kubectl</code> 包含了一些简短命令,可用于 gateway,虚拟服务,目标规则和服务条目。</p></li>
|
||
</ul></description><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><link>/v1.6/zh/news/releases/1.1.x/announcing-1.1/change-notes/</link><author/><guid isPermaLink="true">/v1.6/zh/news/releases/1.1.x/announcing-1.1/change-notes/</guid></item></channel></rss> |