Опис змін в Istio 1.23.0
Опис змін в Istio 1.23.0.
Застарівання
- Визнано застарілим використання кластерного Оператора. Будь ласка, ознайомтеся з нашим оголошенням про визнання Оператора застарілим для отримання додаткової інформації.
Управління Трафіком
Додано підтримку проксіювання заголовків
100 Continue. Це можна відключити, встановивши значенняENABLE_100_CONTINUE_HEADERSнаfalse.Додано можливість читання типу трафіку для waypoint з мітки
istio.io/waypoint-forна батьківському класі шлюзу. Це значення замінює глобальне стандартне значення і буде замінено, якщо мітка застосовується до ресурсу waypoint. (Issue #50933)Додано підтримку відповідності кільком VIP сервісам у проксі waypoint. (Issue #51886)
Додано експериментальну функцію для створення кластерів на робочих потоках під час запитів. Це дозволить заощадити памʼять і процесорні ресурси в разі великої кількості неактивних кластерів і більше ніж одного робочого потоку. Це можна вимкнути, встановивши значення
ENABLE_DEFERRED_CLUSTER_CREATIONнаfalseу розгортанні агента.Додано підтримку нової політики повторних спроб
reset-before-request, доданої в Envoy 1.31. (Issue #51704)Виправлено помилку, через яку трафік UDP у ланцюжку iptables
ISTIO_OUTPUTвиходив передчасно. (Issue #51377)Виправлено поле адрес статусу
ServiceEntry, яке не підтримувало призначення IP-адрес окремим хостам, що призводило до небажаної розбіжності в поведінці між новими та старими реалізаціями автоматичних виділень. Додано поле “Host” до адреси для підтримки зіставлення виділеного IP з хостом.Виправлено проблему, коли фільтр CORS пересилав запити preflight, якщо походження не було дозволено.
Виправлено логіку повторних спроб для забезпечення безпеки отримання метрик envoy у режимі
EXIT_ON_ZERO_ACTIVE_CONNECTIONS. (Issue #50596)Виправлено поширення налаштувань IPv6 до
istio-cni. Зверніть увагу, що підтримка IPv6 все ще є нестабільною. (Issue #50162)Виправлено проблему, через яку ZDS не передавав
trust_domain. (Issue #51182)Виправлено проблему з правилами iptables для ambient при роботі з IPv6.
Виправлено автоматичне виділення IP для
ServiceEntryз виділенням на хост, а не наServiceEntry. (Issue #52319)Виправлено перевірку
ServiceEntry, щоб придушити попередження “потрібна адреса” при використанні контролера автоматичного виділення IP. (Issue #52422)Виправлено проблему, через яку налаштування TLS у
DestinationRuleне враховувалися при зʼєднанні від шлюзу або sidecar до бекенду, зареєстрованого в режимі ambient.Виправлено проблему, яка заважала працювати
proxyProtocolуDestinationRule, коли TLS був відключений.Вилучено прапорець функцій
ISTIO_ENABLE_OPTIMIZED_SERVICE_PUSH.Вилучено прапорець функцій
ENABLE_OPTIMIZED_CONFIG_REBUILD.Вилучено експериментальний прапорець функцій
PILOT_ENABLE_CONFIG_DISTRIBUTION_TRACKINGі відповідну командуistioctl experimental wait.Оновлено config map для
istio-cni, щоб експонувати лише ті змінні середовища, які можна налаштувати користувач.
Безпека
Додано суворішу перевірку CSR, коли Istio функціонує як RA і налаштований із зовнішнім CA для підписання сертифікатів робочих навантажень. (Issue #51966)
Покращено можливість використання SPIRE для SDS, дозволивши вказувати власне імʼя сокета сервера. Раніше документація SPIRE вимагала, щоб сервер SPIRE SDS був налаштований на використання сокета SDS за замовчуванням від Istio. У цьому випуску введено змінну середовища агента
WORKLOAD_IDENTITY_SOCKET_FILE. Якщо встановлено значення, відмінне від стандартно значення, агент очікуватиме наявність нестандартного сокета сервера SDS за фіксованим шляхом:WorkloadIdentityPath/WORKLOAD_IDENTITY_SOCKET_FILEі видасть помилку, якщо не знайдено активного сокета. В іншому разі агент слухатиме цей сокет. Якщо змінна не встановлена, агент запустить стандартний екземпляр сервера SDS від Istio з фіксованим шляхом і сокетом:WorkloadIdentityPath/DefaultWorkloadIdentitySocketFileі слухатиме його. Це видаляє/замінює змінну середовища агентаUSE_EXTERNAL_WORKLOAD_SDS(додано у #45941). (Issue #48845)
Телеметрія
Додано підтримку форматування журналу доступу для OpenTelemetry. Користувачі можуть додавати команди
CEL/METADATA/REQ_WITHOUT_QUERYпісля оновлення всіх проксі до Istio 1.23+.Виправлено проблему, коли код статусу не був встановлений при використанні OpenTelemetry трейсингу. (Issue #50195)
Виправлено проблему, коли імʼя span не встановлювалося при використанні провайдера OpenTelemetry.
Виправлено регулярний вираз у
statsMatcher, який не відповідавstat_prefixмаршруту.Виправлено проблему, коли мітки
cluster_nameтаhttp_conn_manager_prefixбули неправильно усічені для сервісів без суфікса.svc.cluster.local.Вилучено метрики Istio Stackdriver з XDS. (Issue #50808)
Вилучено трейсер OpenCensus з Istio XDS. (Issue #50808)
Вилучено прапорець функцій
ENABLE_OTEL_BUILTIN_RESOURCE_LABELS.
Розширюваність
- Вилучено внутрішні файли multi-version protobuf з API. Це внутрішня зміна для більшості користувачів. Якщо ви безпосередньо використовуєте API Istio у вигляді protobuf, ознайомтеся з примітками до оновлення. (Issue #3127)
Встановлення
Додано параметр
.Values.pilot.trustedZtunnelNamespaceдо Helm-чартуistiod. Встановіть це значення, якщо ztunnel розміщено в іншому просторі імен, ніжistiod. Це значення замінює.Values.pilot.env.CA_TRUSTED_NODE_ACCOUNTS(яке все ще враховується, якщо встановлено).Додано прапорець
releaseChannel:extendedдля функцій та API, які не є GA. (Issue #173)Додано можливість налаштування шляху журналу для конфігурації проксі мережі, що дозволяє користувачам вказати шлях до файлу журналу виявлення аномалій. (Issue #50781)
Додано загальний Helm-чарт
ambient, який охоплює базові компоненти Istio, необхідні для встановлення Istio з підтримкою ambient.Додано підтримку перевірок готовності через https для
istiodдля використання в кластерах, що використовують віддалену панель управління для інʼєкції sidecar. (Issue #51506)Виправлено проблему, коли втулок CNI успадковував рівень журналювання агента CNI.
Виправлено проблему з форматуванням анотацій облікових записів сервісів, шляхом видалення дефісів. (Issue #51289)
Виправлено проблему, коли анотації користувача не передавалися в чарт ztunnel.
Виправлено проблему, коли анотація
sidecar.istio.io/proxyImageігнорувалася під час інʼєкції шлюзу. (Issue #51888)Виправлено проблему, коли помилки netlink не були правильно розпізнані, що призводило до того, що
istio-cniнеправильно ігнорував залишкові ipsets.Покращено конфігурацію журналювання для CNI. (Issue #50958)
Покращено Helm-інсталяцію для multi-cluster конфігурації Istiod для primary-remote. Тепер під час встановлення Helm потрібно лише встановити
global.externalIstiod, замість того, щоб також встановлюватиpilot.env.EXTERNAL_ISTIOD. (Issue #51595)Вилучено
values.cni.logLevel, який тепер застарів. Використовуйте замість ньогоvalues.{cni|global}.logging.level.Оновлено distroless образи, які тепер базуються на Wolfi. Це не повинно вплинути на користувачів.
Оновлено застосунок Kiali до версії 1.87.0.
Оновлено базові образи для налагодження до останньої версії LTS Ubuntu,
ubuntu:noble. Раніше використовувалась версіяubuntu:focal.
istioctl
Додано підкоманду статусу, яка виводить стан шлюзу(-ів) для зазначеного простору імен. (Issue #51294)
Додано можливість користувачам встановлювати параметр
seccompProfile.type(наприклад,RuntimeDefault) для автоматично розгорнутих waypoints, встановивши значенняvalues.gateways.seccompProfile.typeв конфігурації інʼєкціїistiod.Додано прапорець
overwriteдо командиistioctl apply, що дозволяє перезаписувати наявні ресурси в кластері (спочатку тільки для реєстрацій waypoints у просторі імен). (Issue #51312)Покращено виведення для команди
istioctl version, зробивши його більш зручним для користувачів. (Issue #51296)Покращено команду
istioctl proxy-status:- Тепер кожен статус включає час з моменту останньої зміни.
- Якщо проксі не підписаний на ресурс, він буде показаний як
IGNOREDзамістьNOT SENT.NOT SENTпродовжує використовуватись для ресурсів, які були запитані, але не надіслані. - Додано новий статус
ERROR, коли конфігурація відхиляється.
Зразки
- Покращено зовнішній вигляд та зручність застосунку Bookinfo.