Istio 1.4 变更说明
Istio 1.4 发行版说明。
流量管理
- 新增了 对 mirroring 百分比的流量支持。
- 改进了
Envoy sidecar
。当Envoy sidecar
崩溃退出时,可以更轻松地查看Envoy sidecar
的状态。 - 改进了
Pilot
的功能,当无需修改时,即可跳过向Envoy
发送冗余配置的操作。 - 改进了
headless
服务,以避免与同一端口上的不同服务发生冲突。 - 禁用了 默认的 circuit breakers。
- 更新了 正则表达式引擎为
re2
。有关详细信息,请参阅升级说明。
安全
- 新增了
v1beta1
authorization policy model 用于执行访问控制。最终将取代v1alpha1
RBAC policy。 - 新增了 automatic mutual TLS 的实验性支持,以启用
mutual TLS
,而无需配置目标规则。 - 新增了 对 authorization policy trust domain migration 的实验性支持。
- 新增了 实验性的 DNS certificate management 以安全地配置和管理
Kubernetes CA
签名的DNS
证书。 - 改进了
Citadel
,以在自签名CA
模式下运行时定期检查和更换过期的根证书。 - 更新了 JWT 身份验证,将以空格分隔的声明视为声明列表。
遥测
- 新增了 在 Stackdriver 中的实验性的代理遥测报告。
- 改进了 对
HTTP
服务指标监控的代理Prometheus
,(从实验到alpha
)。 - 改进了 遥测收集功能,用于阻止和传递外部流量。
- 新增了 为
Envoy
静态模式配置的选项。 - 新增了
inbound
和outbound
对Envoy HTTP stats
特定通信方向的描述。 - 改进了 对通过出口网关流量的遥测报告。
配置管理
- 新增了 多个验证和检查在
istioctl analyze
子命令中。 - 新增了 实验性选项,以启用
Istio
resource statuses 的验证消息。 - 新增了 对自定义资源 (
CRDs
) 的OpenAPI v3
模式验证,有关详细信息,请参阅升级说明。 - 新增了 client-go 存储库来访问
Istio APIs
。
安装
- 新增了 对
Istio
动态安装更新的实验性 operator controller。 - 移除了
proxy_init
镜像,istio-init
容器重新使用proxyv2
镜像。 - 更新了 基础镜像为
ubuntu:bionic
。
istioctl
- 新增了 子命令
istioctl proxy-config logs
,检索和更新Envoy
日志记录级别。 - 更新了 子命令
istioctl authn tls-check
,以显示正在使用的策略。 - 新增了 实验性子命令
istioctl experimental wait
,以使Istio
等待,直到它已将配置推送到所有的Envoy sidecars
。 - 新增了 实验性子命令
istioctl experimental multicluster
,以帮助跨集群管理Istio
。 - 新增了 实验性子命令
istioctl experimental post-install webhook
去安全配管 webhook。 - 新增了 实验性子命令
istioctl experimental upgrade
去执行Istio
的升级。 - 改进了 子命令
istioctl version
,它现在显示的是Envoy proxy
的版本。