Istio 1.4 变更说明

流量管理

• 新增了 对 mirroring 百分比的流量支持。
• 改进了 Envoy sidecar。当 Envoy sidecar 崩溃退出时，可以更轻松地查看 Envoy sidecar 的状态。
• 改进了 Pilot 的功能，当无需修改时，即可跳过向 Envoy 发送冗余配置的操作。
• 改进了 headless 服务，以避免与同一端口上的不同服务发生冲突。
• 禁用了 默认的 circuit breakers。
• 更新了 正则表达式引擎为 re2。有关详细信息，请参阅升级说明。

安全

• 新增了 v1beta1 authorization policy model 用于执行访问控制。最终将取代 v1alpha1 RBAC policy。
• 新增了 automatic mutual TLS 的实验性支持，以启用 mutual TLS，而无需配置目标规则。
• 新增了 对 authorization policy trust domain migration 的实验性支持。
• 新增了 实验性的 DNS certificate management 以安全地配置和管理 Kubernetes CA 签名的 DNS 证书。
• 改进了 Citadel ，以在自签名 CA 模式下运行时定期检查和更换过期的根证书。
• 更新了 JWT 身份验证，将以空格分隔的声明视为声明列表。

遥测

• 新增了 在 Stackdriver 中的实验性的代理遥测报告。
• 改进了 对 HTTP 服务指标监控的代理 Prometheus ，(从实验到 alpha)。
• 改进了 遥测收集功能，用于阻止和传递外部流量。
• 新增了 为 Envoy 静态模式配置的选项。
• 新增了 inbound 和 outbound 对 Envoy HTTP stats 特定通信方向的描述。
• 改进了 对通过出口网关流量的遥测报告。

配置管理

• 新增了 多个验证和检查在 istioctl analyze 子命令中。
• 新增了 实验性选项，以启用 Istio resource statuses 的验证消息。
• 新增了 对自定义资源 (CRDs) 的 OpenAPI v3 模式验证，有关详细信息，请参阅升级说明。
• 新增了 client-go 存储库来访问 Istio APIs。

安装

• 新增了 对 Istio 动态安装更新的实验性 operator controller。
• 移除了 proxy_init 镜像，istio-init 容器重新使用 proxyv2 镜像。
• 更新了 基础镜像为 ubuntu:bionic。

istioctl

• 新增了 子命令 istioctl proxy-config logs，检索和更新 Envoy 日志记录级别。
• 更新了 子命令 istioctl authn tls-check，以显示正在使用的策略。
• 新增了 实验性子命令 istioctl experimental wait，以使 Istio 等待，直到它已将配置推送到所有的 Envoy sidecars。
• 新增了 实验性子命令 istioctl experimental multicluster，以帮助跨集群管理 Istio。
• 新增了 实验性子命令 istioctl experimental post-install webhook 去安全配管 webhook。
• 新增了 实验性子命令 istioctl experimental upgrade 去执行 Istio 的升级。
• 改进了 子命令 istioctl version，它现在显示的是 Envoy proxy 的版本。