变更说明

流量管理

• 改进 通过避免不必要的完全推送 #19305，提高 ServiceEntry 性能。
• 改进 Envoy sidecar 就绪状态探测，可以更加准确地确定就绪状态 #18164。
• 改进 在可能的情况下，通过 xDS 发送部分更新，以增强 Envoy 代理配置更新性能 #18354。
• 新增 可通过目标规则为每个目标服务配置本地负载均衡设置 #18406。
• 修复 Pod 崩溃会触发过多 Envoy 代理配置推送的问题 #18574。
• 修复 应用程序（如 headless 服务）无需通过 Envoy 代理即可直接调用自己的问题 #19308。
• 新增 当使用 Istio CNI 时，支持 iptables 故障检测 #19534。
• 新增 在目标规则中添加 consecutiveGatewayErrors 和 consecutive5xxErrors 作为异常检测选项 #19771。
• 改进 EnvoyFilter 的匹配性能 #19786。
• 新增 HTTP_PROXY 协议支持 #19919。
• 改进 iptables 默认设置使用 iptables-restore#18847。
• 改进 通过过滤未使用的集群，提高网关性能。默认情况下禁用该设置 #20124。

安全

• 毕业 SDS 稳定，并默认启用。它为 Istio Envoy 代理提供身份配置。
• 新增 Beta 身份认证 API。新的 API 将对等体（即双向 TLS）和源（JWT）身份验证分别分离到 PeerAuthentication 和 RequestAuthentication 中。 两个新 API 都是面向工作负载的，在 alpha 版本的 AuthenticationPolicy 中它们是面向服务的。
• 新增 在授权策略中添加拒绝语义。
• 毕业 自动双向 TLS 从 alpha 转到 beta。该特性现在默认启用。
• 改进 通过将 Node Agent 与 Pilot Agent 作为 Istio Agent 合并，并删除跨 Pod UDS，从而提高了 SDS 安全性 ，不再需要用户为 UDS 连接部署 Kubernetes Pod 安全策略。
• 改进 通过在 istiod 中包含证书来改进 Istio。
• 新增 first-party-jwt 在 third-party-jwt 不支持的集群中添加了支持 Kubernetes 作为 CSR 身份验证的后备令牌。
• 新增 支持 Istio CA 和 Kubernetes CA 为控制平面提供证书，可以通过 values.global.pilotCertProvider 进行配置。
• 新增 Istio Agent 为 Prometheus 设置了密钥和证书。

遥测

• 新增 对 v2 版本遥测的 TCP 协议支持。
• 新增 在指标、日志中添加 gRPC 响应状态码。
• 新增 支持 Istio Canonical Service。
• 改进 v2 遥测管道的稳定性。
• 新增 对 v2 遥测中可配置性的 alpha 级支持。
• 新增 对在 Envoy 节点元数据中填充 AWS 平台元数据的支持。
• 改进 用于 Mixer 的 Stackdriver 适配器，以通过可配置的刷新间隔跟踪数据。
• 新增 在 Jaeger 插件中增加了对 headless 收集器服务的支持。
• 修复 kubernetesenv 适配器可为名字中包含点的 Pod 提供适当支持。
• 改进 用于 Mixer 的 Fluentd 适配器，以在导出的时间戳中提供毫秒级支持。

配置管理

Operator

• 替换 将 Alpha IstioControlPlane API 替换为新的 IstioOperator API，以便与现有的 MeshConfig API 保持一致。
• 新增 istioctl operator init 和 istioctl operator remove 命令。
• 改进 使用缓存 operator#667 提高协调速度。

istioctl

• 毕业 Istioctl Analyze。
• 新增 各种分析器：双向 TLS、JWT、ServiceAssociation、Secret、sidecar 镜像、端口名称和不建议使用的分析器。
• 更新 支持更多针对 RequestAuthentication 的验证规则。
• 新增 istioctl analyze 添加新参数 -A|--all-namespaces 以分析整个集群。
• 新增 istioctl analyze 对标准输入流传递的内容进行分析的支持。
• 新增 istioctl analyze -L 打印全部分析变量。
• 新增 功能抑制来自 istioctl analyze 的消息。
• 新增 istioctl analyze 添加结构化格式选项。
• 新增 istioctl analyze 输出中添加指向相关内容的链接。
• 更新 Istio API 在 Istioctl Analyze 中提供的更新注释方法。
• 更新 istioctl analyze 现在可从目录加载文件。
• 更新 istioctl analyze 以尝试将消息与其源文件名关联。
• 更新 istioctl analyze 打印正在分析的命名空间。
• 更新 istioctl analyze 默认情况下分析群集内资源。
• 修复 istioctl analyze 抑制群集级资源消息的错误。
• 新增 istioctl manifest 对多个输入文件的支持。
• 替换 使用 IstioOperator API 替换 IstioControlPlane API。
• 新增 istioctl dashboard 选择器。
• 新增 istioctl manifest --set 支持切片和列表。
• 新增 docker/istioctl Docker 镜像（#19079）。