流量管理
- 改进 通过避免不必要的完全推送 #19305,提高
ServiceEntry
性能。 - 改进 Envoy sidecar 就绪状态探测,可以更加准确地确定就绪状态 #18164。
- 改进 在可能的情况下,通过 xDS 发送部分更新,以增强 Envoy 代理配置更新性能 #18354。
- 新增 可通过目标规则为每个目标服务配置本地负载均衡设置 #18406。
- 修复 Pod 崩溃会触发过多 Envoy 代理配置推送的问题 #18574。
- 修复 应用程序(如 headless 服务)无需通过 Envoy 代理即可直接调用自己的问题 #19308。
- 新增 当使用 Istio CNI 时,支持
iptables
故障检测 #19534。 - 新增 在目标规则中添加
consecutiveGatewayErrors
和 consecutive5xxErrors
作为异常检测选项 #19771。 - 改进
EnvoyFilter
的匹配性能 #19786。 - 新增
HTTP_PROXY
协议支持 #19919。 - 改进
iptables
默认设置使用 iptables-restore
#18847。 - 改进 通过过滤未使用的集群,提高网关性能。默认情况下禁用该设置 #20124。
安全
- 毕业 SDS 稳定,并默认启用。它为 Istio Envoy 代理提供身份配置。
- 新增 Beta 身份认证 API。新的 API 将对等体(即双向 TLS)和源(JWT)身份验证分别分离到
PeerAuthentication
和 RequestAuthentication
中。
两个新 API 都是面向工作负载的,在 alpha 版本的 AuthenticationPolicy
中它们是面向服务的。 - 新增 在授权策略中添加拒绝语义。
- 毕业 自动双向 TLS 从 alpha 转到 beta。该特性现在默认启用。
- 改进 通过将 Node Agent 与 Pilot Agent 作为 Istio Agent 合并,并删除跨 Pod UDS,从而提高了 SDS 安全性 ,不再需要用户为 UDS 连接部署 Kubernetes Pod 安全策略。
- 改进 通过在 istiod 中包含证书来改进 Istio。
- 新增
first-party-jwt
在 third-party-jwt
不支持的集群中添加了支持 Kubernetes 作为 CSR 身份验证的后备令牌。 - 新增 支持 Istio CA 和 Kubernetes CA 为控制平面提供证书,可以通过
values.global.pilotCertProvider
进行配置。 - 新增 Istio Agent 为 Prometheus 设置了密钥和证书。
遥测
- 新增 对 v2 版本遥测的 TCP 协议支持。
- 新增 在指标、日志中添加 gRPC 响应状态码。
- 新增 支持 Istio Canonical Service。
- 改进 v2 遥测管道的稳定性。
- 新增 对 v2 遥测中可配置性的 alpha 级支持。
- 新增 对在 Envoy 节点元数据中填充 AWS 平台元数据的支持。
- 改进 用于 Mixer 的 Stackdriver 适配器,以通过可配置的刷新间隔跟踪数据。
- 新增 在 Jaeger 插件中增加了对 headless 收集器服务的支持。
- 修复
kubernetesenv
适配器可为名字中包含点的 Pod 提供适当支持。 - 改进 用于 Mixer 的 Fluentd 适配器,以在导出的时间戳中提供毫秒级支持。
配置管理
Operator
- 替换 将 Alpha
IstioControlPlane
API 替换为新的 IstioOperator
API,以便与现有的 MeshConfig
API 保持一致。 - 新增
istioctl operator init
和 istioctl operator remove
命令。 - 改进 使用缓存
operator#667
提高协调速度。
istioctl
这些信息有用吗?
Thanks for your feedback!