Istio 1.2發佈：版本迭代加快，流量管理與安全加強

Istio 1.2發佈：版本迭代加快，流量管理與安全加強

咱們從Release Notes上看看1.2版本帶來了哪些修改內容：

流量管理

• 加強了多集羣場景的基於位置信息的負載均衡；
• 加強了在 ALLOW_ANY 的模式下Outbound流量策略。對於未知的HTTP/HTTPS主機端口的訪問將會放通，而且Envoy會記錄訪問日誌；
• 支持設置服務的HTTP鏈接空閒超時時間；
• 加強Sidecar的None模式支持；
• 支持Envoy DNS解析頻率配置，減小對DNS服務的壓力；
• Sidecar API升級到API Alpha和運行時Beta；

安全

• Citadel的自簽名根證書的默認時長設置爲10年；
• 經過在PodSpec註解中配置sidecar.istio.io/rewriteAppHTTPProbers: 「true」來配置重寫每負載的Kubernetes Readiness/Liveness HTTP健康檢查；
• 支持PKCS 8類型的私鑰，在Citadel中經過參數–pkcs8-keys啓用；
• 加強JWT公鑰獲取邏輯，提升網絡故障的魯棒性；
• 工做負載證書中的SAN字段設置爲critical，解決某些自定義證書不能驗證Istio證書的問題；
• 支持HTTPS的Readiness/Liveness探針重寫；
• Ingress Gateway上多證書的SNI支持從Alpha升級爲Stable；
• Ingress Gateway上的證書管理從Alpha升級爲Beta；

遙測

• 完整支持基於使用註釋基於Stats前綴，後綴和正則表達式來控制Envoy統計數據生成；
• Prometheus生成的流量從Metric中排除；
• 支持發送調用鏈數據到Datadog；
• 分佈式調用鏈追蹤從Beta升級爲Stable；

策略執行

• 修復基於Mixer的TCP策略執行；
• RBAC受權功能升級到API Alpha，運行時Beta；

配置管理

• 加強了對策略和遙測CRD的校驗；
• 基本配置資源對象的校驗從Alpha升級爲 Beta；

安裝和升級

• 默認Proxy的內存如今((global.proxy.resources.limits.memory)從128Mi提高到1024Mi；
• 增長了控制面組件的Pod反親和和toleration；
• 增長了配置sidecarInjectorWebhook.neverInjectSelector和 sidecarInjectorWebhook.alwaysInjectSelector ，容許用戶基於標籤選擇器進一步優化是否對sidecar自動注入；
• 增長了global.logging.level 和 global.proxy.logLevel配置，分別容許用戶對控制面和數據面進行日誌配置；
• 增長 global.tracer.datadog.address參數，配置Datadog 的地址；
• Adapter和Template的CRD默認不啓用。若是要啓用，須要經過 Use mixer.templates.useTemplateCRDs=true和mixer.adapters.useAdapterCRDs=true來配置；

其餘

• 推薦在將來版本默認使用traffic.sidecar.istio.io/includeInboundPorts這個註解替代以前要求使用在工做負載的yaml中經過containerPort 顯示聲明端口，更好理解；
• 對Kubernetes集羣增長了IPV6的支持；

整體看下來，不一樣於1.1版本Release Notes中大段的特性描述，1.2版本中每一個特性的內容要少的多。大部分都是標記爲Improved 、Graduated 、Fixed性質的特性，很少的Added 也都是些點上的小特性。這也驗證了咱們文前的總結，整體仍是1.1版本的內容，不像1.0到1.1版本升級變化那麼大。

做者：idouba來源：容器魔方