Istio 1.5 發佈了。Istio 是一個由谷歌、IBM 與 Lyft 共同開發的開源項目,旨在提供一種統一化的微服務連接、安全保障、管理與監控方式。具體來說,Istio 是一個開源服務網格平臺,它確保微服務在處理故障時以指定的方式相互連接。
新版本主要更新內容包括:
一、引入 Istiod
通過將控制平面整合為一個新的二進制文件 Istiod, 1.5 版本極大地簡化了安裝、運行和升級 Istio 的體驗。對於 mesh 用戶,Istiod 不會改變他們的任何體驗:所有 API 和運行時特性均與以前的組件一致。
二、可擴展性的新模型
Istio 一直是最可擴展的服務網格,其 Mixer 插件允許自定義策略和遙測支持,而 Envoy 擴展則允許數據平面自定義。Istio 1.5 帶來了了一個新模型,該模型使用 WebAssembly(Wasm)將 Istio 的可擴展性模型與 Envoy 的統一。Wasm 使開發人員能夠安全地在 Envoy 代理中分發和執行代碼,以便與遙測系統和策略系統集成,並控制路由,甚至轉換消息正文。它將更加靈活和高效,從而無需單獨運行 Mixer 組件(這也簡化了部署)。
三、更容易使用
現在,使用 istioctl 的 Istio 命令行安裝已進入 beta 階段。istioctl 也有十幾項改進,包括分析新項目、更好的驗證規則,以及更好的與 CI 系統集成的能力等。它已經成為了解 Istio 的系統運行狀態並確保配置更改安全的必要工具。
Istio 的安全性也得到了許多增強,更易於使用。Beta 版自動 mTLS 的啟動,簡化了 mTLS 的配置並使其自動化。
四、更安全
在 1.5 版中,所有安全策略,包括自動 mTLS、AuthenticationPolicy(對等身份驗證和 RequestAuthentication)和授權現在都處於 Beta 版。SDS 已經處於穩定版。授權(Authorization)現在支持“拒絕”語義,以強制執行不可覆蓋的強制性控件。此外,Node 代理和 Istio 代理已組合到一個二進制文件中,這意味著不再需要配置 PodSecurityPolicy。
改進不止於此。現在不再需要在每個 Pod 上安裝證書,也不必在證書更改時重新啟動 Envoy。證書直接從 Istiod 交付到每個 pod。而且,每個 pod 都有唯一的證書。
五、更好的可觀察性
Telemetry v2 現在報告了原始 TCP 連接(除了 HTTP)的度量標準,並且還通過在遙測和日誌中添加響應狀態代碼來增強了對 gRPC 工作負載的支持。現在默認使用 Telemetry v2。新的遙測系統將等待時間縮短了一半,90% 的等待時間從 7 毫秒減少到 3.3 毫秒。不僅如此,消除 Mixer 還使總 CPU 消耗減少了 50%,降至每秒每 1,000 個請求 0.55 個 vCPU。
更新說明: https://istio.io/news/releases/1.5.x/announcing-1.5/
閱讀更多 IT實戰聯盟 的文章
