Istio 1.8正式发布!


我们高兴地宣布,Istio 1.8版本已经正式与大家见面了!

这是我们2020年内发布的第四个、也是最后一个版本。我们要感谢整个Istio团队,特别是IBM公司的Greg Hanson与谷歌公司Pengyuan Bian两位发布经理的重要贡献。

我们将继续按照2020年路线图内提及的方向作为指引,不断提高Istio可用性、安全性与可靠性,并专注于多集群网格以及虚拟机工作负载。总体而言,我们一直专注于bug修复与完善工作,而且这个主题也将延续至2021年。

下面来看1.8版本的几大要点:

Istio的安装与升级

为了将所有关于网格部署与升级的知识纳入软件,我们构建了IstioOperator API外加两种不同的安装方法——istioctl install以及Istio operator。但也有部分用户为其他软件使用的是基于Helm的部署工作流,因此我们在新版本中添加了使用Helm 3安装Istio的支持选项,包括就地升级以及对新控制平面进行金丝雀测试部署。Helm 3支持功能目前仍处于早期测试状态,欢迎大家尝试使用并发表反馈。

面对更为丰富的安装方法选项,大家可以参阅常见问题解答页面,了解哪种安装方法最适合自己的当前用例。

此外,供应商现在还可以提供经过优化的配置文件,借此在其平台上安装Istio。例如,目前在OpenShift上安装Istio的难度已经得到大幅降低!

多集群

如果您非常重视可靠性,则可以运行多套Kubernetes集群。您可能清楚,在多个集群之间网络网格往往需要大量手动工作,而且在运行方式中也有不少选项组合。

在此版本中,我们编写了新的安装指南,旨在降低跨越多个集群时的网格安装难度。具体选项将由各集群是否处于同一网络、以及其中是否需要保留多个控制平面决定。

轻松向网格内添加虚拟机

经过1.7版本对于虚拟机网格端点进行的安全性改进之后,我们在1.8版本中将可用性作为主要关注对象。我们简化了安装流程,现在您可以使用istioctl完成安装。此外,新的智能DNS代理功能还使您可以通过虚拟机解析网格服务,而不必以非安全方式将其指向集群DNS服务器。它还减少了集群DNS流量以及解析服务IP时需要的查找次数。通过自动注册,您可以向虚拟机代理告知工作负载类型,并在加入网格时自动为其创建WorkloadEntry对象。

安全与机密

证书现在通过Istiod被发送至网关,而不再直接由Kubernetes处读取。这就降低了通常暴露在外的网关权限,从而改善了我们的“纵深防御”安全态势。此外,这也为提高性能、减少内存占用以及提升瓬源可扩展性带来了可能。

Istio带有现成的证书颁发机构(CA),但不少用户也希望能够接入现有CA。在之前的版本中,您需要实现Istio CSR API并自行编写第三方集成。在Istio 1.8中,我们引入了一种使用Kubernetes CSR API的新方法,此方法可与任何能够使用此API的工具相集成。Istiod将充当注册机构(RA)角色,负责对工作负载进行身份验证及授权,而后创建、批准并监控CSR资源的更新。接下来,第三方工具(例如cert-manager)即可使用正确的签名程序创建具有适当后端CA的签名证书。此功能目前尚处于试验阶段。

易用性

在每个新版本中,我们的用户体验工作小组正在努力降低Istio的使用门槛。

当发生问题时,我们希望尽可能帮助用户轻松解决。在此版本中,我们引入了istioctl bug-report,此报告将收集调试信息与集群状态,帮助开发人员与供应商支持团队更好地理解问题所在。

istioctl analyze现在可以显示对象未经正确验证的位置以及集群错误。一旦出现错误,它将立即返回错误所在的具体行号。

现在,您可以间接引用Pod,而不再需要使用istioctl dashboard envoy $(kubectl get pods -l app=productpage -o jsonpath="{.items[0].metadata.name}") - now it’s just istioctl dashboard envoy deployment/productpage.

弃用

Istio一直尝试弃用Mixer组件,此项目标也在1.8版本中正式达成。如果您仍然依赖于Mixer的某些功能,请认真查看升级说明。若有必要,您可以继续使用1.7版本以获取Mixer,但我们强烈建议您接受WebAssembly培训!

在过去两个版本中,我们调整了软件包集成插件(例如Prometheus,Zipkin,Jaeger以及Kiali)。但考虑到我们的捆绑版本并不像上游作者提供的版本那么强大,因此我们在1.8中将直接提供上游manifests,而非将软件本身纳入进来。此外,使用istioctl进行插件安装的功能在1.7版本中宣布弃用,到1.8版本中已被彻底移除。

原文链接:Announcing Istio 1.8

0 个评论

要回复文章请先登录注册