istio 1.7发布

最新推荐文章于 2023-03-04 11:02:05 发布
最新推荐文章于 2023-03-04 11:02:05 发布
阅读量626 收藏
点赞数
分类专栏: servicemesh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yevvzi/article/details/108279366
版权

变更说明

涉及以下变更:

流量管理

  • 添加了 values.global.proxy.holdApplicationUntilProxyStarts config选项,它使sidecar注入器在pod容器列表的开始处注入sidecar,并将其配置为阻止所有其他容器的开始,直到代理就绪为止。默认情况下禁用此选项。(#11130)

  • 新增了对用于客户端证书和CA证书的SDS支持,该证书用于使用DestinationRule从Egress Gateway发起的TLS/mTLS(#14039)

安全

  • 改进的信任域验证也可以验证TCP流量,以前仅验证HTTP流量。(#26224)
  • 改进的Istio网关,允许在服务器的TLS模式为ISTIO_MUTUAL时使用基于源主体的授权。(#25818)
  • 改进的虚拟机安全性。 VM身份现在从一个短暂的Kubernetes服务帐户令牌中启动。 VM的工作负载证书会自动轮换。(#24554)

遥测

  • 向istio-Agent添加了Prometheus指标。(#22825)
  • 使用istioctl添加了自定义Metrics。(#25963)
  • 向Stackdriver添加了TCP Metrics和访问日志。(#23134)
  • istioctl已弃用遥测插件。 默认情况下将禁用这些功能,并且在将来的版本中将其完全删除。(#22762)
  • 默认情况下,已启用Prometheus Metric合并。(#21366)
  • 修复了合并的Prometheus指标不会在应用程序故障期间删除Envoy指标的。(#22825)
  • 修复了无法解释的遥测会影响Kiali图。 此修复程序将默认出站协议嗅探超时增加到5s,这对像mysql这样的服务器优先协议产生了影响。(#24379)
  • 删除了不准确的pilot_xds_eds_instances和pilot_xds_eds_all_locality_endpoints Istiod指标。(#25154)

安装

  • 向版本中添加了用于在VM上运行Istio sidecar的RPM软件包。 9117)
  • 增加了对单个群集和多个群集的实验性中央Istiod支持
    修复了阻止NodePort服务用作meshNetworks中的RegistryServiceName的。
  • 改进的网关部署,默认情况下以非root用户身份运行。(#23379)
  • 改进了operator默认情况下以非root用户身份运行的功能。(#24960)
  • 通过指定严格的安全上下文来改进operator。(#24963)
  • 改进了Istiod,默认情况下以非root用户身份运行。(#24961)
  • 改进的Kubernetes strategic merge用于覆盖IstioOperator用户文件,从而改善了列出/处理的方式。(#24432)
  • 将CRD和Webhook版本升级到v1。(#18771),(#18838)

istioctl

  • 为非Kubernetes工作负载添加了Allow proxy-status 命令,并通过–file参数传递了代理配置。
  • 添加了一个配置文件以保存istioctl默认标志。可以使用环境变量ISTIOCONFIG更改其默认位置($HOME/.istioctl/config.yaml)。新命令istioctl实验性配置列表显示了默认标志。(#23868)
  • 为istioctl operator init和istioctl operator remove命令添加了–revision标志,以支持多控制平面升级。(#23479)
  • 添加了istioctl x uninstall命令以卸载Istio控制平面。(#24360)
  • 改进的istioctl analyze可警告是否存在已弃用的混合器资源(#24471)
  • 改进的istioctl analyze可警告DestinationRule是否未使用CaCertificates验证服务器身份。
  • 改进的istioctl validate以检查资源中的未知字段。(#24861)
  • 改进的istioctl install,在尝试以不支持的旧Kubernetes版本安装Istio时发出警告。(#26141)
  • 删除的istioctl manifest apply。更简单的install命令将替换清单应用。(#25737)

升级说明

从Istio 1.6.x升级到Istio 1.7.x时,需要考虑以下更改。这些说明详细说明了有意破坏与Istio 1.6.x的向后兼容性的更改。这些说明还提到了在引入新行为时保留向后兼容性的更改。仅当新行为对Istio 1.6.x的用户而言是意外的时,才包括更改。

需要Kubernetes 1.16+

现在需要安装Kubernetes 1.16+。

安装

  • istioctl manifest apply已删除,请istioctl install改用。
  • istioctl不建议安装遥测插件,请使用这些插件集成说明。

网关以非root用户身份运行

默认情况下,网关现在将在没有root权限的情况下运行。结果,它们将不再能够绑定到1024以下的端口。默认情况下,我们将绑定到有效端口。但是,如果要在网关上明确声明端口,则可能需要修改installation。例如,如果您以前有以下配置:

ingressGateways:
- name: istio-ingressgateway
  enabled: true
  k8s:
    service:
      ports:
        - port: 15021
          targetPort: 15021
          name: status-port
        - port: 80
          name: http2
        - port: 443
          name: https

应该更改它以指定targetPort可以绑定到的有效对象:

ingressGateways:
- name: istio-ingressgateway
  enabled: true
  k8s:
    service:
      ports:
        - port: 15021
          targetPort: 15021
          name: status-port
        - port: 80
          name: http2
          targetPort: 8080
        - port: 443
          name: https
          targetPort: 8443

注意:targetPort仅修改网关绑定到的端口。客户端仍将连接到由port(通常为80和443)定义的端口,因此此更改应该是透明的。

如果您需要以root用户身份运行,可以使用此选项启用--set values.gateways.istio-ingressgateway.runAsRoot=true

rocsdu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Istio 1.7 版本有哪些新内容?虚拟机身份、简化版证书管理等更多功能!
ServiceMesher
10-29 219
Istio 1.7 版本由于其专注于将服务网格扩展到基于虚拟机的云环境而备受期待。作者:Shriram Rajagopalan、Cynthia Coan、Tia Louden2020 年...
专访 Christian Posta:Istio 1.7 将成为生产可用的最稳定版本
阿里云技术
08-20 287
2017 年,Istio 发布了 0.1 release 版本之后,其优雅的架构设计就获得了大家的认可。随着版本迭代,有开发者吐槽 Istio 太复杂。于是,Istio 1.5 版本推翻了之前的架构设计,提出了“回归单体”的架构设计,1.6 版本的 Release note 更是在开篇就表明了要将极简主义进行到底。 Istio 1.5 和 1.6 版本的架构设计变化引发了众多开发者的讨论,大家都很关心 Istio 架构简化将会走向何方?即将推出的 1.7 版本又会有哪些惊喜?万众期待的 Envoy 与..
istio 1.1.7 安装
誓言
06-06 1486
控制层面组件 Pilot:负责将调度的配置下发到各svc endpoint后pod中注入的Envoys Mixer:负责流量策略等统一调度 Envroys:将envroys proxy容器,以sidecar的方式注入到svc后端的pod中,与控制层面组件交互。 下载 https://github.com/istio/istio/releases/download/1.1.7/istio-1.1...
Istio Sidecar启动顺序 - 导致的应用容器网络不通
最新发布
罗小爬的技术宝书
03-04 871
本文主要记录了在Istio环境使用Spring Cloud K8S读取ConfigMap导致的网络异常及调整Istio Sidecar启动顺序的解决方案。
Istio-PilotAgent源码分析
a1023934860的博客
07-29 997
至此agnet流程分析结束,本文还有主要分析了证书的使用,对于status判断,审计,日志等没有进行分析.本文感觉agent的配置有些混乱有些用法重复.可能有同学观察到,SDSserver中有xdsserver,它与xdsproxy有什么不一样的地方嘛?...
mqttfx1.7测试工具
07-04
MQTTFX1.7是一款基于Java开发的MQTT协议测试工具,它允许用户模拟设备并进行MQTT连接、发布、订阅等操作,对MQTT服务端进行功能测试和性能验证。 标题中的"mqttfx1.7测试工具"指的就是这个软件版本,它是MQTTFX系列...
java jdk 1.7官网免安装版本
10-25
这个版本的JDK在2012年发布,引入了许多新特性,提升了性能,并优化了开发者的工作流程。 1. **Java SE 7新特性** - **多线程处理增强**:Java 7增加了Fork/Join框架,用于高效处理大规模并行计算任务。 - **动态...
JDK 1.7压缩包.zip
05-28
**JDK 1.7详解** Java Development Kit(JDK)是Oracle公司提供的用于开发和运行Java应用程序的软件工具包。JDK 1.7,也称为Java SE 7(Java Standard Edition 7),是Java语言的一个重要版本,它包含了编译器、...
jdk1.7-linux
09-14
"jdk1.7-linux" 指的是Oracle公司发布的针对Linux操作系统的JDK 1.7版本,也称为Java 7。这个版本在2011年发布,引入了许多新特性,对Java生态系统产生了深远影响。 **1. JDK 1.7的主要特性:** - **钻石操作符**:...
jQuery1.7 中文手册
07-10
《jQuery1.7 中文手册》是一份详细记录jQuery 1.7版本特性和功能的文档,对于深入了解和高效使用jQuery这一广泛应用于Web开发的JavaScript库具有重要价值。jQuery库以其简洁的API、强大的选择器和丰富的插件系统,极...
控制pod内container执行顺序的几种姿势
yevvzi的博客
08-28 2886
介绍 在使用k8s的过程中在特定场景可能需要控制pod的执行顺序,接下来我们将学习各个开源组件的实现方式 istio中的实现 今天在测试istio新功能时注意到istio中添加了values.global.proxy.holdApplicationUntilProxyStarts,使sidecar注入器在pod容器列表的开始处注入sidecar,并将其配置为阻止所有其他容器的开始,直到代理就绪为止。 在查看代码后发现对istio-proxy容器注入了以下内容。 lifecycle:
Istio 1.4 部署指南
云原生实验室
12-23 1794
Istio 一直处于快速迭代更新的过程中,它的部署方法也在不断更新,之前我在 1.0 版本中介绍的安装方法,对于最新的 1.4 版本已经不适用了。以后主流的部署方式都是用 istioctl 进行部署,helm 可以渐渐靠边站了~~ 在部署 Istio 之前,首先需要确保 Kubernetes 集群(kubernetes 版本建议在 1.13 以上)已部署并配置好本地的 kubectl 客户端。 1...
istio部分问题定位及问题记录
qq_42747099的博客
02-20 2633
istio问题定位分析 服务调用异常 一、定位到异常服务 多服务调用链的问题定位。单服务的调用出现问题可直接查看网关或服务的日志确定具体问题。 获取链路ID或traceId 通过ID查询到发生异常调用的服务 二、分析响应状态或日志 1、查看服务状态(运行状态、可读探针、存活探针) 2. 查看该请求的response_code(状态码)和response_flags(响应标识) 1. response_flags为"-":常表现为TCP请求或程序异常 2. response_flags为特定标识:可对
【杭研大咖说】Istio进入1.7版本,Service Mesh 落地还有什么障碍?
NetEaseResearch的博客
09-10 5314
作者 | 冯常健 编辑 | 田晓旭 首发 | 架构头条 2017 年,Google 联合 IBM、Lyft 推出了 Istio,因为有 K8s 的成功经验在先,Istio 一出生就引人注目,其受到的关注度甚至远超最早提出服务网格概念的 Linkerd。只要有关注度,就有溢价存在,业界为 Istio 买账更像是买一种预期,认为 Istio 能像 K8s 一样,快速成为服务网格领域的事实标准。 当然,除了独特的出身优势,Istio 自身也品质过硬,有着非常漂亮的架构设计,着重解决了微服务间通信的连接、保
yum 安装 nginx 初始的 配置代码
雪夜里的孤狼
11-01 553
nginx yum安装后默认的 nginx.conf 配置内容,作为备忘
Istio安装与使用
Blue summer的博客
06-06 2569
Istio是Service Mesh模式的一种实现,多用于微服务的治理。Kubernetes能够覆盖服务的部署、升级、扩容等运行管理能力,但对于服务治理,如服务的熔断、限流、动态路由、调用链追踪就无能为力。因此Istio就能和Kubernetes互补,成为微服务管理的最佳实践之一。Istio的核心思想就是将服务治理的功能从业务服务中独立出来,作为一个sidecar容器,解耦的同时也能够兼容不同语言,无需和业务服务使用同一套语言。公共的治理能力独立后,所有组件都可以接入...
Istio 最新版1.7.6版本安装及问题
huange7的博客
12-25 2613
这里写自定义目录标题一、环境准备二、安装步骤三、结果查看四、安装结果 本文采用k8s进行安装,其他安装方式请查看官网 一、环境准备 github下载安装包 下载地址:istio安装地址 二、安装步骤 解压缩 tar -zxf istio-1.7.6-linux.amd64.tar.gz 配置istioctl环境 export PATH=$PWD/bin:$PATH 或者将istioctl移动到/usr/local/bin 如:mv bin/istioctl /usr/local/bin
istioctlistio生成的envoy xds配置(一)
weixin_42574058的博客
09-09 918
首先理解envoy配置需要理解listener,router,cluster,endpoint这些概念,对应lds,rds,cds,eds统称xds。本文使用istio自带的bookinfo sample来展示底层envoy具体的配置情况。
istio-0.8 服务超时配置
weixin_33830216的博客
07-18 216
2019独角兽企业重金招聘Python工程师标准>>> ...
Adobe PDF 1.7规范详解
PDF(Portable Document Format)1.7版本是Adobe Systems Incorporated在2006年发布的第六版PDF规范。这个版本的PDF格式详细定义了如何创建、展示和交换跨平台的文档,确保文档的外观和内容在不同的设备和操作系统上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值