315 · Istio1.1 功能预告,真的假不了

Istio 1.0版本发布到现在,已经过去8个月。Istio1.1的候选版本也到了rc5,预计近期会正式发布1.1。此版本包含了许多错误修复,在流量管理,安全,策略和遥测,多集群等领域添加了新的功能。

对1.0的用户来说,感受最强烈的是:

  • 默认关闭了策略执行功能
  • 默认开启了Mesh外的访问,再也不用担心未配置ServiceEntry对外的访问突然不通了。
  • 多集群不再只是1.0那种扁平网络的简单方案,提供了单控制面、多控制面几种方案,可以根据自己的场景需求选择。
  • 安全上SDS也终于来了提供更灵活的安全基础能力。
  • 性能上做了多点优化,总体表现值得期待。

另外1.1提供了很多新的能力,在配置使用上也会有所不同,虽然不至于像0.8到1.0引入V1alph3导致接口大变样那么夸张,但API的使用确实值得我们去注意。最直观的感受将是,原来的结构上字段突然多了很多。

Istio社区对1.1发布的初步文档已经在istio.io上提供,今天我们就率先为容器魔方粉丝献上中文版的功能预告

流量管理

新的sidecar:资源:在指定命名空间中使用sidecar资源时,支持定义可访问的服务范围,这样可以降低发给proxy的配置数量。在大规模的集群中,我们推荐给每个namespace增加sidecar对象。 这个功能主要是为了提升性能,减轻proxy计算的负担。

限制网络资源的生效范围:为所有的网络资源增加了exportTo的字段,用来表示此网络资源在哪些namespace中生效。这个字段目前只有两个值:

  • . 表示此网络资源只在自己定义的namespace生效;
  • *表示此网络资源在所有的namespace生效。

更新了serviceEntry的资源:指定服务的位置以及使用双向TLS关联的SAN。带HTTPS端口的service entry不再需要额外的virtualservice来开启基于SNI的路由。

细粒度的多集群路由:简化了多集群的安装,并支持额外部署模式,能够利用ingress gateways连接多个集群,而不使用pod级别的×××。在每个集群中都部署控制面以提供高可用,跨集群创建全局的命名空间。在高可用控制面方案中,默认开启AZ/Region的区域感知能力,降低跨区请求造成的性能损耗。

弃用Istio Ingress:删除了以前弃用的Istio ingress。

安全

Readiness and Liveness 探针:在双向TLS启用的场景下支持Kubernetes HTTP readiness和liveness探针。

集群RBAC配置:使用ClusterRbacConfig资源对象替代原来的RbacConfig。ClusterRbacConfig支持集群范围的配置。

基于SDS的身份设置:On-node秘钥生成和动态证书替换不用重启Envoy。

TCP授权管理:除了HTTP和gRPC外,支持对TCP服务的授权管理。

最终用户组授权管理:支持JWT中组声明或者列表类型的声明。

每路径最终用户认证:可以启用和禁用基于访问路径的JWT认证。

Gateway上外部证书管理:支持动态加载和替换外部证书。

集成Vault PKI:提供Vault保护的秘钥签名并与现有Vault PKI集成。

自定义的可信域:在身份标识中支持特定org或cluster的安全域。

多集群

不可路由的L3网络:在不可路由的L3网络多集群环境中使用一个Istio 控制面。

多控制平面:在多集群环境中,支持安装多个Istio控制平面。

策略和遥测

默认关闭策略检查功能:为了提高多数客户场景下的性能,安装时默认关闭策略检查, 后期可按需开启此功能。

Kiali:弃用ServiceGraph,推荐使用 Kiali:提供了更丰富的可视化体验。

多方面降低开销 ,提升性能和可扩展性:

减少Envoy生成的统计数据的默认收集

为Mixer的工作负载增加load-shedding功能

改进Envoy和Mixer的通信协议

控制请求头和路由:增加选项使适配器可以修改请求头和路由。

进程外适配器:进程外适配器功能生产可用,下个release弃用进程内适配器。

多方面增强Tracing的能力:

Trace id支持128bit的范围

支持向LightStep发送追踪数据

增加选项完全禁用Mixer支持的服务的追踪功能

增加策略的decision-aware 追踪

默认的TCP指标:为追踪TCP连接增加默认指标。

配置管理

Galley:Galley在Istio中提供主要的配置管理和分发机制。它提供了一个健全的模型来验证,转换和分发配置状态到Istio各组件,使Istio组件与Kubernetes的细节隔离。Galley使用Mesh Configuration Protocol(MCP)和组件交互。

监控端口:Galley的默认监控端口从9093改为15014。

istioctl和kubectl

校验命令:为 Istio Kubernetes 的资源增加离线校验命令—— istioctl validate。

验证安装命令:在使用指定的YAML文件安装Istio前,可以用istioctl experimental verify-install 来预先检验Istio的安装状态。

弃用的命令:弃用 istioctl create,istioctl replace, istioctl get 和 istioctl delete,使用 kubectl 代替;弃用 istioctl gen-deploy,使用helm template代替。下个版本(1.2)将删除这些命令。

命令的缩写: 用kubectl操作Istio网络资源时可以使用缩写,例如: gateways简写为gw,virtualservice简写为vs等等。

升级

Istio Helm 配置的更改:

默认关闭Egressgateway

默认关闭Mixer policy

默认允许所有出口流量(不用配置service entry),出口流量策略设置为ALLOW_ANY

相关服务请访问: https://support.huaweicloud.com/cce/index.html?utm_content=cce_helpcenter_2019

原文地址:https://blog.51cto.com/14051317/2364690

时间: 2024-11-05 22:40:10

315 · Istio1.1 功能预告,真的假不了的相关文章

【DevExpress v17.2新功能预告】DevExpress ASP.NET Scheduler新的自适应功能

自适应Web设计可以帮助您解决各种尺寸的屏幕问题,网站的自适应网页设计可帮助您解决用户使用不同大小屏幕显示数据的问题. 在v17.2中,我们最大化了ASP.NET Scheduler的视图和可视化元素,以适应其父容器的宽度.以下ASP.NET Scheduler元素现在支持自适应布局: Agenda View Agenda View现在完全自适应.以下的Agenda View元素将自动调整为当前客户端宽度: "Date Header" column "Appointment

从假图片到假新闻,AI就这样“控制”了我们

在评论某位新蹿红的明星时,围观群众总是习惯性地先从长相上来判定,如"像周润发和梁朝伟的合体"."刘德华和郭富城的合体"等--反正比"黄渤和王宝强的合体"好多了--而上图的这位美女让你想到了哪位明星?是"美国甜心"詹妮弗·安妮斯顿,还是跟贾斯丁·比伯分分合合无数次的赛琳娜·戈麦斯?或者说,即使你认不出来到底是谁,也总觉得她是个名人,应该走过红毯或出现在电影首映式.颁奖典礼上. 但是不好意思,她并不是真实存在的,只是由人工智能系统

IDEA中的替换功能(替换代码中的变量名很好用哦)

刚刚上班不久,这两天正在研究公司项目里面的代码,今天用阿里的插件扫描了一下代码,发现代码中有很多变量的命名,没有遵循驼峰式的命名规则.一开始我一个一个的修改这些变量名,后来无意中用了一下Ctrl+F(搜索功能),后来又无意用了一下替换功能,真的是好用的不行.废话不多,上图. 选中该变量按Ctrl+F,然后点击图中的②按钮,就能选中代码中所有出现的这个变量,然后就可以进行更改了.只需要更改一个,其余的变量就都更改了. 原文地址:https://www.cnblogs.com/zhaoqipengb

功能强大的截图工具snipaste

一直都是用的聊天工具的截图功能,今天突然懒得登录了.想想是否有简单的截图工具 结果一搜索就找到了这个,本来没想有多少功能毕竟只是截截图而已,看到主页介绍眼前一亮.虽然不想复杂化,但是这个功能是真的不错,还耐心的看完了操作手册. 话不多说了,自己点开相关连接了解吧! 官网介绍 https://zh.snipaste.com/ 手册地址 https://docs.snipaste.com/zh-cn/ 下载链接: https://assets.sayori-static.com/snipaste-d

visual_c++外挂教程(详细)

课程分四个大章节 初级篇,中级篇,进阶篇,高级篇 初级篇内容:编写一个完整的,简单的外挂 C++的数据类型:Byte,Word,DWORD,int,float API函数的调mouse_event,GetWindowRect,SetCursorPos,FindWindow,SendMessage) CE5.4工具的使用方法 中级篇内容:调试工具的使用技巧,功能CALL的概念 调试工具OD1.1的使用技巧(如硬件断点,条件断点,内存断点. 常用汇编指令与对应高级语言的转换. 游戏功能CALL概念

5000字创业日记:创业4个月,我到底做了哪些事情

创业满四个月 累.神经衰弱睡不好觉 需要处理的工作细节问题越来越多巨想有分身 产品遇到的瓶颈萦绕心头,每时每刻跟幻灯片儿似的一抬眼就是 想闭会眼睛一堆事等着解决,画了新的产品图恨不得明天就能做好回收用户反馈 5.1过节别人的状态是“耶,过节出去玩”,我的状态是“fuck,又耽误3天时间” 以上是一个没什么背景的.马上而立之年的,创业4个月,收入少,睡眠少,创业前景未知,鸡血用完了空血fighting的北京屌丝创业者的真实生活状态. 今天写这篇文章,算是对这几个月的历程做一个记录,一来为日后回忆起

基于asp.net + easyui框架,一步步学习easyui-datagrid——实现分页和搜索(二)

http://blog.csdn.net/jiuqiyuliang/article/details/19967031 目录: 基于asp.net + easyui框架,一步步学习easyui-datagrid——界面(一) 基于asp.net + easyui框架,一步步学习easyui-datagrid——实现分页和搜索(二) 基于asp.net + easyui框架,一步步学习easyui-datagrid——实现添加.编辑.删除(三) 基于asp.net + easyui框架,一步步学习e

Redis资料汇总专题(转)

原文:Redis资料汇总专题 很多朋友反映,说NoSQLFan上的资料不少,但是要找到自己实用的太难,于是萌生做这样一个专题的想法.通过将不同NoSQL产品从入门到精通的各种资料进行汇总,希望能够让大家更快的找到适合自己的教程或文章进行阅读. 最后更新时间:2013-04-22 1.Redis是什么? 十五分钟介绍 Redis数据结构 Redis系统性介绍 一个很棒的Redis介绍PPT 强烈推荐!非同一般的Redis介绍 Redis之七种武器 锋利的Redis redis 适用场景与实现 [翻

redis资料汇总

redis资源比较零散,引用nosqlfan上的文章,方便大家需要时翻阅.大家看完所有的,如果整理出文章的,麻烦知会一下,方便学习. 1.Redis是什么? 十五分钟介绍 Redis数据结构 Redis系统性介绍 一个很棒的Redis介绍PPT 强烈推荐!非同一般的Redis介绍 Redis之七种武器 锋利的Redis redis 适用场景与实现 [翻译]Redis协议 2.Redis内部实现 Redis源码分析系列文章 Redis运行流程源码解析 Redis 2.6 Lua 脚本功能实现分析