转载

Istio 1.5 发布，大型微服务系统管理工具

Istio 1.5 发布了。Istio 是一个由谷歌、IBM 与 Lyft 共同开发的开源项目，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。具体来说，Istio 是一个开源服务网格平台，它确保微服务在处理故障时以指定的方式相互连接。

新版本主要更新内容包括：

引入 Istiod

通过将控制平面整合为一个新的二进制文件 Istiod， 1.5 版本极大地简化了安装、运行和升级 Istio 的体验。对于 mesh 用户，Istiod 不会改变他们的任何体验：所有 API 和运行时特性均与以前的组件一致。

可扩展性的新模型

Istio 一直是最可扩展的服务网格，其 Mixer 插件允许自定义策略和遥测支持，而 Envoy 扩展则允许数据平面自定义。Istio 1.5 带来了了一个新模型，该模型使用 WebAssembly（Wasm）将 Istio 的可扩展性模型与 Envoy 的统一。Wasm 使开发人员能够安全地在 Envoy 代理中分发和执行代码，以便与遥测系统和策略系统集成，并控制路由，甚至转换消息正文。它将更加灵活和高效，从而无需单独运行 Mixer 组件（这也简化了部署）。

更容易使用

现在，使用 istioctl 的 Istio 命令行安装已进入 beta 阶段。istioctl 也有十几项改进，包括分析新项目、更好的验证规则，以及更好的与 CI 系统集成的能力等。它已经成为了解 Istio 的系统运行状态并确保配置更改安全的必要工具。

Istio 的安全性也得到了许多增强，更易于使用。Beta 版自动 mTLS 的启动，简化了 mTLS 的配置并使其自动化。

更安全

在 1.5 版中，所有安全策略，包括自动 mTLS、AuthenticationPolicy（对等身份验证和 RequestAuthentication）和授权现在都处于 Beta 版。SDS 已经处于稳定版。授权（Authorization）现在支持“拒绝”语义，以强制执行不可覆盖的强制性控件。此外，Node 代理和 Istio 代理已组合到一个二进制文件中，这意味着不再需要配置 PodSecurityPolicy。

改进不止于此。现在不再需要在每个 Pod 上安装证书，也不必在证书更改时重新启动 Envoy。证书直接从 Istiod 交付到每个 pod。而且，每个 pod 都有唯一的证书。

更好的可观察性

Telemetry v2 现在报告了原始 TCP 连接（除了 HTTP）的度量标准，并且还通过在遥测和日志中添加响应状态代码来增强了对 gRPC 工作负载的支持。现在默认使用 Telemetry v2。新的遥测系统将等待时间缩短了一半，90％的等待时间从 7 毫秒减少到 3.3 毫秒。不仅如此，消除 Mixer 还使总 CPU 消耗减少了 50％，降至每秒每 1,000 个请求 0.55 个 vCPU。

更新说明： https://istio.io/news/releases/1.5.x/announcing-1.5/

转自 https://www.oschina.net/news/113899/istio-1-5-0-released

原文 http://www.linuxeden.com/a/62851

正文到此结束