315 · Istio1.1 功能预告,真的假不了
Istio 1.0版本发布到现在,已经过去8个月。Istio1.1的候选版本也到了rc5,预计近期会正式发布1.1。此版本包含了许多错误修复,在流量管理,安全,策略和遥测,多集群等领域添加了新的功能。
对1.0的用户来说,感受最强烈的是:
默认关闭了策略执行功能
默认开启了Mesh外的访问,再也不用担心未配置ServiceEntry对外的访问突然不通了。
多集群不再只是1.0那种扁平网络的简单方案,提供了单控制面、多控制面几种方案,可以根据自己的场景需求选择。
安全上SDS也终于来了提供更灵活的安全基础能力。
性能上做了多点优化,总体表现值得期待。
另外1.1提供了很多新的能力,在配置使用上也会有所不同,虽然不至于像0.8到1.0引入V1alph3导致接口大变样那么夸张,但API的使用确实值得我们去注意。最直观的感受将是,原来的结构上字段突然多了很多。
Istio社区对1.1发布的初步文档已经在istio.io上提供,今天我们就率先为容器魔方粉丝献上中文版的功能预告
流量管理
新的sidecar:资源:在指定命名空间中使用sidecar资源时,支持定义可访问的服务范围,这样可以降低发给proxy的配置数量。在大规模的集群中,我们推荐给每个namespace增加sidecar对象。 这个功能主要是为了提升性能,减轻proxy计算的负担。
限制网络资源的生效范围:为所有的网络资源增加了exportTo的字段,用来表示此网络资源在哪些namespace中生效。这个字段目前只有两个值:
. 表示此网络资源只在自己定义的namespace生效;
*表示此网络资源在所有的namespace生效。
更新了serviceEntry的资源:指定服务的位置以及使用双向TLS关联的SAN。带HTTPS端口的service entry不再需要额外的virtualservice来开启基于SNI的路由。
细粒度的多集群路由:简化了多集群的安装,并支持额外部署模式,能够利用ingress gateways连接多个集群,而不使用pod级别的VPN。在每个集群中都部署控制面以提供高可用,跨集群创建全局的命名空间。在高可用控制面方案中,默认开启AZ/Region的区域感知能力,降低跨区请求造成的性能损耗。
弃用Istio Ingress:删除了以前弃用的Istio ingress。
安全
Readiness and Liveness 探针:在双向TLS启用的场景下支持Kubernetes HTTP readiness和liveness探针。
集群RBAC配置:使用ClusterRbacConfig资源对象替代原来的RbacConfig。ClusterRbacConfig支持集群范围的配置。
基于SDS的身份设置:On-node秘钥生成和动态证书替换不用重启Envoy。
TCP授权管理:除了HTTP和gRPC外,支持对TCP服务的授权管理。
最终用户组授权管理:支持JWT中组声明或者列表类型的声明。
每路径最终用户认证:可以启用和禁用基于访问路径的JWT认证。
Gateway上外部证书管理:支持动态加载和替换外部证书。
集成Vault PKI:提供Vault保护的秘钥签名并与现有Vault PKI集成。
自定义的可信域:在身份标识中支持特定org或cluster的安全域。
多集群
不可路由的L3网络:在不可路由的L3网络多集群环境中使用一个Istio 控制面。
多控制平面:在多集群环境中,支持安装多个Istio控制平面。
策略和遥测
默认关闭策略检查功能:为了提高多数客户场景下的性能,安装时默认关闭策略检查, 后期可按需开启此功能。
Kiali:弃用ServiceGraph,推荐使用 Kiali:提供了更丰富的可视化体验。
多方面降低开销 ,提升性能和可扩展性:
减少Envoy生成的统计数据的默认收集
为Mixer的工作负载增加load-shedding功能
改进Envoy和Mixer的通信协议
控制请求头和路由:增加选项使适配器可以修改请求头和路由。
进程外适配器:进程外适配器功能生产可用,下个release弃用进程内适配器。
多方面增强Tracing的能力:
Trace id支持128bit的范围
支持向LightStep发送追踪数据
增加选项完全禁用Mixer支持的服务的追踪功能
增加策略的decision-aware 追踪
默认的TCP指标:为追踪TCP连接增加默认指标。
配置管理
Galley:Galley在Istio中提供主要的配置管理和分发机制。它提供了一个健全的模型来验证,转换和分发配置状态到Istio各组件,使Istio组件与Kubernetes的细节隔离。Galley使用Mesh Configuration Protocol(MCP)和组件交互。
监控端口:Galley的默认监控端口从9093改为15014。
istioctl和kubectl
校验命令:为 Istio Kubernetes 的资源增加离线校验命令—— istioctl validate。
验证安装命令:在使用指定的YAML文件安装Istio前,可以用istioctl experimental verify-install 来预先检验Istio的安装状态。
弃用的命令:弃用 istioctl create,istioctl replace, istioctl get 和 istioctl delete,使用 kubectl 代替;弃用 istioctl gen-deploy,使用helm template代替。下个版本(1.2)将删除这些命令。
命令的缩写: 用kubectl操作Istio网络资源时可以使用缩写,例如: gateways简写为gw,virtualservice简写为vs等等。
升级
Istio Helm 配置的更改:
默认关闭Egressgateway
默认关闭Mixer policy
默认允许所有出口流量(不用配置service entry),出口流量策略设置为ALLOW_ANY
相关服务请访问: https://support.huaweicloud.com/cce/index.html?utm_content=cce_helpcenter_2019
转载于:https://www.cnblogs.com/CCE-SWR/p/10550224.html
315 · Istio1.1 功能预告,真的假不了相关推荐
- 上线红包功能,真的真的没有你想的这么简单~
---- / BEGIN / ---- 年前玲子负责了自己产品的红包版本功能的大迭代,感触和收获颇深,觉得有必要做一次产品复盘的自我思考. 随着移动支付的发展,微信红包彻底改变了我们的红包文化,互联网 ...
- kakaotalk语音验证码,已读怎么破?KakaoTalk超实用的隐藏功能,真的太好用了!
原标题:已读怎么破?KakaoTalk超实用的隐藏功能,真的太好用了! 韩语菌每天都会发一篇学习文,来看看今天被翻牌的是谁? 你们想看什么,我们就发什么!欢迎留言区评论~ ▼ 카카오톡KakaoTal ...
- 王者荣耀能单独注销一个服务器吗,王者荣耀:“注销账号”功能如果真的上线正式服,你会舍得吗?...
原标题:王者荣耀:"注销账号"功能如果真的上线正式服,你会舍得吗? 王者荣耀这款游戏虽然上线四年的时间,但是这款游戏的人气一直居高不下,虽然有很多玩家卸载好多次,但是有不少玩家还是 ...
- 真的假不了,假的跑不掉
3人小品剧本<真的假不了,假的跑不掉> [日期: 2011-01-11][字体:大 中 小] 3人小品剧本<真的假不了,假的跑不掉> 人物:诈骗男子.应聘甲.应聘乙. 道具:内 ...
- 【DevExpress v17.2新功能预告】增强ASP.NET TreeList
本文主要为大家介绍在下一个主要版本v17.2中,DevExpress ASP.NET TreeList获得的一些重大改进.DevExpress ASP.NET TreeList和GridView控件在 ...
- 苹果手机短信html,苹果手机的短信功能你真的会用吗?这样用更省心哦!
自从即时信息的社交APP如QQ.微信出现之后,很多人对于手机短信的使用频率都在慢慢地减少.原因各种各样,但最重要的原因无非就是觉得能真正解决我们需求的作用越来越小的,这样使用就自然减少了. 虽然使用的 ...
- 运营电商平台系统,功能强大真的很香!
消费者进入到电商系统后,浏览商品到下单结算等一系列的操作都离不开系统功能的支持,从电商平台的管理.运营.推广.营销.转化来看,功能模块作为基础支持,运营者始终认为策略才是核心,但是电商平台系统的功能强 ...
- 好家伙!JDK16 GA 终于发布,内置 Lombok 的功能,真的顶?
就在昨天,JDK16 GA正式发布: 2020/12/10 Rampdown Phase One (fork from main line) 2021/01/14 Rampdown Phase T ...
- html表格筛选排序规则,excel表的排序功能你真的会吗?带你重新认识真正的排序功能...
Excel的排序功能是很有用处的,但是很多朋友不会用.这里就举例一个例子介绍一下这个功能的使用方法.如一张期末成绩分析表,它是随机排列的,我们想把这些学生按英语成绩大小排列,应该怎么做呢? 1.使用E ...
最新文章
- Python学习系列day2-python基础
- aix卸载java,AIX系统学习之--卸载软件错误
- 5月16日 AJAX
- 使用PHP创建SOCKET服务
- Android开发笔记(二十一)横幅轮播页Banner
- 【转】[FPGA博客大赛](updated)在xilinx的FPGA系统中scanf函数的使用
- Another Professor
- 队列,计算机中的排队模型
- 我说CMMI 2.0 之 配置管理
- 单片机音频谱曲软件_基于51单片机音乐播放仿真 乐谱制作软件 音乐资料
- AI-统计学习(11)-改进的迭代算法及拟牛顿法
- 投影向量计算公式的推导
- 超声成像_人工智能如何帮助转变医学超声成像
- 7-9 彩虹瓶 (25 分)(c++)
- 肯塔基大学计算机科学,西肯塔基大学计算机专业
- ORACLE分区表梳理系列(二)- 分区表日常维护及注意事项(红字需要留意)
- 标题: 穷人和富人的12大经典差异!
- 4u机架式服务器性能如何,兼顾成本与性能 4U机架式服务器再曝光
- SCT81620QSTER,升降压电源芯片
- 基于STM32开发板CAN总线通信协议浅析
热门文章
- s1200 博图高速脉冲计数值没有变化_赤峰发泡硅胶板,高速公路橡胶垫橡胶厂-京品吉...
- 准备Java面试?mysql用户远程访问授权
- springboot数据源不正确_SpringBoot整合多数据源的巨坑!!!
- python局域网传输文件_Python+pyftpdlib实现局域网文件互传
- qt designer 插入图片_高清免版权免费图片素材哪里找?
- 网络营销中SEO是最常用的“圈粉”引流方式之一
- 浅析网站URL优化有哪些问题需要注意呢?
- 浅析企业网站页面设计如何才能更吸引用户注意!
- 企业官网营销,网站建设是第一步
- html制作滚动游戏,HTML标签marquee实现滚动效果的简单方法(必看)