转载

Istio 1.5 发布,大型微服务系统管理工具

Istio 1.5 发布了。Istio 是一个由谷歌、IBM 与 Lyft 共同开发的开源项目,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。具体来说,Istio 是一个开源服务网格平台,它确保微服务在处理故障时以指定的方式相互连接。

新版本主要更新内容包括:

引入 Istiod

通过将控制平面整合为一个新的二进制文件 Istiod, 1.5 版本极大地简化了安装、运行和升级 Istio 的体验。对于 mesh 用户,Istiod 不会改变他们的任何体验:所有 API 和运行时特性均与以前的组件一致。

可扩展性的新模型

Istio 一直是最可扩展的服务网格,其 Mixer 插件允许自定义策略和遥测支持,而 Envoy 扩展则允许数据平面自定义。Istio 1.5 带来了了一个新模型,该模型使用 WebAssembly(Wasm)将 Istio 的可扩展性模型与 Envoy 的统一。Wasm 使开发人员能够安全地在 Envoy 代理中分发和执行代码,以便与遥测系统和策略系统集成,并控制路由,甚至转换消息正文。它将更加灵活和高效,从而无需单独运行 Mixer 组件(这也简化了部署)。

更容易使用

现在,使用 istioctl 的 Istio 命令行安装已进入 beta 阶段。istioctl 也有十几项改进,包括分析新项目、更好的验证规则,以及更好的与 CI 系统集成的能力等。它已经成为了解 Istio 的系统运行状态并确保配置更改安全的必要工具。

Istio 的安全性也得到了许多增强,更易于使用。Beta 版自动 mTLS 的启动,简化了 mTLS 的配置并使其自动化。

更安全

在 1.5 版中,所有安全策略,包括自动 mTLS、AuthenticationPolicy(对等身份验证和 RequestAuthentication)和授权现在都处于 Beta 版。SDS 已经处于稳定版。授权(Authorization)现在支持“拒绝”语义,以强制执行不可覆盖的强制性控件。此外,Node 代理和 Istio 代理已组合到一个二进制文件中,这意味着不再需要配置 PodSecurityPolicy。

改进不止于此。现在不再需要在每个 Pod 上安装证书,也不必在证书更改时重新启动 Envoy。证书直接从 Istiod 交付到每个 pod。而且,每个 pod 都有唯一的证书。

更好的可观察性

Telemetry v2 现在报告了原始 TCP 连接(除了 HTTP)的度量标准,并且还通过在遥测和日志中添加响应状态代码来增强了对 gRPC 工作负载的支持。现在默认使用 Telemetry v2。新的遥测系统将等待时间缩短了一半,90% 的等待时间从 7 毫秒减少到 3.3 毫秒。不仅如此,消除 Mixer 还使总 CPU 消耗减少了 50%,降至每秒每 1,000 个请求 0.55 个 vCPU。

更新说明: https://istio.io/news/releases/1.5.x/announcing-1.5/

转自 https://www.oschina.net/news/113899/istio-1-5-0-released

原文  http://www.linuxeden.com/a/62851
正文到此结束
Loading...