Istio 1.9.1 版本发布说明

半兽人 发表于: 2021-03-05   最后更新时间: 2021-03-05 16:50:06  
{{totalSubscript}} 订阅, 2,002 游览

2021年3月1号

此版本修复了我们在2021年3月1日的新闻中所述的安全漏洞,并修复了一些漏洞以提高健壮性。

这篇发布说明描述了Istio 1.9.0和Istio 1.9.1之间的不同之处。

安全性更新

与Istio 1.9.0一起出厂的Envoy版本中修复了一个零日安全漏洞。该漏洞已于2021年2月26日修复。1.9.0是Istio的唯一一个包含Envoy漏洞的版本。这个漏洞只能在配置错误的系统上被利用。

变更

  • 改进了sidecar注入,自动指定kubectl.kubernetes.io/default-logs-container。这确保了kubectl日志默认为读取应用容器的日志,而不是要求明确设置容器。

  • 改进了sidecar注入器,以更好地利用pod标签来确定是否需要注入。在这个版本中,这个功能默认情况下没有启用,但可以使用--set values.sidecarInjectorWebhook.useLegacySelectors=false进行测试。

  • 更新了 Prometheus 指标,使其在所有场景中默认包含 source_clusterdestination_cluster 标签。此前,这只对多集群方案启用。

  • 更新了默认的访问日志,以包括RESPONSE_CODE_DETAILS和CONNECTION_TERMINATION_DETAILS,代理版本>= 1.9。

  • 更新 Kiali addon 到最新版本 v1.29。

  • 在基础上添加了 enableIstioConfigCRD,允许用户指定是否安装 Istio CRD。

  • 添加了对网格/命名空间级别规则的DestinationRule继承的支持。 使用PILOT_ENABLE_DESTINATION_RULE_INHERITANCE环境变量启用功能。

  • 增加了对通过Sidecar API绑定到其pod IP地址而不是通配符或本地主机地址的应用程序的支持。

  • 添加了标志,以允许捕获到istio-iptables脚本的DNS流量。

  • 在Envoy生成的跟踪范围中添加了规范服务标签。

  • 修复了导致不遵守超时标头x-envoy-upstream-rq-timeout-ms的问题。

  • 修复了访问日志服务导致Istio代理拒绝配置的问题。

  • 修复了导致备选Envoy二进制文件包含在Docker映像中的问题。这些二进制文件在功能上是等效的。

  • 修正了一个TLS v2版本只在HTTP端口上执行的问题。这个选项现在适用于所有端口。

  • 修正了Wasm插件配置更新会导致请求失败的问题。

  • 删除了对通过Mesh配置协议(MCP)读取Istio配置的支持。

更新于 2021-03-05

查看istio更多相关的文章或提一个关于istio的问题,也可以与我们一起分享文章