315 · Istio1.1 功能预告，真的假不了

Istio 1.0版本发布到现在，已经过去8个月。Istio1.1的候选版本也到了rc5，预计近期会正式发布1.1。此版本包含了许多错误修复，在流量管理，安全，策略和遥测，多集群等领域添加了新的功能。

对1.0的用户来说，感受最强烈的是：

1. 默认关闭了策略执行功能

2. 默认开启了Mesh外的访问，再也不用担心未配置ServiceEntry对外的访问突然不通了。

3. 多集群不再只是1.0那种扁平网络的简单方案，提供了单控制面、多控制面几种方案，可以根据自己的场景需求选择。

4. 安全上SDS也终于来了提供更灵活的安全基础能力。

5. 性能上做了多点优化，总体表现值得期待。

另外1.1提供了很多新的能力，在配置使用上也会有所不同，虽然不至于像0.8到1.0引入V1alph3导致接口大变样那么夸张，但API的使用确实值得我们去注意。最直观的感受将是，原来的结构上字段突然多了很多。

Istio社区对1.1发布的初步文档已经在istio.io上提供，今天我们就率先为容器魔方粉丝献上中文版的功能预告

流量管理

新的sidecar：资源：在指定命名空间中使用sidecar资源时，支持定义可访问的服务范围，这样可以降低发给proxy的配置数量。在大规模的集群中，我们推荐给每个namespace增加sidecar对象。 这个功能主要是为了提升性能，减轻proxy计算的负担。

限制网络资源的生效范围：为所有的网络资源增加了exportTo的字段，用来表示此网络资源在哪些namespace中生效。这个字段目前只有两个值：

• . 表示此网络资源只在自己定义的namespace生效；

• *表示此网络资源在所有的namespace生效。

更新了serviceEntry的资源：指定服务的位置以及使用双向TLS关联的SAN。带HTTPS端口的service entry不再需要额外的virtualservice来开启基于SNI的路由。

细粒度的多集群路由：简化了多集群的安装，并支持额外部署模式，能够利用ingress gateways连接多个集群，而不使用pod级别的VPN。在每个集群中都部署控制面以提供高可用，跨集群创建全局的命名空间。在高可用控制面方案中，默认开启AZ/Region的区域感知能力，降低跨区请求造成的性能损耗。

弃用Istio Ingress：删除了以前弃用的Istio ingress。

安全

Readiness and Liveness 探针：在双向TLS启用的场景下支持Kubernetes HTTP readiness和liveness探针。

集群RBAC配置：使用ClusterRbacConfig资源对象替代原来的RbacConfig。ClusterRbacConfig支持集群范围的配置。

基于SDS的身份设置：On-node秘钥生成和动态证书替换不用重启Envoy。

TCP授权管理：除了HTTP和gRPC外，支持对TCP服务的授权管理。

最终用户组授权管理：支持JWT中组声明或者列表类型的声明。

每路径最终用户认证：可以启用和禁用基于访问路径的JWT认证。

Gateway上外部证书管理：支持动态加载和替换外部证书。

集成Vault PKI：提供Vault保护的秘钥签名并与现有Vault PKI集成。

自定义的可信域：在身份标识中支持特定org或cluster的安全域。

多集群

不可路由的L3网络：在不可路由的L3网络多集群环境中使用一个Istio 控制面。

多控制平面：在多集群环境中，支持安装多个Istio控制平面。

策略和遥测

默认关闭策略检查功能：为了提高多数客户场景下的性能，安装时默认关闭策略检查， 后期可按需开启此功能。

Kiali：弃用ServiceGraph，推荐使用 Kiali：提供了更丰富的可视化体验。

多方面降低开销 ，提升性能和可扩展性：

• 减少Envoy生成的统计数据的默认收集

• 为Mixer的工作负载增加load-shedding功能

• 改进Envoy和Mixer的通信协议

控制请求头和路由：增加选项使适配器可以修改请求头和路由。

进程外适配器：进程外适配器功能生产可用，下个release弃用进程内适配器。

多方面增强Tracing的能力：

• Trace id支持128bit的范围

• 支持向LightStep发送追踪数据

• 增加选项完全禁用Mixer支持的服务的追踪功能

• 增加策略的decision-aware 追踪

默认的TCP指标：为追踪TCP连接增加默认指标。

配置管理

Galley：Galley在Istio中提供主要的配置管理和分发机制。它提供了一个健全的模型来验证，转换和分发配置状态到Istio各组件，使Istio组件与Kubernetes的细节隔离。Galley使用Mesh Configuration Protocol（MCP）和组件交互。

监控端口：Galley的默认监控端口从9093改为15014。

istioctl和kubectl

校验命令：为 Istio Kubernetes 的资源增加离线校验命令—— istioctl validate。

验证安装命令：在使用指定的YAML文件安装Istio前，可以用istioctl experimental verify-install 来预先检验Istio的安装状态。

弃用的命令：弃用 istioctl create，istioctl replace， istioctl get 和 istioctl delete，使用 kubectl 代替；弃用 istioctl gen-deploy，使用helm template代替。下个版本（1.2）将删除这些命令。

命令的缩写： 用kubectl操作Istio网络资源时可以使用缩写，例如: gateways简写为gw，virtualservice简写为vs等等。

升级

Istio Helm 配置的更改：

• 默认关闭Egressgateway

• 默认关闭Mixer policy

• 默认允许所有出口流量（不用配置service entry），出口流量策略设置为ALLOW_ANY

相关服务请访问： https://support.huaweicloud.com/cce/index.html?utm_content=cce_helpcenter_2019

​