|
| 1 | +--- |
| 2 | +title: Istio 1.28.0 更新说明 |
| 3 | +linktitle: 1.28.0 |
| 4 | +subtitle: 主要版本 |
| 5 | +description: Istio 1.28.0 更新说明。 |
| 6 | +publishdate: 2025-11-05 |
| 7 | +release: 1.28.0 |
| 8 | +weight: 10 |
| 9 | +aliases: |
| 10 | + - /zh/news/announcing-1.28.0 |
| 11 | +--- |
| 12 | + |
| 13 | +## 流量治理 {#traffic-management} |
| 14 | + |
| 15 | +- **升级** 将 Istio 双栈支持提升至 Beta 版。 |
| 16 | + ([Issue #54127](https://github.com/istio/istio/issues/54127)) |
| 17 | + |
| 18 | +- **更新** 更新了每个套接字事件的最大接受连接数的默认值。现在, |
| 19 | + 对于显式绑定到 Sidecar 端口的入站和出站监听器,默认值为 1。 |
| 20 | + 在连接频繁切换的情况下,未进行 iptables 拦截的监听器将受益于更佳的性能。 |
| 21 | + 要恢复旧的行为,您可以将 `MAX_CONNECTIONS_PER_SOCKET_EVENT_LOOP` 设置为零。 |
| 22 | + |
| 23 | +- **新增** 添加了对一致性哈希负载均衡中 Cookie 属性的支持。 |
| 24 | + 现在您可以指定其他属性,例如 `SameSite`、`Secure` 和 `HttpOnly`。 |
| 25 | + 这使得在负载均衡场景中能够更安全、更合规地处理 Cookie。 |
| 26 | + ([Issue #56468](https://github.com/istio/istio/issues/56468)), |
| 27 | + ([Issue #49870](https://github.com/istio/istio/issues/49870)) |
| 28 | + |
| 29 | +- **新增** 添加了 `DISABLE_SHADOW_HOST_SUFFIX` 环境变量, |
| 30 | + 用于控制镜像策略中的影子主机后缀行为。设置为 `true`(默认值)时, |
| 31 | + 会在镜像请求的主机名中添加影子主机后缀。设置为 `false` 时, |
| 32 | + 则不会添加影子主机后缀。这为从旧版本 Istio 升级的用户提供了向后兼容性, |
| 33 | + 因为旧版本默认通过兼容性配置文件添加影子主机后缀。 |
| 34 | + ([Issue #57530](https://github.com/istio/istio/issues/57530)) |
| 35 | + |
| 36 | +- **新增** 添加了 Gateway API `BackendTLSPolicy` 中的 `sectionName` 支持, |
| 37 | + 以启用端口特定的 TLS 配置。这允许按名称指定服务的特定端口, |
| 38 | + 从而为每个端口启用不同的 TLS 设置。例如, |
| 39 | + 现在您可以仅为服务的 `https` 端口配置 TLS 设置,而其他端口保持不变。 |
| 40 | + |
| 41 | +- **新增** 添加了对 `BackendTLSPolicy` 中 `targetRef` 的 `ServiceEntry` 支持。 |
| 42 | + 这允许用户将 TLS 设置应用于由 `ServiceEntry` 资源定义的外部服务。 |
| 43 | + ([Issue #57521](https://github.com/istio/istio/issues/57521)) |
| 44 | + |
| 45 | +- **新增** 添加了对使用 Istio Ambient 模式时原生 nftables 的支持。 |
| 46 | + 此次更新使得可以使用 nftables 代替 iptables 来管理网络规则。 |
| 47 | + 要启用 nftables 模式,请在安装 Istio 时使用 `--set values.global.nativeNftables=true` 参数。 |
| 48 | + ([Issue #57324](https://github.com/istio/istio/issues/57324)) |
| 49 | + |
| 50 | +- **新增** 添加了对使用 `DYNAMIC_DNS` 解析的 `ServiceEntry` 资源中的通配符主机的支持。 |
| 51 | + 目前仅支持 HTTP 流量。需要 Ambient 模式以及配置为出口网关的 waypoint。 |
| 52 | + ([Issue #54540](https://github.com/istio/istio/issues/54540)) |
| 53 | + |
| 54 | +- **新增** 添加了对 `ProxyConfig.ProxyHeaders` 中 `X-Forwarded` 标头的支持。 |
| 55 | + |
| 56 | +- **启用** 启用了 waypoint,以便在 Ambient 多集群中将流量路由到远程网络。 |
| 57 | + ([Issue #57537](https://github.com/istio/istio/issues/57537)) |
| 58 | + |
| 59 | +- **修复** 修复了 ztunnel 在引用 `Service` 端口名称时无法正确使用 `WorkloadEntry` 端口映射的错误。 |
| 60 | + ([Issue #56251](https://github.com/istio/istio/issues/56251)) |
| 61 | + |
| 62 | +- **修复** 修复了标签监视器将默认版本与默认标签不一致的问题。这会导致 Kubernetes 网关无法编程。 |
| 63 | + ([Issue #56767](https://github.com/istio/istio/issues/56767)) |
| 64 | + |
| 65 | +- **修复** 修复了一个错误,即 `InferencePool` 的影子 `Service` 端口号会以 543210 而不是 54321 开头。 |
| 66 | + ([Issue #57472](https://github.com/istio/istio/issues/57472)) |
| 67 | + |
| 68 | +- **修复** 修复了 Ambient 数据平面无法正确处理解析设置为 `NONE` |
| 69 | + 的 `ServiceEntries` 的问题。此前,该配置会有一个虚拟 IP 地址 (VIP) 但没有端点, |
| 70 | + 从而导致 "no healthy upstream" 错误。现在,这种情况已配置为 `PASSTHROUGH` 服务, |
| 71 | + 这意味着客户端调用的地址将用作后端。 |
| 72 | + ([Issue #57656](https://github.com/istio/istio/issues/57656)) |
| 73 | + |
| 74 | +- **修复** 修复了启用 HTTP/2 升级时 HTTP/2 连接池设置未应用的问题。 |
| 75 | + ([Issue #57583](https://github.com/istio/istio/issues/57583)) |
| 76 | + |
| 77 | +- **修复** 修复了 waypoint 部署,使其使用默认的 Kubernetes |
| 78 | + `terminationGracePeriodSeconds`(30 秒),而不是硬编码的 2 秒。 |
| 79 | + |
| 80 | +- **新增** 添加了对 `InferencePool` v1 的支持。 |
| 81 | + ([Issue #57219](https://github.com/istio/istio/issues/57219)) |
| 82 | + |
| 83 | +- **移除** 移除了对 `InferencePool` Alpha 和候选发布版本的支持。 |
| 84 | + |
| 85 | +## 安全性 {#security} |
| 86 | + |
| 87 | +- **改进** 改进了根证书解析,当某些证书无效时, |
| 88 | + Istio 现在会过滤掉格式错误的证书,而不是拒绝整个证书包。 |
| 89 | + |
| 90 | +- **新增** 在 `ServerTLSSettings` 中添加了 `caCertCredentialName` 字段, |
| 91 | + 用于引用保存 mTLS CA 证书的 `Secret`/`ConfigMap`。有关更多信息, |
| 92 | + 请参阅[用法](/zh/docs/tasks/traffic-management/ingress/secure-ingress/#key-formats)或[参考](/zh/docs/reference/config/networking/gateway/#ServerTLSSettings-ca_cert_credential_name)。 |
| 93 | + ([Issue #43966](https://github.com/istio/istio/issues/43966)) |
| 94 | + |
| 95 | +- **新增** 添加了 istiod 的可选 `NetworkPolicy` 部署。 |
| 96 | + 您可以设置 `global.networkPolicy.enabled=true` 为 istiod 和网关部署默认的 `NetworkPolicy`。 |
| 97 | + 我们计划稍后将其扩展到 istio-cni 和 ztunnel 的 `NetworkPolicy` 部署。 |
| 98 | + ([Issue #56877](https://github.com/istio/api/issues/56877)) |
| 99 | + |
| 100 | +- **新增** 添加了对在 Sidecar 注入模板中的 `istio-validation` |
| 101 | + 和 `istio-proxy` 容器中配置 `seccompProfile` 的支持。 |
| 102 | + 用户现在可以将 `seccompProfile.type` 设置为 `RuntimeDefault` 以增强安全合规性。 |
| 103 | + ([Issue #57004](https://github.com/istio/istio/issues/57004)) |
| 104 | + |
| 105 | +- **新增** 添加了对 Gateway API 中 `FrontendTLSValidation` (GEP-91) 的支持。 |
| 106 | + 有关更多信息,请参阅[用法](/zh/docs/tasks/traffic-management/ingress/secure-ingress/#configure-a-mutual-tls-ingress-gateway)和[参考](https://gateway-api.sigs.k8s.io/reference/spec/#frontendtlsvalidation)。 |
| 107 | + ([Issue #43966](https://github.com/istio/istio/issues/43966)) |
| 108 | + |
| 109 | +- **修复** 修复了 JWT 过滤器配置,使其支持自定义空格分隔声明。 |
| 110 | + JWT 过滤器配置现在除了默认声明(“scope” 和 “permission”)之外, |
| 111 | + 还能正确包含用户指定的自定义空格分隔声明。 |
| 112 | + 这确保 Envoy JWT 过滤器将这些声明视为空格分隔字符串, |
| 113 | + 从而能够正确验证包含这些声明的 JWT 令牌。要设置自定义空格分隔声明, |
| 114 | + 请在 `RequestAuthentication` 资源中的 JWT 规则配置中使用 `spaceDelimitedClaims` 字段。 |
| 115 | + ([Issue #56873](https://github.com/istio/istio/issues/56873)) |
| 116 | + |
| 117 | +- **移除** 移除了使用 MD5 来优化比较。Istio 现在和过去都没有将 MD5 用于加密目的。 |
| 118 | + 此更改仅仅是为了使代码更易于审计,并能在 |
| 119 | + [FIPS 140-3 模式](https://go.dev/doc/security/fips140)下运行。 |
| 120 | + |
| 121 | +## 遥测 {#telemetry} |
| 122 | + |
| 123 | +- **更新** 更新了环境变量 `PILOT_SPAWN_UPSTREAM_SPAN_FOR_GATEWAY` |
| 124 | + 的默认值为 `true`,默认情况下启用网关请求的上游 Span 生成。 |
| 125 | + |
| 126 | +- **新增** 添加了对注解 `sidecar.istio.io/statsFlushInterval` |
| 127 | + 和 `sidecar.istio.io/statsEvictionInterval` 的支持。 |
| 128 | + |
| 129 | +- **新增** 添加了对 Zipkin 的 `TraceContextOption` 配置的支持, |
| 130 | + 以启用 B3/W3C 双标头传播。在 MeshConfig 的 `extensionProviders` 中配置 |
| 131 | + `trace_context_option: USE_B3_WITH_W3C_PROPAGATION`,即可优先提取 B3 标头, |
| 132 | + 回退到 W3C `traceparent` 标头,并将两种标头类型注入上游, |
| 133 | + 以提高追踪互操作性。有关更多信息, |
| 134 | + 请参阅 [Envoy 文档](https://www.envoyproxy.io/docs/envoy/latest/api-v3/config/trace/v3/zipkin.proto#envoy-v3-api-enum-config-trace-v3-zipkinconfig-tracecontextoption)和 |
| 135 | + [`MeshConfig` 参考](/zh/docs/reference/config/istio.mesh.v1alpha1/)和[用法](/zh/docs/tasks/observability/distributed-tracing/)。 |
| 136 | + |
| 137 | +- **移除** 移除了指标过期支持。请改用 Bootstrap 配置中的 `StatsEviction`。 |
| 138 | + |
| 139 | +## 扩展性 {#extensibility} |
| 140 | + |
| 141 | +- **修复** 修复了根命名空间中使用 `targetRef` 且类型为 `GatewayClass`、 |
| 142 | + 组为 `gateway.networking.k8s.io` 的 `EnvoyFilter` 没有正确传播的问题。 |
| 143 | + |
| 144 | +## 安装 {#installation} |
| 145 | + |
| 146 | +- **更新** 更新 istiod Helm Chart,为远程 istiod 安装创建 `EndpointSlice` |
| 147 | + 资源而不是 `Endpoints` 资源,因为从 Kubernetes 1.33 开始,`Endpoints` 已被弃用。 |
| 148 | + ([Issue #57037](https://github.com/istio/istio/issues/57037)) |
| 149 | + |
| 150 | +- **更新** 已将 Kiali 插件更新至 v2.17.0 版本。 |
| 151 | + |
| 152 | +- **新增** 添加了可以完全取消Gateway Chart 中的资源限制或请求的功能。 |
| 153 | + |
| 154 | +- **新增** 添加了对 Helm Chart 基于“角色”安装的支持,该安装基于生成/应用的资源的范围。 |
| 155 | + - 如果没有设置 `resourceScope`,则会安装所有资源。这与用户对 1.27 版本 Chart 的预期行为一致。 |
| 156 | + - 如果将 `resourceScope` 设置为 `namespace`,则只会安装命名空间范围的资源。 |
| 157 | + - 如果将 `resourceScope` 设置为 `cluster`,则只会安装集群范围的资源。这样,Kubernetes 管理员可以管理集群中的资源,而网格管理员可以管理网格中的资源。 |
| 158 | + 对于 ztunnel Chart,`resourceScope` 是一个顶级字段。 |
| 159 | + 对于所有其他 Chart,它是 `global` 下的一个字段。 |
| 160 | + ([Issue #57530](https://github.com/istio/istio/issues/57530)) |
| 161 | + |
| 162 | +- **新增** 添加了对环境变量 `FORCE_IPTABLES_BINARY` 的支持, |
| 163 | + 以覆盖 iptables 后端检测并使用特定的二进制文件。 |
| 164 | + ([Issue #57827](https://github.com/istio/istio/issues/57827)) |
| 165 | + |
| 166 | +- **新增** 已将 `.Values.podLabels` 和 `.Values.daemonSetLabels` 添加到 istio-cni Helm Chart 中。 |
| 167 | + |
| 168 | +- **新增** 添加了 Gateway Chart 中的 `service.clusterIP` 配置, |
| 169 | + 以支持覆盖 `Service` 资源的 `spec.clusterIP` 设置。 |
| 170 | + 这在用户希望为 Gateway 服务设置特定集群 IP 而不是依赖自动分配的情况下非常有用。 |
| 171 | + |
| 172 | +- **新增** 添加了一种使用集群 IP 服务表示修订标签的新方法, |
| 173 | + 旨在停止在 Ambient 模式下使用变更 Webhook。`istioctl tag set <tag> --revision <rev>` |
| 174 | + 命令和 `revisionTags` Helm 值都会使用当前规范创建一个 `MutatingWebhook`, |
| 175 | + 以及一个类似于 istiod `Service` 的 `Service`,但包含 `istio.io/tag` 标签以存储映射关系。 |
| 176 | + |
| 177 | +- **新增** 添加了 `internalTrafficPolicy` 选项, |
| 178 | + 用于 Gateway 服务(例如,当使用网关作为内部应用程序安装 ArgoCD 时需要此选项)。 |
| 179 | + |
| 180 | +- **修复** 修复了默认安装创建的 PDB 阻止 Kubernetes 节点排空的问题。 |
| 181 | + ([Issue #12602](https://github.com/istio/istio/issues/12602)) |
| 182 | + |
| 183 | +- **升级** Gateway API 支持至 v1.4。这引入了对 `BackendTLSPolicy` v1 的支持。 |
| 184 | + |
| 185 | +## istioctl |
| 186 | + |
| 187 | +- **新增** 添加了 `istioctl` 命令默认版本自动检测功能。 |
| 188 | + 当未显式指定 `--revision` 参数时,将自动使用默认版本(由 `istioctl tag set default` 配置)。 |
| 189 | + ([Issue #54518](https://github.com/istio/istio/issues/54518)) |
| 190 | + |
| 191 | +- **新增** 添加了对 `istioctl admin log` 参数同时指定 `--level` 和 `--stack-trace-level` 的支持。 |
| 192 | + ([Issue #57007](https://github.com/istio/istio/issues/57007)) |
| 193 | + |
| 194 | +- **新增** 添加了支持使用 `--proxy-admin-port` 标志为 `istioctl experimental authz`、 |
| 195 | + `istioctl proxystatus`、`istioctl bug-report` 和 `istioctl experimental describe` 指定代理管理端口。 |
| 196 | + |
| 197 | +- **新增** 添加了标志以支持 `istioctl experimental internal-debug` 的列表调试类型。 |
| 198 | + ([Issue #57372](https://github.com/istio/istio/issues/57372)) |
| 199 | + |
| 200 | +- **新增** 添加了对显示 `istioctl ztunnel-config all` 连接信息的支持。 |
| 201 | + |
| 202 | +- **修复** 修复了 IST0173 分析器 (`DestinationRuleSubsetNotSelectPods`) |
| 203 | + 错误地将使用拓扑标签的 `DestinationRule` 子集标记为未选择任何 Pod。 |
0 commit comments