From 8d073be96dc05a8a27f22453b5847df760a3b9df Mon Sep 17 00:00:00 2001 From: Wilson Wu Date: Thu, 6 Nov 2025 14:20:25 +0800 Subject: [PATCH] Sync 1.28 upgrade notes into Chinese --- content/zh/news/releases/1.28.x/_index.md | 8 ++ .../releases/1.28.x/announcing-1.28/_index.md | 103 ++++++++++++++++++ .../announcing-1.28/upgrade-notes/index.md | 63 +++++++++++ 3 files changed, 174 insertions(+) create mode 100644 content/zh/news/releases/1.28.x/_index.md create mode 100644 content/zh/news/releases/1.28.x/announcing-1.28/_index.md create mode 100644 content/zh/news/releases/1.28.x/announcing-1.28/upgrade-notes/index.md diff --git a/content/zh/news/releases/1.28.x/_index.md b/content/zh/news/releases/1.28.x/_index.md new file mode 100644 index 0000000000000..fccb2e6cb7d9a --- /dev/null +++ b/content/zh/news/releases/1.28.x/_index.md @@ -0,0 +1,8 @@ +--- +title: 1.28.x 版本 +description: 1.28 版本及其相关补丁版本的公告。 +weight: 2 +list_by_publishdate: true +layout: release-grid +decoration: dot +--- diff --git a/content/zh/news/releases/1.28.x/announcing-1.28/_index.md b/content/zh/news/releases/1.28.x/announcing-1.28/_index.md new file mode 100644 index 0000000000000..1f0972c92fb80 --- /dev/null +++ b/content/zh/news/releases/1.28.x/announcing-1.28/_index.md @@ -0,0 +1,103 @@ +--- +title: 发布 Istio 1.28.0 +linktitle: 1.28.0 +subtitle: 大版本更新 +description: Istio 1.28 发布公告。 +publishdate: 2025-11-05 +release: 1.28.0 +aliases: + - /zh/news/announcing-1.28 + - /zh/news/announcing-1.28.0 +--- + +我们很高兴地宣布 Istio 1.28 正式发布。感谢所有贡献者、 +测试人员、用户和爱好者们帮助我们发布 1.28.0 版本! +我们还要感谢本次发布的发布经理:来自微软的 **Gustavo Meira**、 +来自红帽的 **Francisco Herrera** 以及来自微软的 **Darrin Cecil**。 + +{{< relnote >}} + +{{< tip >}} +Istio 1.28.0 已正式支持 Kubernetes 1.29 至 1.34 版本。 +{{< /tip >}} + +## 新特性 {#whats-new} + +### 推理扩展支持 {#inference-extension-support} + +Istio 1.28 通过引入 `InferencePool` v1 继续增强对 Gateway API 推理扩展的支持。 +此增强功能可更好地管理和路由 AI 推理工作负载, +从而更容易在 Kubernetes 上部署和扩展生成式 AI 模型,并实现智能流量管理。 + +`InferencePool` v1 API 为管理推理端点池提供了更高的稳定性和功能, +从而能够为 AI 工作负载实现更复杂的负载均衡和故障转移策略。 + +### Ambient 多集群 {#ambient-multicluster} + +Istio 1.28 为 Ambient 多集群部署带来了显著改进。现在,在环境多集群配置中, +waypoint 可以将流量路由到远程网络,从而扩展了环境功能。 +此增强功能支持异常值检测和其他跨网络请求的 L7 策略,使管理多网络服务网格部署更加便捷。 + +Ambient 多集群功能仍处于 Alpha 测试阶段,存在一些已知问题, +这些问题将在未来的版本中得到解决。如果最近的更改对您的 Ambient 多集群部署产生了负面影响, +可以通过将 `AMBIENT_ENABLE_MULTI_NETWORK_WAYPOINT` 试点环境变量设置为 `false` 来禁用最近的航点行为更改。 + +我们欢迎 Ambient 多集群的早期用户提供反馈和错误报告。 + +### Ambient 模式下的原生 nftables 支持 {#native-nftables-support-in-ambient-mode} + +Istio 1.28 版本在 Ambient 模式下引入了对原生 nftables 的支持。 +这项重大改进允许您使用 nftables 而非 iptables 来管理网络规则, +从而提供更灵活的规则管理方式。要启用 nftables 模式, +请在安装 Istio 时使用 `--set values.global.nativeNftables=true` 参数。 + +这项新增功能完善了 Sidecar 模式下现有的 nftables 支持, +确保 Istio 与现代 Linux 网络框架保持同步。 + +### 双栈支持升级至 Beta 版 {#dual-stack-support-promoted-to-beta} + +在此版本中,Istio 的双栈网络支持已升级为 Beta 版。 +此项改进提供了强大的 IPv4/IPv6 网络功能, +使企业能够在需要同时使用两种 IP 协议版本的现代网络环境中部署 Istio。 + +### 增强安全功能 {#enhanced-security-features} + +此版本包含多项重要的安全改进: + +- **增强的 JWT 身份验证**:改进的 JWT 过滤器配置现在除了支持“scope”和“permission”等默认声明外, + 还支持自定义的空格分隔声明。此增强功能确保使用 `RequestAuthentication` + 资源中的 `spaceDelimitedClaims` 字段正确验证带有自定义声明的 JWT 令牌。 +- **`NetworkPolicy` 支持**:为 istiod 提供可选的 `NetworkPolicy` 部署, + 并启用 `global.networkPolicy.enabled=true`。 +- **增强容器安全性**:支持在 istio-validation 和 istio-proxy 容器中配置 + `seccompProfile`,以提高安全合规性。 +- **Gateway API 安全性**:支持 `FrontendTLSValidation` (GEP-91), + 实现双向 TLS 入口网关配置 +- **改进的证书处理**:优化了根证书解析,能够过滤掉格式错误的证书,而不是直接拒绝整个证书包。 + +### Gateway API 和流量管理增强功能 {#gateway-api-and-traffic-management-enhancements} + +- **`BackendTLSPolicy` v1**:全面支持 Gateway API v1.4,并增强了 TLS 配置选项 +- **`ServiceEntry` 集成**:支持将 `ServiceEntry` 作为 `BackendTLSPolicy` + 中的 `targetRef`,用于外部服务的 TLS 配置 +- **通配符主机支持**:`ServiceEntry` 资源现在支持使用 `DYNAMIC_DNS` + 解析的通配符主机(仅限 HTTP 流量,需要环境模式和路径点) + +### 还有更多精彩内容 {#plus-much-more} + +- **基于角色的安装**:Helm Chart 中新增 `resourceScope` 选项, + 用于命名空间或集群范围的资源管理 +- **改进的负载均衡**:在一致性哈希负载均衡中支持 Cookie 属性, + 并提供 `SameSite`、`Secure` 和 `HttpOnly` 等安全选项 +- **增强的遥测功能**:支持 B3/W3C 双标头传播,以提高追踪互操作性 +- **istioctl 改进**:自动检测默认版本并增强调试功能 + +请参阅完整的[发行说明](change-notes/)了解这些内容及更多信息。 + +## 升级到 1.28 {#upgrading-to-1-28} + +我们期待您分享升级到 Istio 1.28 的体验。 +您可以在我们 [Slack 工作区](https://slack.istio.io/) 的 `#release-1.28` 频道中提供反馈。 + +您想直接为 Istio 做出贡献吗? +查找并加入我们的[工作组](https://github.com/istio/community/blob/master/WORKING-GROUPS.md),帮助我们改进。 diff --git a/content/zh/news/releases/1.28.x/announcing-1.28/upgrade-notes/index.md b/content/zh/news/releases/1.28.x/announcing-1.28/upgrade-notes/index.md new file mode 100644 index 0000000000000..72138edc0a5e9 --- /dev/null +++ b/content/zh/news/releases/1.28.x/announcing-1.28/upgrade-notes/index.md @@ -0,0 +1,63 @@ +--- +title: Istio 1.27 升级说明 +description: 升级到 Istio 1.28.0 时要考虑的重要变更。 +weight: 20 +--- + +当您从 Istio 1.27.x 升级到 Istio 1.28.0 时,您需要考虑本页所述的变更。 +这些说明详述了故意打破 Istio 1.27.x 向后兼容性的一些变更。 +这些说明还提到了在引入新特性的同时保持向后兼容性的一些变更。 +这里仅包含出乎 Istio 1.27.x 用户意料的新特性变更。 + +## 为 Sidecar 容器启用 `seccompProfile` {#enabling-seccompprofile-for-sidecar-containers} + +要为 `istio-validation` 和 `istio-proxy` +容器启用 `RuntimeDefault` 安全计算模式配置文件 +`seccompProfile`,请在 Istio 配置中进行以下设置: + +{{< text yaml >}} +global: + proxy: + seccompProfile: + type: RuntimeDefault +{{< /text >}} + +此项更改通过使用容器运行时提供的默认 `seccompProfile` 来实现更好的安全实践。 + +## InferencePool + +InferencePool API 现已发布至 v1.0.0 版本。 +如果您正在使用之前的不稳定版本,请改用 v1 版本的 InferencePool API 类型。 +请注意,我们已不再支持 alpha 版本和候选发布版本。 + +**如果您是从 v1.0.0-rc.1 版本迁移,**请注意,`inferencePool.spec.endpointPickerRef.portNumber`字段已替换为 `inferencePool.spec.endpointPickerRef.port.number`。 +`inferencePool.spec.endpointPickerRef.port` 字段为非指针类型, +当 `inferencePool.spec.endpointPickerRef.kind` 未设置或为 `Service` 时, +该字段为必填项。端口号 9002 不再被用于推断。 + +## 被设置为 `NONE` 的 ServiceEntry 的 Ambient 数据平面行为变更 {#ambient-data-plane-behavior-changes-for-serviceentries-with-resolution-set-to-none} + +从旧版本升级到支持“PASSTHROUGH”服务的版本时, +旧的 ztunnel 镜像会在 XDS 中报告 NACK,因为它们不支持这种新的服务类型。 +这是预期行为,通常不会造成太大问题,但看到 NACK 可能意味着数据平面行为发生了变化。 +升级过程中,NACK 可能导致以下情况: + +1. 由于数据平面配置无法处理新的服务类型,因此未进行更新。这实际上相当于一次空操作更新。 +1. 该服务是新创建的,数据平面尚未接受其配置。 + 这将导致数据平面表现得如同 ServiceEntry 不存在一样。因此, + ztunnel 无法识别该服务,也无法确定是否需要 waypoint,从而导致直通行为。 + +无论哪种情况,一旦 ztunnel 更新到支持新服务类型的版本,NACK 行为就会得到解决。 + +## `BackendTLSPolicy` Alpha 移除 {#backendtlspolicy-alpha-removal} + +已移除对 `BackendTLSPolicy` v1alpha3 版本的支持。 +目前仅支持 `BackendTLSPolicy` v1 版本。 + +请注意,在此版本之前,除非显式启用 `PILOT_ENABLE_ALPHA_GATEWAY_API=true` 选项, +否则 Istio 会忽略 `BackendTLSPolicy`。由于该策略现在已升级到 `v1` 版本,因此不再需要此设置。 + +## 迁移到新的指标淘汰机制 {#migrate-to-the-new-metric-eviction-mechanism} + +Pilot 环境标志 `METRIC_ROTATION_INTERVAL` 和 `METRIC_GRACEFUL_DELETION_INTERVAL` 已被移除。 +请改用新的统计驱逐 API 和 Pod 注解 `sidecar.istio.io/statsEvictionInterval`。