Istio 社区周报(第一期):2023.12.11 - 12.17

news2024/12/25 15:21:32

adc672ce300ff9dc6d3de55d4e594faf.gif

e054068f0f246dda6baad621469189d4.jpeg

欢迎来到 Istio 社区周报

Istio 社区朋友们,你们好!

我很高兴呈现第一期 Istio 社区周报。作为 Istio 社区的一员,每周我将为您带来 Istio 的最新发展、有见地的社区讨论、专业提示和重要安全新闻内容。

祝你阅读愉快,并在下一期中与您再见!

社区更新

切换到 GitHub Discussions 进行 Istio 社区问答

Istio 团队宣布了社区互动和问答方式的重大变化。当前的论坛 discuss.istio.io[1] 将于 12 月 20 日前归档,团队将转向 GitHub Discussions[2] 进行未来的互动。这个新平台被设想为用户提问和与社区互动的中心。值得注意的是,在 GitHub 讨论中的贡献将被视为官方的 Istio 贡献,影响着 steering contributor 席位的分配。这是对维护者、供应商和最终用户积极参与这些讨论的号召。

Istio Office Hours 提案

Istio 社区引入了一个新的倡议:"Istio Office Hours"。该提案旨在建立一个定期的社区会议,分享技术知识并促进社区增长。Office Hours 旨在帮助新的贡献者,并为当前成员提供分享见解的论坛。

请参阅提案文件[3]以获取更详细的信息,并参与塑造这个倡议。

Kubernetes v1.29 发布:从 iptables 切换到 nftables 及其对 Istio 的影响

最近发布的 Kubernetes v1.29[4] 引入了其网络方法的重大变化。Kubernetes 现在将 nftables 作为 kube-proxy 后端的 Alpha 特性,取代了 iptables。这一变化是由于 iptables 存在已久的性能问题,随着规则集大小的增加而恶化。内核中 iptables 的开发已经显著减缓,大部分活动已停止,新功能也已停滞不前。

为什么选择 nftables?

  • • nftables 解决了 iptables 的限制,并提供更好的性能。

  • • 像 RedHat 和 Debian 这样的主要发行版正在摆脱 iptables。RedHat 在 RHEL 9 中已弃用 iptables,而 Debian 在 Debian 11(Bullseye)中将其从必需的软件包中删除。

对 Istio 的影响

Istio 目前依赖 iptables 来进行流量劫持,可能需要考虑使用 nftables 来适应这一变化。这个变化与 Linux 生态系统中更广泛的向 nftables 迁移一致。

管理员的作用

  • • 要启用此功能,管理员必须使用 NFTablesProxyMode 特性门和运行 kube-proxy 时使用 -proxy-mode=nftables 标志。

  • • 可能会存在兼容性问题,因为目前依赖 iptables 的 CNI 插件、NetworkPolicy 实现和其他组件需要更新以适应 nftables。

Kubernetes v1.29 中的这一变化是一个前瞻性的步骤,但需要谨慎考虑和规划,以与像 Istio 这样的系统集成。Istio 社区需要密切关注这些发展,并为未来的 Istio 版本可能需要进行的调整做好准备,以保持与 Kubernetes 的兼容性。

项目更新

ISTIO-SECURITY-2023-005:Istio CNI RBAC 权限的更改

解决的安全漏洞

Istio 安全委员会已经确定并解决了与 Istio CNI(容器网络接口)有关的一个重大安全漏洞。这个问题在 ISTIO-SECURITY-2023-005[5] 中详细说明,涉及到 istio-cni-repair-roleClusterRole 的潜在滥用。

安全风险

如果节点被入侵,Istio CNI 的现有高级权限可能会被利用。这种滥用可能会将本地入侵升级为集群范围的安全漏洞。

采取的措施

针对这一发现,已对 Istio CNI 的 RBAC(基于角色的访问控制)权限进行了修改,以减轻这一风险。

有关更详细信息,请访问官方安全咨询 Istio Security 2023-005[6]

新的小版本发布

Istio 发布了新的小版本以增强安全性和功能性:

  • • Istio 1.18.6

  • • Istio 1.19.5

  • • Istio 1.20.1

这些更新包括各种改进和修复,反映了对维护和增强 Istio 服务网格安全性和性能的持续承诺。

有关这些发布的更多详细信息,请访问 Istio 最新消息[7]

热门话题讨论

关于 Istio 1.21 中环境模式转入 Beta 的讨论

在最近的联合工作组会议上,关于环境模式在即将发布的 Istio 1.21 版本(Q124)中转入 Beta 的讨论引发了激烈的讨论。

分歧的观点
  • • Solo 团队的立场:主张延迟 1.21 版本的发布,以确保环境模式在该版本中达到 Beta 状态。

  • • 其他所有人的观点:反对延迟版本发布,强调环境模式尚未准备好发布 Beta 版。

当前展望

共识倾向于在不包括环境模式的 Beta 版本中维持 1.21 版本的发布计划。主要观点是,环境模式需要进一步开发,不太可能在 1.21 版本中达到 Beta 状态。

讨论反映了 Istio 开发过程中对质量和准备性的持续承诺。不急于将环境模式推向 Beta 版本的决定强调了社区在每个发布中确保稳定性和可靠性的奉献精神。

Istio 专业提示

确定 Ingress Gateway 的上游 IP 地址

在处理 Ingress 网关之前,特别是对于 TLS 卸载,确定上游源工作负载是至关重要的。在 istio_requests_total 中,如果 source_workload 是一个 Ingress 网关,就需要识别真正的源工作负载。一个实用的方法是利用 HTTP 头来实现这一目的。XFF(X-Forwarded-For)是 Istio 文档[8]中概述的标准方法,但也可以通过虚拟服务添加头部来实现自定义解决方案。

Istio 发行版中的 Envoy 版本

Istio 团队维护他们的 Envoy 构建,独立决定补丁版本。这种方法确保更快地获得必要的更新,而不必等待官方的 Envoy 发布,因此导致了 Istio 中使用的 Envoy 版本与 Envoy 的最新版本不一致。更多详细信息可以在这个 GitHub 讨论[9] 中找到。

总结

当我们结束本周的 Istio Community Weekly,让我们回顾一下我们所分享的信息。我们看到了 Istio 社区的活力和创新,以及与服务网格技术相关的最新趋势和讨论。

本周,我们了解到 Istio 社区将转向 GitHub Discussions 作为主要的问答和交流平台,这标志着更加开放和协作的未来。同时,"Istio Office Hours" 倡议将帮助社区成员共享知识,促进成长。

在技术方面,Kubernetes v1.29 的变化将对 Istio 和整个生态系统产生影响,我们需要密切关注和适应这些变化。此外,我们还了解到 Istio CNI RBAC 权限的改变,以及新的 Istio 小版本发布,旨在提高安全性和性能。

最后,我们深入讨论了 Istio 1.21 版本中环境模式转入 Beta 的问题,以及如何确定 Ingress Gateway 的上游 IP 地址的技巧。

作为 Istio 社区的一员,您的反馈和参与至关重要。让我们继续在 GitHub 上分享见解、问题和意见,共同塑造 Istio 的未来。展望下周,我们期待更多精彩的更新和社区互动。敬请关注,下期再见!

引用链接

[1] discuss.istio.io: https://discuss.istio.io/
[2] GitHub Discussions: https://github.com/istio/istio/discussions
[3] 提案文件: https://docs.google.com/document/d/13voR8qZwG8lKI2_xtvYhN6msBHp0MAdvlDXMUqQGFEM/edit
[4] Kubernetes v1.29: https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.29.md
[5] ISTIO-SECURITY-2023-005: https://istio.io/latest/news/security/istio-security-2023-005/
[6] Istio Security 2023-005: https://istio.io/latest/news/security/istio-security-2023-005/
[7] Istio 最新消息: https://istio.io/latest/news/
[8] Istio 文档: https://istio.io/latest/docs/ops/configuration/traffic-management/network-topologies/
[9] GitHub 讨论: https://github.com/istio/istio/discussions/48064#discussioncomment-7794044

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1327106.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

❀My虚拟机上的ftp服务器搭建(centos)❀

❀My虚拟机上的ftp服务器搭建(centos)❀ 在CentOS上搭建FTP服务器可以使用vsftpd软件,下面是详细的搭建教程: ①安装vsftpd软件 在终端中输入以下命令进行安装: sudo yum install vsftpd ②配置vsftpd 打开vsftpd的配置文件,…

Java_集合进阶Set集合

少年没有乌托邦,心向远方自明朗 集合进阶(Set、Map集合) 一、Set系列集合 1.1 认识Set集合的特点 Set集合是属于Collection体系下的另一个分支,它的特点如下图所示 下面我们用代码简单演示一下,每一种Set集合的特…

城市里的“蛋壳运动空间”

近年来,秉承"发展群众体育,服务健康中国”的理念,全国各地持续推进全民健身与全民健康的融合发展。越来越多的口袋公园、户外运动设施出现在城市各个角落,一定程度上提升了全民运动的便利性和幸福感。 但是,遇到…

数说故事荣登胡润“全球猎豹企业榜”,彰显大数据与AI融合的创新力

昨日,2023 胡润全球猎豹企业大会暨《2023 胡润全球猎豹企业榜》发布活动在广州市南沙区金茂万豪酒店圆满举办。胡润研究院与广州南沙联合发布《2023胡润全球猎豹企业榜》,这是胡润研究院首次发布“全球猎豹企业榜”。榜单列出了全球成立于2000年之后&…

固态硬盘的基本知识

1.硬盘分为SSD(solid state drive)和 H(hard desk drive) 2.SSD数倍于HDD机械硬盘的传输性能,让普通用户和发烧玩家的体验均成倍提升。 三.SSD主要从如下3个方面来介绍(3个方面匹配好才是速度的关键&…

C#线程的定义和使用方法

引言 在C#编程语言中,线程是一种并发执行的机制,允许程序同时执行多个任务。线程的使用使得我们能够利用计算机的多核处理器,实现程序的并行执行,提高系统的性能和响应能力。本文将详细介绍C#中线程的定义和使用方法,涵…

代码随想录27期|Python|Day21|二叉树| 530.二叉搜索树的最小绝对差| 501.二叉搜索树中的众数| 236. 二叉树的最近公共祖先

特别需要注意题目中给的隐藏信息(比如这里的BST) 530. 二叉搜索树的最小绝对差 前两个是BST的经典递归模版解法,后面一个迭代的解法可以当作BST的一般迭代规则。 转换成数组 根据一般的递归模版 def traversal(self, root):if not root:r…

用23种设计模式打造一个cocos creator的游戏框架----(二十三)中介者模式

1、模式标准 模式名称:中介者模式 模式分类:行为型 模式意图:用一个中介对象来封装一系列的对象交互。中介者使各对象不需要显式地相互引用,从而使其耦合松散,而且可以独立地改变它们之间的交互。 结构图&#xff…

基于SSM框架的电脑测评系统论文

基于 SSM框架的电脑测评系统 摘要 随着信息技术在管理上越来越深入而广泛的应用,作为一个一般的用户都开始注重与自己的信息展示平台,实现基于SSM框架的电脑测评系统在技术上已成熟。本文介绍了基于SSM框架的电脑测评系统的开发全过程。通过分析用户对于…

【小黑嵌入式系统第十一课】μC/OS-III程序设计基础(一)——任务设计、任务管理(创建基本状态内部任务)、任务调度、系统函数

上一课: 【小黑嵌入式系统第十课】μC/OS-III概况——实时操作系统的特点、基本概念(内核&任务&中断)、与硬件的关系&实现 文章目录 一、任务设计1.1 任务概述1.2 任务的类型1.2.1 单次执行类任务(运行至完成型&#…

ai学习笔记-入门

目录 一、人工智能是什么?可以做什么? 人工智能(Artificial Intelligence): 人工智能的技术发展路线: 产业发展驱动因素:数据、算力、算法 二、人工智能这个工具的使用原理入门 神经网络⭕数学基础 1.神经网络的生物表示 …

成都爱尔蔡裕主任提醒眼前有条状黑影飘动,该治疗吗?

眼前有好多影子,有的看起来是黑色有的仿佛透明,呈现条状、点状,它们还跟随脑袋的移动而移动,仿佛在眼前打转,尤其在阳光明媚的时候或者注视白墙壁时尤为明显。 这是病吗?需要治疗吗? 飞蚊症 飞蚊症在医学上称为“玻璃…

JavaScript系列-循环语句

文章目录 1. JavaScript 函数常用的循环语句有以下1 打遍所有可循环对象的 for 循环2 for in :遍历对象3 for of :遍历有迭代器对象,如数组4 while 循环5 do while6 switch case 2.各循环方法的使用场景和方法for 循环第一种用法(…

Java-Secruity-2

可以先看这篇文章 Secruity-1👈 1、授权 1.1 权限管理 在日常使用的系统中都会涉及到权限相关的操作,管理员有管理员的操作,用户有用户的操作,不同的用户可以使用不同的功能,这需要使用到权限管理。 所以在写接口…

openGauss学习笔记-168 openGauss 数据库运维-备份与恢复-导入数据-使用gs_restore命令导入数据

文章目录 openGauss学习笔记-168 openGauss 数据库运维-备份与恢复-导入数据-使用gs_restore命令导入数据168.1 操作场景168.2 操作步骤168.3 示例 openGauss学习笔记-168 openGauss 数据库运维-备份与恢复-导入数据-使用gs_restore命令导入数据 168.1 操作场景 gs_restore是…

PyQt6 信号与槽

锋哥原创的PyQt6视频教程: 2024版 PyQt6 Python桌面开发 视频教程(无废话版) 玩命更新中~_哔哩哔哩_bilibili2024版 PyQt6 Python桌面开发 视频教程(无废话版) 玩命更新中~共计51条视频,包括:2024版 PyQt6 Python桌面开发 视频教程(无废话版…

makefile例子

1、目录结构 2、文件 2.1、 test.h extern void test(void); 2.2 、test.c #include <stdio.h>void test(void) {printf("Hello world!\n"); }2.3 、main.c #include "test.h"int main(void) {test();return 0; }2.4、makefile TEST_DIR : $(s…

【QT表格-6】QTableWidget的currentCellChanged实现中途撤销

背景&#xff1a; 【QT表格-1】QStandardItem的堆内存释放需要单独delete&#xff0c;还是随QStandardItemModel的remove或clear自动销毁&#xff1f;-CSDN博客 【QT表格-2】QTableWidget单元格结束编辑操作endEditting_qtablewidget 单元格编辑事件-CSDN博客 【QT表格-3】Q…

做一个类似东郊到家系统都有哪些功能特点?

随着科技的发展&#xff0c;人们的生活方式也在不断变化&#xff0c;在快节奏的生活中&#xff0c;身心疲惫的人们需要一种快速有效的方式来缓解压力。同城预约上门按摩小程序就是为满足这种需求而诞生的。用户可以通过小程序&#xff0c;方便地预约按摩服务&#xff0c;无需浪…

力扣日记12.21【二叉树篇】98. 验证二叉搜索树

力扣日记&#xff1a;【二叉树篇】98. 验证二叉搜索树 日期&#xff1a;2023.12.21 参考&#xff1a;代码随想录、力扣 98. 验证二叉搜索树 题目描述 难度&#xff1a;中等 给你一个二叉树的根节点 root &#xff0c;判断其是否是一个有效的二叉搜索树。 有效 二叉搜索树定义…