2021年3月1号
此版本修复了我们在2021年3月1日的新闻中所述的安全漏洞,并修复了一些漏洞以提高健壮性。
这篇发布说明描述了Istio 1.9.0和Istio 1.9.1之间的不同之处。
安全性更新
与Istio 1.9.0一起出厂的Envoy版本中修复了一个零日安全漏洞。该漏洞已于2021年2月26日修复。1.9.0是Istio的唯一一个包含Envoy漏洞的版本。这个漏洞只能在配置错误的系统上被利用。
变更
改进了sidecar注入,自动指定kubectl.kubernetes.io/default-logs-container。这确保了kubectl日志默认为读取应用容器的日志,而不是要求明确设置容器。
改进了sidecar注入器,以更好地利用pod标签来确定是否需要注入。在这个版本中,这个功能默认情况下没有启用,但可以使用
--set values.sidecarInjectorWebhook.useLegacySelectors=false进行测试。更新了 Prometheus 指标,使其在所有场景中默认包含
source_cluster和destination_cluster标签。此前,这只对多集群方案启用。更新了默认的访问日志,以包括RESPONSE_CODE_DETAILS和CONNECTION_TERMINATION_DETAILS,代理版本>= 1.9。
更新 Kiali addon 到最新版本 v1.29。
在基础上添加了 enableIstioConfigCRD,允许用户指定是否安装 Istio CRD。
添加了对网格/命名空间级别规则的DestinationRule继承的支持。 使用PILOT_ENABLE_DESTINATION_RULE_INHERITANCE环境变量启用功能。
增加了对通过Sidecar API绑定到其pod IP地址而不是通配符或本地主机地址的应用程序的支持。
添加了标志,以允许捕获到istio-iptables脚本的DNS流量。
在Envoy生成的跟踪范围中添加了规范服务标签。
修复了导致不遵守超时标头x-envoy-upstream-rq-timeout-ms的问题。
修复了访问日志服务导致Istio代理拒绝配置的问题。
修复了导致备选Envoy二进制文件包含在Docker映像中的问题。这些二进制文件在功能上是等效的。
修正了一个TLS v2版本只在HTTP端口上执行的问题。这个选项现在适用于所有端口。
修正了Wasm插件配置更新会导致请求失败的问题。
删除了对通过Mesh配置协议(MCP)读取Istio配置的支持。
